Geekly articles weekly

Pesca com fala: analisamos métodos de ataque e métodos de proteção contra eles

imagem


Phishing é um tipo de fraude online que usa os princípios de engenharia social. Trata-se de um e-mail, chamada, SMS ou mensagem em um messenger ou rede social, tentando induzir o usuário a transmitir seus dados confidenciais, baixar algum arquivo malicioso ou transferir dinheiro. Para fazer isso, o remetente parece ser outra pessoa, de quem essa solicitação gera menos suspeitas.


Spear phishing é uma subespécie de phishing direcionada a um círculo mais restrito de pessoas. Pode ser algum tipo de organização, um grupo de funcionários ou um indivíduo, dependendo das intenções do invasor. A mensagem recebida neste caso será projetada especificamente para um círculo limitado de pessoas. Durante esse ataque, um invasor pode tentar:


  • obter dados confidenciais (dados do cartão do banco para roubar dinheiro);
  • instale malware no dispositivo de destino;
  • obter segredos e dados confidenciais da organização para fins de chantagem ou revenda a concorrentes;
  • obter dados militares.

Diferenças entre phishing e phishing segmentado


  1. Seleção de alvo. O phishing trabalha com o princípio de “borrifar e orar” (espalhar e esperar): uma mensagem preparada é espalhada por um grande número de pessoas na esperança de que pelo menos uma delas possa ser enganada. O phishing direcionado é um ataque direcionado. Seu alvo é uma determinada empresa, certos funcionários ou uma pessoa específica e, portanto, uma mensagem será enviada apenas a eles.
  2. O nível de habilidade do atacante. O phishing requer menos habilidades e foi inicialmente projetado para um grande número de falhas. O phishing direcionado, como ataque direcionado, é mais complexo e usa técnicas mais avançadas, além de exigir mais treinamento preliminar.
  3. A capacidade de detectar. Também resulta do parágrafo anterior que o phishing direcionado é mais difícil de detectar do que o phishing comum.
  4. O objetivo do ataque. Como resultado de qualquer um dos dois ataques, um invasor pode tentar obter logons, senhas ou outros dados, mas o phishing implica um rápido ganho em benefícios, por exemplo, dinheiro. É improvável que um invasor esteja interessado em obter dez contas dos e-mails de pessoas desconhecidas. Com o phishing direcionado, mesmo que o objetivo seja uma senha de email, essa será uma etapa significativa. Talvez o invasor saiba que informações valiosas são armazenadas nesse email, mas é possível que este seja apenas um estágio de um ataque multinível.

Curso de ataque


Considere o progresso de um ataque de phishing direcionado usando o exemplo de uma mensagem de email.


Primeiro, o atacante realiza muitos trabalhos preliminares para encontrar informações sobre o alvo. Pode ser o endereço de e-mail e os nomes dos contratados ou colegas, hobbies, compras recentes ou outras coisas que podem ser aprendidas nas redes sociais - qualquer informação que ajude a confundir o destinatário no corpo da carta e fazê-lo acreditar em sua veracidade.
Depois, armado com todos os dados obtidos de fontes acessíveis, o invasor compõe uma carta de phishing em nome de alguém com quem a vítima está familiarizada (colega, membro da família, amigo, cliente, etc.). A mensagem enviada deve criar um senso de urgência e convencer o destinatário a enviar informações pessoais na resposta, insira-as clicando no link da carta ou faça o download do malware dos anexos à carta.
Em alguns casos, em um cenário ideal para um invasor, após a letra "trabalhar", um backdoor é instalado na máquina do alvo, permitindo que ele roube as informações necessárias. Ele é coletado, criptografado e enviado ao invasor.


Métodos de proteção


Meios técnicos de proteção:


  1. Filtro de spam Pode ser instalado no servidor de correio. Alguns e-mails de phishing podem ser identificados por seu conteúdo. É verdade que, se você tentar filtrar todos os emails indesejados dessa maneira, há uma alta probabilidade de falsos positivos, pois os emails de phishing (especialmente com phishing direcionado) imitam mensagens legítimas.
  2. Verificando os endereços dos remetentes da carta. O remetente especificado na carta e o remetente real no cabeçalho podem não corresponder. O filtro também pode verificar, por exemplo, se o domínio do remetente é semelhante ao domínio da empresa, mas está escrito incorretamente.
  3. Digitalize anexos em letras quanto a vírus e na caixa de areia. Antes de o destinatário receber uma carta contendo o anexo executável, ela é verificada por antivírus ou iniciada na sandbox.
  4. Letras maiúsculas contendo links e arquivos executáveis ​​em anexos. Uma variação mais difícil do parágrafo anterior, mas realmente usada em alguns lugares e protegendo contra alguns vetores de ataque.

Independentemente de quais medidas de proteção técnica sejam tomadas, uma carta indesejada ainda pode estar na caixa de correio. Portanto, vale a pena prestar atenção a coisas suspeitas em cartas:


  1. Remetente


    • É alguém com quem você normalmente não se comunica.
    • Você não está familiarizado com o remetente e ninguém em quem confia o atendeu.
    • Você não tem um relacionamento comercial com o remetente e nunca se comunicou antes.
    • Uma carta de alguém de fora da empresa e não se aplica às suas responsabilidades profissionais.
    • Você conhece o remetente, mas a carta é escrita de uma maneira muito incomum para essa pessoa.
    • O domínio do remetente está explicitado (por exemplo, sbrebank.ru).

  2. O destinatário.


    • Entre os destinatários, além de você, há outras pessoas, mas você não está familiarizado com nenhuma delas.

  3. Referências


    • Quando você passa o mouse sobre o link indicado na carta, fica claro que, na realidade, o link no qual você clicará quando clicado é completamente diferente.
    • Além do link na carta, não há mais nada.
    • O link contém um endereço semelhante a um site conhecido, mas cometeu um erro.

  4. Data de recebimento.


    • E-mail recebido em horários incomuns. Por exemplo, trata-se de trabalho, mas foi enviado tarde da noite, fora do horário comercial.

  5. Assunto da carta.


    • O assunto da carta não se correlaciona com o texto da carta.
    • O tópico é marcado como uma resposta a uma carta que você nunca enviou de fato.

  6. Anexos.


    • O remetente anexou um arquivo à mensagem que você não esperava (normalmente você não recebe esse tipo de anexo dessa pessoa) ou que não tem nada a ver com o texto da mensagem.
    • Um anexo tem uma extensão potencialmente perigosa. O único tipo de arquivo seguro é .txt.

  7. O conteúdo da carta.


    • O remetente pede para seguir o link ou abrir o anexo, a fim de evitar consequências negativas ou, pelo contrário, obter algo valioso.
    • O texto parece incomum ou contém muitos erros.
    • O remetente pede para seguir o link ou abrir um anexo que parece estranho ou ilógico.
    • O remetente solicita que você envie dados confidenciais por correio ou SMS.


Obviamente, não basta conhecer e seguir essas regras. Também é necessário transmitir essas informações para outras pessoas na empresa. É muito mais fácil resistir a um ataque quando se sabe que isso pode acontecer. É importante treinar funcionários e falar sobre ataques de phishing. Também pode ser útil realizar testes sociotécnicos de tempos em tempos para garantir que as informações foram adquiridas com sucesso.


Sumário


É mais difícil resistir aos ataques da engenharia social, já que as pessoas se tornam a fronteira final. Um invasor também pode estar ciente de todos os métodos técnicos de proteção, para que ele possa inventar uma maneira de contorná-los. No entanto, a conscientização e a implementação de regras simples reduzem bastante o risco de um ataque bem-sucedido.
Deseja garantir que seus sistemas estejam bem protegidos? Ou você está interessado em transmitir informações aos funcionários? Entre em contato conosco, teremos o maior prazer de realizar testes sociotécnicos ou ajudar no treinamento e conversar sobre esses ataques.

Source: https://habr.com/ru/post/pt472368/

More articles:


All Articles