Se a falta de conscientização sobre cibersegurança é um erro tão grave, quais as suas consequências?
A Engenharia Social é sem dúvidas uma das maiores inimigas da falta de conscientização sobre cibersegurança, mas embora suas técnicas tornem os usuários menos experientes alvos fáceis, suas práticas conscientes e voluntárias também podem despertar vulnerabilidades que só chegariam em colaboradores conscientes de maneira mais complexa.
O fator da desinformação e a falta de conscientização
Embora muitas vulnerabilidades tenham origem tecnológica, essa não é sua única fonte.
Já em 2018 – segundo estudo da Kaspersky – cerca de 33% dos principais ataques na indústria tiveram origem humana, ou seja, ao menos 1/3 dos ataques foram resultados de práticas humanas, tornando-se uma das principais camadas de ataque em segurança da informação.
A Kaspersky também revelou em outra pesquisa, que 2/3 dessas empresas não reportam incidentes, o que significa que esses números poderiam ser ainda maiores.
A mudança de comportamento humano, com a adoção de dispositivos móveis, é cada vez menos segregada entre vida pessoal e profissional, especialmente com o crescimento de tendências como o BYOD (Bring Your Own Device) e o Trabalho Remoto.
Esses últimos podem ter fácil acesso a dados sensivos da empresa, tornando o rastreio e identificação por aplicações maliciosas ainda mais fácil.
Com a combinação de dispositivos – muitas vezes desprotegidos e a desinformação em cibersegurança, essas pessoas tornam-se alvos fáceis de criminosos que podem se aproveitar do combo, sendo uma vulnerabilidade para seus dados pessoais e corporativos.
Nenhuma empresa ou sociedade teria benefícios em um retrocesso dessa nova relação com a tecnologia, e é por isso que uma das melhores maneiras de remediar essas novas vulnerabilidades são as campanhas de conscientização sobre segurança da informação.
Estes são os principais ataques causados pela falta de conscientização sobre cibersegurança
Observe a grande maioria das crianças. Algumas podem não gostar de tomar banho ou escovar os dentes, e se elas tivessem a escolha estariam vulneráveis a sujeira e consequentes problemas de saúde, logo isso não significa que as ações possam ser negligenciadas, correto?
Quando falamos em práticas de segurança o raciocínio pode ser levemente parecido, pois nem todo processo é o que vai tornar o dia a dia mais fácil. Ninguém quer ter o trabalho adicional de obter um código após digitar a senha, mas isso torna o ambiente mais seguro.
Como aqui neste artigo estamos falando justamente dessa benéfica, mas muitas vezes problemática, relação entre humanos e máquinas, precisamos destacar as principais consequências de um usuário não orientado:
Engenharia Social é potencializada com a falta de conscientização
A Engenharia Social representa uma série de ameaças que possuem como vítima uma pessoa, sendo o phishing a ameaça mais popular do mundo, além de funcionar a partir até mesmo de abordagens não eletrônicas.
Abordamos os mais diversos tipos de phishing e ataques de engenharia social em artigos como este e este, mas para contextualização, vamos lembrar que esses ataques ocorrem com a obtenção de dados de uma pessoa ou organização através de técnicas de comunicação e persuasão.
Isso pode ocorrer para:
- Roubo de Senhas: Enganado por páginas muito semelhantes a serviços de consumo, usuários podem enviar suas informações de credenciamento para servidores de cibercriminosos ou realizar downloads com arquivos maliciosos.
- Roubo de Informações: Da mesma maneira, usuários podem enviar dados e informações sigilosas ao serem solicitados por contatos que acreditem ser verdadeiros.
- Perda de Privacidade: Cibercriminosos podem monitorar as ações, ler e-mails com credenciais comprometidas e até mesmo ter acesso a câmera e gravar ou fotografar suas vítimas sem serem notados.
- Furto de Identidade: Muitas abordagens de phishing partem de e-mails, telefonemas ou domínios falsos, mas também é possível que parta de um contato real. Exceto que essa pessoa sofreu um ataque e alguém pode estar se passando por ela. Essa é considerada uma das práticas mais sérias em cibersegurança por envolver o crime de estelionato.
Uma das principais variações desse ataque chama-se spear phishing, sendo um ataque altamente segmentado para atacar funcionários e até mesmo executivos que podem enganar-se com telefonemas ou e-mails com conteúdo e contexto muito credíveis.
Esteganografia
A esteganografia é o conceito de esconder mensagens, isso pode ocorrer em imagens e também arquivos. Essa técnica milenar é uma área de estudos que analisa além de arquivos audiovisuais e softwares, meios como os protocolos TCP e documentos de texto.
Imagine que a partir disso, é possível esconder informações em recursos visualizados amplamente por todos dentro de uma organização, sendo que somente os interessados poderão entender a mensagem oculta já que saberão onde procurar por ela.
Diferente da criptografia, prática em que os dados estão ininteligíveis por todos de maneria publica, a esteganografia esconde esse fator, tornando-se algo ainda mais secreto.
Dentre os principais métodos para realizar tal façanha está a substituição de bits menos significativos, e por ser camuflada também limita-se ao máximo de dados que podem ser escondidos sem que outras pessoas percebam.
Isso pode ocorrer para:
- Comunicações secretas: Cibercriminosos inseridos no mesmo ambiente de ataque podem utilizar a técnica para comunicar suas ações a partir da prática ou até mesmo expor dados de maneira silenciosa.
- Códigos Maliciosos: A partir da técnica também é possível inserir códigos maliciosos em arquivos aparentemente seguros, como uma simples imagem.
- Vírus e Malwares: Diversos tipos de vírus e malwares podem se beneficiar da prática, sendo o cavalo de troia um formato que trabalha com o uso do mesmo conceito.
Cache Poisoning
O Cache Poisoning é a corrupção dos dados temporários armazenados de um site, a partir de seu servidor de nomes, com a substituição de um endereço seguro por outro não autorizado.
A ameaça era considerada complexa até a edição de 2018 do evento Black Hat, pois durante a a1presentação de uma das palestras, James Kettle, chefe de pesquisa do PortSwigger Web Security, mostrou como realizar o ataque de maneira mais simples.
Sendo frequentemente associado a URL poisoning, um método para monitorar os comportamentos de um usuário a partir de um identificador invisível a vítima, essas vulnerabilidades podem:
- Reconhecer ações de usuários sem o consentimento: Basta um pixel com o código de tracking para que seja possível descubrir a abertura de um e-mail, por exemplo.
- Sequestro de navegador: Ao assumir os controles de DNS, o cibercriminoso pode direcionar a vítima que tenta acessar determinado link para o dstino desejado.
Vetores de ataque menos populares são potencializados com a falta de conscientização
Para categorizar os vários vetores de ataques subordinados a navegadores web, funcionando no fortalecimento de seus recursos, a cert.br criou uma página com essas principais vulnerabilidades, que apesar de menos populares, continuam sendo importantes para o processo de conscientização:
- Códigos Móveis
Os códigos móveis são os recursos utilizados por desenvolvedores para trazer funcionalidades e melhorar a aparência de páginas web, o que apesar de parcer inofensivo possa trazer vulnerabilidades. Dentre os mais famosos, estão: Programas e Applets Java, JavaScripts e Controles ActiveX.
- Cookies
Conforme já mencionado, os cookies podem armazenar informações de credenciamento, e isso pode resultar em situações de preenchimento automático em alguns ambientes, por exemplo, tornando o recurso uma vulnerabilidade caso o dispositivo esteja nas mãos de outras pessoas, além da possibilidade de memorizar informações pessoais e hábitos.
- Janelas pop-up
Muitas vezes invasivas, as janelas pop-up não são as queridinhas da internet, mas ao carregar recursos automaticamente podem apresentar conteúdos indesejados, resultar em cliques involuntários ou até mesmo códigos maliciosos.
- Plugins, complementos extensões
Os plugins são normalmente disponibilizados em marketplaces verificados pelos próprios navegadores, mas isso não é motivo para não serem alvos de vulnerabilidades disfarçadas ou rastreadores de comportamento.
- Links Patrocinados e Anúncios gráficos
Alguns sites podem utilizar serviços como o Google Ads como forma de remuneração, o problema é quando esses anúncios são colocados em posições estratégicas para induzir o clique por ser confundido como páginas do próprio site, levando a anunciantes que nem sempre terão a mesma confiabilidade do site de origem.
- Tranferências (P2P)
Existem diversas maneiras de compartilhar recursos de um usuário para o outro, desde um compartilhamento por aplicativos como o WhatsApp, até versões mais tradicionais como os serviços de Torrent. Mas essas trocas podem resultar também na transferência de infecções que nem mesmo a fonte (usuário que está enviando o arquivo) tinha o conhecimento.
Embora esses vetores de ataque sejam menos referenciados, é de extrema importância tratá-los em algum momento de uma campanha de conscientização sobre segurança da informação, pois são utilizados diariamente por usuários de diferentes setores.
Será que você é um mestre da segurança da informação e conhece todos os vetores de ataque?
Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.
Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.
Como manter uma empresa segura?
Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua empresa.
