Com a maioria das empresas aderindo o Trabalho Remoto, temos que dar mais atenção à segurança e privacidade dos colaboradores e das corporações. E nesse vídeo nós conversamos com o Especialista da Compugraf, Alex Feitosa, sobre como a Conscientização é importante para se prevenir de técnicas da Engenharia Social. Ele vai apontar falhas e necessidades de educar os seus colaboradores para não caírem em ataques comuns como: phishing, links maliciosos, campanhas de doação duvidosas, entre outros.
Como Funciona Um Ataque de Engenharia Social: https://bit.ly/2Y0XUpo
Confira o vídeo:
Transcrição Vídeo Completa:
Bom, olá galera, meu nome é Diógenes , eu sou do time de Growth na Compugraf, e hoje a gente vai falar sobre os ataques de engenharia Social em época de pandemia, com o Alex Feitosa que é Consultor de segurança e informação aqui na Compugraf.
Engenharia Social é uma técnica que é empregada por cibercriminosos. E ela induz alguns usuário a enviarem dados pessoais ou infectar o computadores deles, ou até enviar links para sites maliciosos.
Engenharia Social se tornou uma pauta em foco hoje, muito devido a pandemia, muitas empresas estão aderindo ao trabalho remoto. Isso leva a questionar o quão seguro as empresas estão e quão seguro os usuários estão.
Para isso é preciso conscientizar algumas práticas necessárias para serem utilizadas no dia a dia.
Alex, quais medidas que são mais utilizadas, são mais indicadas para as empresas nesse tempo de trabalho remoto?
Bom, vamos lá. Nesse momento onde todas as empresas de certa maneira, de uma questão abrupta… Ou seja, todo mundo está colocando seus funcionários , colaboradores para trabalhar remotamente. Não podemos esquecer que existe alguns critérios para poder ter uma performance, ter uma estrutura, algo para poder que todo mundo trabalhe de maneira mais adequada, né. Então temos que criar ou melhorar as políticas existentes de segurança da informação.
Tentar criar uma política de home office, caso não exista. Porque dentro desta política, junto com o time de RH, compliance, que tiver a empresa em si.
Eles vão dimensionar uma estrutura relacionada a questão de horas de trabalho, para poder ter esse leque junto aos colaboradores, para ninguém trabalhar a mais do que o necessário.
A questão de navegação na internet, também vamos ter a questão de dentro dessa política ou uma política parte que faça um adendo a ela sobre a questão da…
Que tipo de VPN vai ser utilizado. Se vai ser VPNS clients, VPNS SSL, Web, se vai ter Web Portal, e com base nisso também vem os riscos.
E isso pode estar trazendo algum tipo de vulnerabilidade para dentro das empresas.
Com relação ao tráfego sair da rede local do colaborador, quais que seriam os riscos envolvidos para a empresas, nesse caso?
A empresa em si, quando ela contrata, manda colaboradores fazer acesso remoto, fazer a VPN em si. O que que vai acontecer? Ele tem que definir se a estrutura dele vai suportar e o tráfego dessa quantidade de colaboradores trabalhando remotamente. Então, com isso, as vezes o ambiente não fica…
O ambiente se não comporta essa quantidade de pessoas, ele opta, ao invés de melhorar o capacite da sua estrutura ele opta por uma estrutura de VPN Split Tunnel, onde parte do tráfego de interesses, um tráfego que vai acessar as aplicações. Um tráfego de aplicações da empresa, onde o colaborador realmente vai acessar os aplicativos internos da empresa vá para o túnel. E qualquer outro tipo de acesso à internet sai pela rede local.
Só que tem um problema, muitas empresas ao permitir que isso ocorra por questões de capacite, de infra estrutura da empresa. Eles acabam esquecendo de colocar algum método de segurança para que o colaborador não fique acessando coisas indevidas, porque isso vai fazer um risco. Ou seja eles tem que ter algum tipo de ferramenta para que ele consiga ter a rastreabilidade e consiga fazer a checagem de arquivos e sites que o colaborador está acessando, isso em nuvem.
Então ele vai ter, em uma certa maneira, ele vai estar conseguindo fechar um leque de segurança do seu ambiente.
Mas se ele deixar com que todo o acesso à internet saia pela internet do colaborador, sem ter nenhum tipo de validação. Ele acaba colocando o próprio ambiente dele, tanto o ambiente do colaborador (a máquina que está na residência) dele em risco, quanto o acesso empresa. Porque uma parte tá indo pela VPN, então o colaborador pode acabar sendo infectado por algum tipo de arquivo malicioso, uma página maliciosa, um phishing em si, e tá transportando isso para dentro da empresa.
Então é interessante que quando a empresa for tratar dessa questão de VPNS, na parte de Split Tunnel, eles avaliarem direito o melhor cenário.
E Alex, com relação às ferramentas que os colaboradores utilizam, como: Asana, Zoom, Teams, Hangouts… Essas ferramentas podem ser utilizadas como porta de entrada para algum ataque de Engenharia Social, também?
Sim, sim… O que a gente costuma falar: nenhuma ferramenta é 100% segura.
E a imaginação de um atacante não tem limite. Ele vai criar uma estrutura de Engenharia Social que vai conseguir ludibriar o cliente… A vítima, em si. Para poder ter acesso a algum tipo de informação, ele pode pegar uma dessas ferramentas e usar uma tecnologia de esteganografia para poder encapsular algum executável dessa ferramenta, e publicar em algum lugar, aí uma pessoa desatenta vai lá e baixa esse arquivo: Que não é um arquivo de um site oficial.
E entre outros métodos de man-in-the-middle, que ele consegue fazer também para capturar sessões, e ter um acesso privilegiado no ambiente dessa vítima.
Aqui a gente trouxe recentemente teve um problema com a Zoom, nós trouxemos aqui uma imagem de um relatório puxado de uma ferramenta da Check Point. Onde ele vai estar mostrando uma certa quantidade de domínios registrados, domínios similar aos domínios da Zoom, que são questionáveis como maliciosos. Então isso durante esse boom da pandemia cresceu gradativamente.
Então recentemente uma pesquisa da Check Point, mostrou que pelo menos 1.700 novos domínios maliciosos relacionados a marca Zoom, foram registrados desde o início da pandemia. O que mostra uma espécie de forma de phishing. Nessa situação de pandemia o número de phishing utilizando a doença, com certeza vai aumentar, certo?
Sim, certamente. Em um relatório anterior vimos que os domínios relacionado ao coronavírus têm 50% mais chances de serem mal-intencionados do que outros domínios registrados no mesmo período em que foi acusada pesquisa.
Desde o início de Janeiro, durante o período em que foram relatado os surtos iniciais, foram registrados mais de 16.000 novos domínios relacionados ao coronavírus, isso no âmbito mundial. E somente nas últimas três semanas desde o final de fevereiro de 2020, notamos um grande aumento no número de domínios registrados. Ou seja, em torno de 0,8% desses domínios foram considerados maliciosos, ou seja em torno de 93 sites, e outros 19 foram classificados como suspeitos. Então mais de 2200 sites foram classificados como suspeitos.
E sobre como essas empresas podem se proteger desses tipos de ataques, quais são as melhores medidas relacionados a domínios maliciosos durante essa época, quais seriam as melhores medidas?
Não existem melhores medidas, nós temos alguns caminhos a seguir. Então ideal é sempre ficar de olho em feeds de sites maliciosos, para poder fazer essa atualização de forma constante. Sempre fazer uma certa conscientização junto aos seus colaboradores, e um outro ponto é em questão pessoal, o usuário em si. Então se ele tem receio de que a informação não é uma informação legal, então já nem clica. então ao receber notícias sobre o tema de coronavírus, seja cuidadoso. Verifique a fonte da informação e se estiver duvida também não compartilhe, porque se você tá com dúvida você vai vai lá e clica e se você infectar e compartilhar, com certeza outras pessoas também vão acabar clicando. Porque às vezes você é uma pessoa que o pessoal confia, e aí você compartilhou algo e malicioso a pessoa vai lá direto clica na hora, tá?
Então tomar cuidado com mensagens solicitando doações para as vítimas hoje em dia. Está tendo muitos sites pedindo doações, muitos links e são itens que realmente fakes, então apesar de existirem várias doações reais a respeito, é bom entrar no site, verificar se o site existe, valide, ligue para instituição, não saiam tentando já fazer uma doação. É um momento realmente delicado que a gente fica, acaba pegando o sentimento da pessoa, você vai querer ajudar, mas pode ir para o outro lado está participando de um golpe.
E tomar cuidado com aplicativo, existem muitos aplicativos, eles alteram esses aplicativos, tanto aplicativos em computadores mesmo, e aplicativos de celulares. O pessoal acaba alterando o formato desses aplicativos, criando como se fosse uma estrutura, na antiguidade chamada: de esteganografia. Mudando o formato desse arquivo em si, mas mantendo o nome, mantendo link, algo muito parecido, as vezes muda só uma letra e o usuário está despercebido ele vai lá e a abre aquele aplicativo, instala, baixa ou indica para outra pessoa, então realmente toma cuidado com esses tipos itens. Então senhas podem senhas podem ser insuficiente para garantir uma segurança das suas contas. Então é interessante também que os usuários utilizem o segundo fator de autenticação.
Isso 100%? É o que a gente fala: nunca vai ser 100%, mas já vai inibir uma margem bem alta. Sempre usar conexões seguras, tomar cuidado com a estruturas de wi-fi gratuitos, tomar cuidado com páginas que você não sabe se aquela página realmente, é uma página autenticada ou não, ou seja ovalidar os certificados daquela página, validar se é uma página segura que a gente fala que é: https. E além de ficar em casa e se proteger; Lembre-se de proteger também os seus equipamentos. Essa época de quarentena, além de estarmos precavendo por nossa saúde em si e de nossos familiares. Também não deixar de ter uma um certo cuidado com os equipamentos.
Porque como está constantemente na internet, pesquisando uma coisa, vendo notícias, se a gente não manter atualizado algumas features de segurança, não mantermos algumas preocupações com eles, a gente acaba também entrando aí algum golpe fácil e a máquina acaba infectada e você vai ter mais dores de cabeça ainda.
Legal, Alex. Para finalizar, quais seriam as medidas que as empresas podem tomar para conscientizar os usuários, os funcionários deles? Chamar, fazer alguma reunião geral, deixar algum grupo de fórum… Tem alguma medida que é interessante para a empresa tomar para alertar os colaboradores?
Seria interessante as empresas em si, criarem campanhas de conscientização, fazerem exemplos… elas mesmos criaram em estruturas de sites maliciosos para os próprios colaboradores, fazer campanhas de phishing para seus colaboradores, para ver a magnitude de porcentagem… De quantos clicam no link, quantos abrem o e-mail, porque tem pessoas que vê o e-mail e já nem abrem, já tem pessoas que abre o e-mail mas não clica no link. Então ter essa porcentagem para poder fazer uma tratativa, um direcionamento.
Não tem jeito, a melhor prática é a conscientização.
Eu acho que é interessante também, entender as consequências disso para as empresas, Alex. No pior dos cenário o que que pode acontecer de algum ataque de Engenharia Social ou phishing para empresa?
A gente tem vários tipos de classificações: você pode ter algum problema de direito de imagem. Você pode ter perda financeira. Porquê perda financeira? Perda financeira, de repente, se algum usuário foi infectado, a máquina dele foi infectada. Mas se a máquina dele é uma máquina de algum colaborador que tenha alguns privilégios superiores a outros dentro da corporação, então pode ser que ele infecte alguma área relacionado ao ambiente de servidores. Aí esses servidores podem ser infectado, pode atribuir a ele um ransomware, onde ele pode ser encriptado, se ele for encriptado, a empresa pode ficar parado. E isso é comum, tá? Não é algo que a gente fala: Não isso, nunca pode acontecer.
Não, isso é comum. Nós aí da empresa, já participamos de vários eventos de empresas solicitando ajuda. Onde a empresa falou: Cara, fui infectado, por um ransomware. E ao acontecer isso, a única ideia de momento é: Backup. Ou seja, o que foi encriptado: perdeu, cara. Apaga e volta o backup. Então o backup para esse tipo de situação é fundamental.
Bom, Alex. Muito obrigado pelas suas dicas e por conscientizar, todo usuários e empresas nesse momento super delicado que pode ser utilizado por cibercriminosos, para se aproveitarem da fragilidade do momento. E para quem quiser, e se interessou pelas dicas por: Engenharia Social, Phishing, nesse momento de coronavírus tem um documento na descrição no vídeo colocando em etapas o que as empresas podem fazer, o que os usuários podem ficar de olho, é bem completinho e vai ajudar bastante a sua empresa nesse momento.
