Ciberataques em vias aéreas: hackers violam sites do aeroporto de São Francisco

Funcionários revelam que nomes de usuário e senhas foram roubados

 

O Aeroporto Internacional de São Francisco divulgou que hackers roubaram nomes de usuário e senhas de dois de seus sites em março.

De acordo com uma notificação recente, disponíveis em seus canais de comunicação, os sites invadidos foram o SFOConnect.com, que fornece atualizações sobre o aeroporto para passageiros e viajantes, e o Flysfo.com, que contém informações sobre projetos de reforma, construção e expansão do aeroporto.

Até segunda-feira (13/04), o site SFOConnect já estava funcionando normalmente, fornecendo informações sobre serviços de passageiros, de voo e os efeitos da pandemia do COVID-19 no aeroporto. O site SFOConstruction, contudo, ainda está fora do ar, redirecionando apenas para a página de notificação da violação.

Embora a notificação ressalte que o incidente ocorreu em março e que as autoridades aeroportuárias ainda estão investigando, ainda não foi não divulgado quantas senhas e nomes de usuários podem ter sido comprometidos e se a violação afetou passageiros, funcionários do aeroporto ou ambos.

O Aeroporto Internacional de São Francisco é considerado o sétimo aeroporto mais movimentado dos EUA e seu site diz que ele normalmente recebe cerca de 58 milhões de passageiros por ano. Pertence e é operado pela cidade de San Francisco, quarta cidade mais populosa do estado da Califórnia.

Como aconteceu o ciberataque ao aeroporto de San Francisco

Segundo a notificação de violação, os hackers inseriram códigos maliciosos nos dois sites para roubar as credenciais de login dos usuários. A notificação não esclarece se o ataque começou com um email de phishing ou uma exploração de uma vulnerabilidade.

“Os usuários possivelmente afetados por esse ataque incluem aqueles que acessam esses sites de fora da rede do aeroporto pelo Internet Explorer em um dispositivo pessoal baseado no Windows ou em um dispositivo não mantido pelo Aeroporto Internacional de São Francisco”, diz a nota de esclarecimento.

Depois que o hacking foi identificado, os dois sites foram tirados do ar e o código malicioso foi removido, de acordo com a notificação. As autoridades do aeroporto forçaram a redefinição de todas as senhas de e-mail e de rede no dia 23 de março.

Agora, elas pedem que qualquer pessoa que tenha visitado ou que tenha configurado uma conta esses dois sites para redefinir suas senhas e nomes de usuários urgentemente, especialmente se eles usarem um dispositivo cujo sistema operacional é o Windows.

“Embora não esteja claro qual foi a motivação por trás desse ataque, os dois sites parecem confiar na autenticação de login único, o que os tornou mais suscetíveis a esse tipo de hacking”, diz Fausto Oliveira, principal arquiteto de segurança da empresa especializada em cibersegurança Acceptto.

“O site SFOConstruction.com exige [para login] um código de registro publicado no próprio site, o que dificilmente é uma medida eficaz para impedir a aquisição de contas no primeiro uso e que pode ser facilmente explorado por hackers que usam ataques de engenharia social mais simples”, diz Oliveira à Information Grupo de mídia de segurança.

“Da mesma forma, o SFOConnect.com revela dados que ajudam a entender a composição das informações hospedadas, e há um site do SharePoint que contém informações de comissões de aeroportos. Esse tipo de dados nunca deve ser exposto a usuários não autenticados”.

Oliveira diz que mesmo um processo simples de autenticação de dois fatores pode ter impedido a exposição de alguns dados.

Não é a primeira vez que aeroportos são alvos de ciberataques

Em outro incidente recente envolvendo hackers e vazamento de dados de aeroportos, autoridades do Aeroporto Internacional de Albany (Nova York) divulgaram em janeiro que tiveram que pagar uma gangue de cibercriminosos depois que os sistemas da instalação foram atingidos pelo ransomware Sodiniokibi no Natal, a fim de que suas atividades fossem normalizadas. O incidente permanece sob investigação do FBI e do Cyber ​​Command do Estado de Nova York.

Em 2015, na Polônia, ataques de hackers chegaram a resultar em cancelamentos e atrasos no aeroporto de Chopin, na Varsóvia, depois que um ataque cibernético afetou os sistemas da companhia aérea polonesa Lot, impedindo os computadores de criarem planos de voo.

Em 2017, na Ucrânia, ataques cibernéticos atingiram o aeroporto ucraniano de Odessa e o sistema de metrô em Kiev. Não se sabe ao certo os motivos, mas o aeroporto de Odessa informou que intensificou as medidas de segurança, enquanto o metrô de Kiev reportou um ataque ao seu sistema de pagamento.

Já em 2018, em Atlanta, o Aeroporto Internacional Hartsfield-Jackson foi forçado a desligar sua rede de Wi-Fi interna como medida de segurança, depois que a rede do governo da cidade de Atlanta sofreu um ataque de ransomware.

Nesse caso, o problema foi mais grave: os arquivos presentes na rede foram criptografados e mantidos como “reféns” em vários dos computadores oficiais. O aeroporto de Atlanta desativou o serviço Wi-Fi para evitar que qualquer ransomware malicioso se espalhasse pelos computadores das autoridades aeroportuárias, das companhias aéreas e, possivelmente, dos clientes.

No Brasil, em 2019, um hacker identificou uma brecha de segurança em um aplicativo da LATAM que permitiria usuários mal intencionados acessarem notebooks e celulares de clientes da companhia aérea, através da transferência de malware por um procedimento de phishing interno.

A principal preocupação era que a vulnerabilidade detectada também permitiria que o hacker gerasse um falso formulário de compra para roubar informações mais sensíveis, como nome completo e dados de cartão de crédito — o que abriria margem para uma série de fraudes e golpes de falsificação ideológica. Em nota emitida pela LATAM, a companhia alegou que testes e correções foram encaminhados imediatamente após a notificação.

Ataques a aeroportos ou em sistemas de companhias aéreas não são incomuns. Isso porque estamos lidando com locais que combinam total dependência de soluções tecnológicas com uso de informações sensíveis sobre funcionários e passageiros.

O investimento em segurança deve cobrir todas as possíveis frentes de ataque e ir além do básico; é preciso presumir que estamos sempre sob risco de sofrer um ataque cibernético e cuidar tanto de nossos sistemas quanto de nossas atitudes como usuários.

Nas redes da Compugraf estamos compartilhando conteúdos riquíssimos para garantir prevenção de ataques. Não deixe de dar uma olhada e compartilhar com seu time!

Aircrafts in an airport
Read more
No Comments

Quais sentimentos são explorados na Engenharia Social

Quais sentimentos a Engenharia Social consegue despertar para persuadir suas vítimas?

sentimentos explorados na engenharia social

Um ataque de Engenharia Social resulta no sucesso do criminoso em persuadir as vítimas a realizarem o que desejam.

A persuasão por si, é um processo, conhecido também como teoria da persuasão na psicologia.

Para que alcance o objetivo, a prática pode envolver uma vítima emocionalmente de diversas maneiras, e isso faz com que qualquer um seja vulnerável a ela.

Para conhecermos alguns dos sentimentos explorados pela Engenharia Social, separamos:

Seguimos.

O que é Engenharia Social em Segurança da Informação?

A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.

Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:

É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.

A base da segurança da informação em 4 pilares:

  • Confidencialidade
  • Integridade
  • Disponibilidade
  • Autenticidade

Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.

É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.

Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?

Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.

Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.

Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.

Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.

E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.

E é por este raciocínio que chegamos a Engenharia Social.

É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.

A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.

Não é só para o mal

Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.

Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.

A polícia pode se beneficiar do recurso para muitas investigações.

E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.

Como funciona um Ataque de Engenharia Social na Segurança da Informação

Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.

Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.

Quem é quem em um ataque de Engenharia Social

O Engenheiro Social

engenheiro social

Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.

Até porque a formação ainda não existe. Ao menos não formalmente.

Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:

  • Capacidade de contar uma boa história de maneira convincente.
  • Habilidade para utilizar as informações coletadas a seu favor.
  • Poder de persuadir para conseguir que as ações sejam voluntárias.
  • Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.

A Vítima de Engenharia Social

a vítima de engenharia social

A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.

A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.

Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.

Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.

Em situações cotidianas, vítimas podem ser feitas:

  • Quando desatentos – em modo “automático” na realização de suas tarefas.
  • Ocasião em que não verificam a autenticidade das mensagens recebidas.
  • Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
  • No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
  • Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.

Sentimentos explorados pela Engenharia Social

A Engenharia Social explora vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.

Por não exigir conhecimentos técnicos, a engenharia social também existe sem tecnologia, algo conhecido como no-tech hacking.

Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.

E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:

Curiosidade

Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.

Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.

Preguiça

Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?

Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?

Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.

Cortar caminho nem sempre é o melhor a ser feito.

É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.

Solidariedade

Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.

Mas não só isso.

Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.

E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.

É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.

Até mesmo na voluntária ajuda alheia.

Vaidade

O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.

Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.

É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.

Ansiedade

Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.

Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.

É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.

O Brasil no foco dos ataques de Phishing

Phishing infográfico

A vulnerabilidade do Fator Humano

Todos estamos sujeitos a cair em um golpe de Engenharia Social, uma comunicação poderosa não separa o CEO de um outro profissional.

É por isso que os treinamentos de inteligência emocional, ao lado da conscientização e softwares preventivos podem ser essenciais para a segurança de dados de sua empresa.

Quer saber como a Compugraf pode ajudar na tarefa de encontrar as melhores soluções para sua empresa? Fale com nossos especialistas!

Read more
No Comments