Ameaças cibernéticas estão em constante renovação com cibercriminosos desenvolvendo técnicas cada vez mais sofisticadas para atingir seus objetivos. Atento a essas novas abordagens, El Pescador desenvolve, periodicamente, novas campanhas de simulação de phishing visando conscientizar seus clientes para as ameaças em Segurança da Informação.
Uma das mais recentes é a campanha Data Leak, ou Campanha de Vazamento de Dados.
A seguir veremos como podem acontecer os vazamentos de dados, algumas possíveis motivações por trás deste crime, suas consequências e como funciona a nova campanha Data Leak do El Pescador.
Data Leak ou vazamento de dados são quaisquer transferências não autorizadas de dados sigilosos entre computadores ou servidores de uma empresa e computadores “de fora” da corporação, de forma intencional ou não. No caso de vazamentos intencionais existe uma variedade de motivações, que incluem ganho financeiro – seja através da chantagem (pedido de resgate por dados roubados), seja através da venda dos dados para agentes interessados naquelas informações – até a exposição pura e simples de um alvo com o objetivo de causar prejuízo financeiro e de marca, como no caso ocorrido com a Sony em 2014, sobre o qual falaremos mais adiante.
Para conseguir o que querem, os criminosos precisam invadir os sistemas das empresas. Para isso contam com diversas técnicas como o Google Hacking, que permite um atacante usar a ferramenta de buscas para encontrar falhas de programação em sites de empresas na web.
Mas os atacantes também se aproveitam da negligência, da distração e do desconhecimento de colaboradores em todos os níveis das organizações no que se refere à Segurança da Informação.
Exemplo desses “descuidos” é um comportamento reprovável do ponto de vista da segurança, mas bastante disseminado entre as empresas: o uso de credenciais corporativas – especificamente o endereço de e-mail da empresa – para cadastrar-se em redes sociais, prática que torna este endereço de e-mail público. Atualmente existem muitas listas públicas de e-mails que contém milhões de endereços corporativos. Essas informações, combinadas com a prática também reprovável de reutilizar a mesma senha para acessar diversos sites, facilitam em muito o trabalho dos atacantes interessados em penetrar os sistemas de uma empresa.
Para entender o impacto destas práticas, basta pensar na seguinte situação: imagine um funcionário que usa seu e-mail corporativo para cadastrar-se no LinkedIn. Um atacante interessado em dados sigilosos daquela empresa faz uma busca e descobre o endereço de e-mail deste funcionário – além dos dados que ele torna públicos como nome, sobrenome e cargo na companhia. A partir daí o criminoso pode criar uma campanha de phishing direcionado a esse e-mail, convencendo a vítima a baixar um anexo malicioso ou a clicar em um link contendo malware que dará ao atacante acesso à estação de trabalho e, muito provavelmente, à rede corporativa.
Recentemente, o Ponemon Institute – instituto de pesquisas independente especializado na área de privacidade e segurança da informação – realizou, em conjunto com a IBM, um levantamento dos custos dos vazamentos de dados nas empresas durante o ano de 2016. O estudo IBM / Ponemon 2016 Cost of Data Breach envolveu 383 organizações de 16 setores em 12 países e trouxe números que dão uma ideia da gravidade desse tipo de ataque.
Em termos financeiros, o custo médio de um único evento deste tipo em 2016 foi de US$ 4 milhões, o que representa aumento de 29% em relação a 2013. Estima-se que um cada registro vazado custe em média US$ 158 para uma companhia, valor que pode variar de acordo com a indústria envolvida; por exemplo: um registro de um paciente vazado pode significar um prejuízo de US$ 355 para um hospital; já para a indústria de transportes, um registro roubado custa pouco mais de US$ 120.
Mas há prejuízos mais difíceis de quantificar, como mostra um caso de 2014 que ficou conhecido como Sony Pictures Hack. Naquele ano, um grupo de hackers usou técnicas de phishing para roubar – e divulgar – dados confidenciais do estúdio. O ataque, que uma matéria do jornal Washington Post classificou como “muito além do típico ciberataque a uma corporação”, gerou custos gigantescos para o estúdio, que precisou contratar empresas de cibersegurança para investigar as causas do vazamento e investir tempo e recursos para recolocar sua rede no ar. Isso sem falar nos prejuízos em bilheteria – causados pelo vazamento de alguns filmes que ainda não haviam sido lançados – e o impacto na própria marca.
Como em muitos casos, os cibercriminosos responsáveis por esse ataque usaram técnicas de phishing para roubar credenciais de acesso a sistemas e conseguir os dados. Investigações mostraram que executivos do estúdio receberam e-mails falsos solicitando a confirmação de seus IDs da Apple. Os e-mails continham um link que apontava para um site falso de suporte onde as vítimas entregavam seus dados de login. Essas informações foram usadas para conseguir acesso às contas da rede LinkedIn das vítimas e, a partir daí, foi possível – em alguns casos – descobrir as credenciais dos profissionais nos sistemas da Sony.
A nova campanha será a primeira campanha “ativa” do El Pescador. Diferentemente das outras campanhas, como a Campanha de Clique, a de Anexo ou a Direcionada, em que o cliente fornece os endereços de e-mail dos participantes para o El Pescador, na Campanha Data Leak os participantes serão selecionados pela própria equipe do El Pescador, juntamente com a equipe de Threat Intelligence da Tempest.
A seleção é feita a partir de uma pesquisa contínua realizada em bancos de dados públicos para descobrir endereços de e-mail corporativos que estão disponíveis na web, seja por vazamento, seja por divulgação da empresa ou do próprio colaborador – por exemplo, em um cadastro em uma rede social, como mencionado anteriormente. Atualmente já estão catalogados mais de 1 bilhão de e-mails nesta situação.
O objetivo da campanha é conscientizar não só os participantes, mas também as empresas sobre como atitudes inocentes – como divulgar abertamente seu endereço de e-mail corporativo – podem levar ao roubo de credenciais de acesso aos sistemas da empresa e, consequentemente, abrir as portas para o vazamento de dados importantes.
Para saber mais sobre esta e outras campanhas do El Pescador, clique aqui.
E para saber mais sobre phishing, siga nosso blog.
