A BBC informou recentemente que o Facebook e o Google transferiram separadamente mais de US$ 100 milhões para um único hacker na Lituânia. Embora esses sejam gigantes corporativos globais, há lições para todos sobre segurança cibernética em 2017.
- Um hacker solitário pode causar um grande prejuízo financeiro
- Não importa o quão sofisticada seja sua defesa de segurança cibernética, você está em risco
- O spear phishing e a engenharia social contornam a segurança da rede e dos terminais
Criminosos cibernéticos que se fazem passar por fornecedores
O Facebook e o Google realmente não são tão especiais em cair nesse tipo de golpe. Não faz muito tempo, a Ubiquiti Networks foi enganada em US$ 47 milhões com base em um ataque de engenharia social semelhante. A BBC descreveu a abordagem que derrubou o Facebook e o Google.
“E-mails fraudulentos de phishing foram enviados a funcionários e agentes das empresas vítimas, que realizavam regularmente transações multimilionárias com a empresa [asiática]”, afirmou o (DOJ) informou em março.
Segundo o Departamento de Justiça, esses e-mails fingiam ter sido enviados por funcionários da empresa sediada na Ásia e foram enviados a partir de contas de e-mail criadas para parecer que provinham da empresa, mas que, na verdade, não eram dela.
Aqui está. Spear phishing clássico (as definições de phishing, spear phishing, engenharia social e whaling podem ser encontradas aqui). Funcionários específicos foram alvo de e-mails fraudulentos. O criminoso adulterou documentos para parecer um fornecedor chinês legítimo. Duas empresas transferiram US$ 100 milhões para um hacker solitário. A parte incomum da história é que o hacker foi pego e alguns dos fundos foram recuperados. Se essa fosse uma rede sofisticada, como a que realizou as invasões de transferências eletrônicas Swift do Banco de Bangladesh no valor de US$ 81 milhões, você pode apostar que todos os fundos já teriam desaparecido há muito tempo e não estariam disponíveis para recuperação.
O que há de errado aqui? Os seres humanos são facilmente enganados.
Havia uma citação de um “especialista em segurança” no artigo que explica muito bem por que esses ataques continuarão ocorrendo. Ele disse: “Mas as pessoas são parte da melhor segurança que você pode ter – é por isso que é preciso treiná-las.” Os leitores do blog da Kaseya sabem que somos defensores do treinamento para ajudar os funcionários a identificar ataques de phishing e spear phishing. No entanto, os leitores também sabem que os funcionários treinados para detectar phishing ainda abrem 30% dos e-mails fraudulentos. Provavelmente é por isso que 65% das empresas relataram ter sido vítimas de ataques bem-sucedidos de engenharia social no ano passado.
A ideia de que você pode confiar em humanos para ser o seu firewall contra golpes cibernéticos sofisticados é uma ilusão ultrapassada. Vá em frente e faça algum treinamento. Isso pode ajudar. Mas você deve reconhecer que as pessoas são facilmente enganadas. Seus funcionários precisam da ajuda da automação.
As defesas cibernéticas atuais não impedem os ataques de spear phishing.
Assim como o treinamento, a segurança de rede e a proteção de terminais também são defesas necessárias. O problema é que táticas de engenharia social, como o spear phishing, contornam essas defesas porque são os próprios funcionários que lhes concedem acesso. O funcionário é levado a realizar alguma ação em nome do hacker, que se faz passar por um parceiro de negócios, ou é induzido a revelar credenciais que proporcionam acesso direto aos seus sistemas.
Um estudo da PhishMe realizado em 2016 revelou que 91% dos ataques cibernéticos começaram com um ataque de phishing. O renomado relatório DBIR da Verizon de 2015 constatou que 90% dos incidentes de segurança foram atribuídos a falhas humanas. Proteja suas redes e terminais, mas esteja ciente de que o que o FBI denomina Business Email Compromise (BEC) é um vetor de ataque cibernético amplamente utilizado. Você simplesmente não pode confiar que os seres humanos identifiquem corretamente todos os ataques de segurança cibernética. Os ciberataques fazem suas pesquisas e têm uma alta taxa de sucesso.
O que você está fazendo para proteger seus funcionários contra Spear Phishing?
Existem duas abordagens automatizadas que estão sendo utilizadas atualmente para proteger os funcionários contra o spear phishing: o DMARC eo TrustGraph™. O DMARC ajuda a proteger as organizações contra um tipo de ataque de spear phishing. É melhor do que nada. No entanto, o Trust Graph, desenvolvido pela Kaseya 365 , protege as organizações contra todos os quatro tipos de ataques de spear phishing.
O Trust Graph utiliza a teoria dos grafos e o aprendizado de máquina para analisar rapidamente as relações entre o remetente externo do e-mail e o funcionário destinatário, além de comparar outros indicadores com fontes de inteligência de ameaças geradas tanto externamente quanto internamente. Ao longo de um período de testes beta de 15 meses com 10 empresas de médio porte, o Kaseya 365 Trust Graph identificou com sucesso ataques de spear phishing e de engenharia social. Você pode ativar Kaseya 365 em apenas um minuto e testá-lo gratuitamente para ver como funciona.
