Proponha uma correção, faça uma sugestão
Saiba como hackers usam os funcionários para atacar empresas
Por Hugo Sousa para PPLWARE.COM
Actualmente os funcionários das empresas são os alvos preferenciais dos hackers para os ataques cibernéticos. Com este artigo vamos mostrar-lhe de uma forma simples as cinco formas mais utilizadas pelos cibercriminosos para invadir a rede da sua empresa, acedendo assim às suas informações mais sensíveis.
A verdade é que nenhuma empresa quer imaginar o facto dos dados dos seus clientes, as suas infraestruturas e até mesmo a sua rede serem alvo de ataques cibernéticos, quer seja por organizações criminosas ou mesmo por espionagem governamental. Mas sabe os pontos por onde se desencadeiam os ataques?
Neste momento deverá estar a questionar-se, os meus funcionários? Sim, porque os cibercriminosos utilizam preferencialmente os funcionários das empresas para elaborar este tipo de ataques.
Mas porque será que os cibercriminosos atacam as empresas através dos seus funcionários?
Segundo um relatório da RAND Corporation, além das vulnerabilidades não corrigidas, o “elemento humano” continuará a ser o principal ponto fraco a ser explorado pelos cibercrimonosos.
“Updates, you can do. Vulnerabilities can be patched. But people... are people.”
Neste tipo de ataques a técnica mais utilizada é normalmente a técnica de phishing, onde basta o utilizador carregar em determinado link ou mesmo fazer o download de uma aplicação para que o sistema fique infectado. Sendo este um dos ataques que mais prejuízo traz tanto a nível pessoal como a nível empresarial.
Em Dezembro do ano passado, ocorreu um ataque de phishing que fez com que 40 milhões de cartões de crédito e 70 milhões de contas de utilizador fossem vendidas no mercado negro em poucos dias. As informações vendidas pertenciam à empresa americana Target. O ataque de phishing foi direccionado a um funcionário de uma empresa parceira, no entanto, daí resultou uma enorme falha de segurança para a empresa e para os seus utilizadores.
Normalmente, os ataques direccionados aos funcionários são os mais difíceis de detectar, sendo que, quando são detectados já é tarde demais. Segundo o livro Inside the Hacker's Playbook, 76 por cento das empresas que são atacadas por cibercriminosos sem se darem conta, necessitando mesmo que as informe que foram atacadas.
Posto isto, pode dizer-se que é mais importante a consciencialização dos seus funcionários para este tipo de situações do que investir em Software anti-malware. Com certeza, desta forma poderá poupar alguns milhões de euros na segurança das suas infraestruturas.
Conheça as cinco técnicas mais utilizadas pelos cibercriminosos para este tipo de ataques.
1. E-mails Falsos
Segundo o relatório da RAND Corporation, os ataques de phishing vão ficando cada vez mais sofisticados à medida que o mercado negro do cibercrime amadurece, sendo que os ataques de phishing mais utilizados actualmente são em forma de e-mail.
Isto é, os cibercriminosos enviam ao seu funcionário um e-mail onde lhe é pedido para clicar em algum link ou mesmo fazer o download de um anexo supostamente importante. A partir do momento que o utilizador cai nessa cilada, os cibercriminosos passam a poder controlar as suas infra-estruturas.
Neste tipo de e-mails, os cibercriminosos tentam usar assuntos que façam com que o utilizador faça o que eles pretendem, sendo muitas vezes e-mails relacionados com instituições bancárias, seguradoras, agências de viagens, até por vezes utilizando também desastres naturais como forma de persuadir o próprio utilizador.
Mais informações sobre este assunto visitar o nosso artigo Tanto E-mail? Será Spam, Será Malicioso?
Nesse mesmo relatório a RAND Corporation afirma ainda:
"Different pieces of the market react differently to outside events (e.g., natural disasters, revelations to Wikileaks, or releases of new operating systems).”
2. O “Mau” Android
Continuando a seguir o relatório realizado pela RAND Corporation, o uso das redes sociais e o contínuo crescimento da utilização de dispositivos móveis são duas das principais razões para que o cibercrime aumente ainda mais.
Chegando mesmo a afirmar que:
"The development of mobile malware for Android devices (70 percent of all mobile attacks) is likely to continue until Google, device manufacturers, and service providers work together to find a way of delivering updates and patches to users as they come out (only 12 percent of Android devices have been updated to the versions that prevent premium SMS charges being run up on the phones of unsuspecting users)."
Todos os seus funcionários deverão ter a noção que o facto de abrirem um link desconhecido no navegador do seu telemóvel poderá ser tão grave como abrir esse mesmo link no navegador do seu computador. Os navegadores móveis estão sujeitos aos mesmos tipos de ataque que os outros, sendo por sinal, ainda mais fácil falsificar um site móvel do que qualquer outro site.
3. Viajar torna-o um Alvo Fácil
Os seus funcionários que por qualquer que seja o motivo necessitem de viajar frequentemente estão extremamente mais vulneráveis a ataques, sendo que em muitas das situações nem têm a noção que foram atacados por cibercriminosos. A principal razão para que isto aconteça, é o facto de que os seus funcionários não saberem como proteger os seus dispositivos, como proteger o acesso à rede nem mesmo como verificar se foram comprometidos.
O ataque mais comum é denominado de “Evil Maid Attack”. Quando os seus funcionários têm a necessidade de fazer viagens de negócios, normalmente utilizam computadores ou mesmo outro tipo de dispositivos para armazenar informação importante, quer seja de reuniões quer seja de clientes. No entanto, nem sempre o seu funcionário estará com os olhos em cima desses mesmos dispositivos, podendo por vezes deixá-los no quarto do hotel.
Estes dispositivos podem ser fisicamente comprometidos de forma muito fácil em menos de 60 segundos. Neste pequeníssimo período de tempo os cibercriminosos poderão injectar os seus dispositivos com dezenas de malware. É nisto mesmo que o ataque “Evil Maid Attack” consiste.
4. Outras Empresas
Como temos referido, os ataques cibernéticos têm evoluído e cada vez estão mais sofisticados. Desta forma, mesmo que o seu funcionário não tenha carregado num “link estranho”, ele poderá ser infectado. Como será isso possível? É muito fácil. Imagine que a sua empresa tem uma parceria com uma outra. No entanto, os servidores dessa mesma empresa com a qual mantém parceria foram comprometidos. Basta o seu funcionário carregar num link que pertence à sua parceira para que a sua infra-estrutura esteja também sob uma grave ameaça de segurança.
Este foi apenas um exemplo, porque esta situação pode acontecer com empresas com as quais não tem qualquer tipo de ligação. Na semana transacta os servidores da empresa EA Games foram invadidos e foi lançado em simultâneo um ataque de phishing. E o que é que aconteceu? Todos os utilizadores que fizeram login no Site, viram as suas credenciais serem roubadas por cibercriminosos.
5. Trabalhar Remotamente
Cada vez mais são as empresas que hoje em dia permitem aos seus funcionários trabalhar remotamente. Posto isto, deverá sempre certificar-se que está a trabalhar com uma VPN segura, de modo a proteger as suas actividades na Internet. Caso contrário, poderá colocar as infraestruturas da sua empresa em risco.
Além do mais, existem alguns cuidados que os seus funcionários devem ter, como por exemplo aceder a redes sem fio através de dispositivos que contenham informação importante sobre a empresa, ligar dispositivos de armazenamento móveis aos dispositivos da empresa ou até mesmo aceder a Sites da empresa onde seja necessário credenciais de acesso através de dispositivos de terceiros, podendo essas credenciais pessoais cair nas mãos erradas.
Com este último ponto fechamos então as cinco técnicas mais utilizadas pelos cibercriminosos para invadir a sua empresa. Agora a questão que se coloca é: estarão os seus funcionários atentos a todas estas situações?
Este artigo tem mais de um ano
Loading ...
1 – Os funcionários devem ser instruídos para não abrir mails duvidosos. Além disso, um bom sysadmin deve cortar o mal pela raíz, eliminar spam e vírus antes de chegar à caixa do utilizador comum.
2 – Desculpa da treta, qualquer dispositivo móvel pode trazer chatices, seja Android ou outro. Ficava melhor ao autor falar no geral.
3 – Mais uma vez, e como relata o Kevin Mitnick no seu livro, é urgente e mais do que necessário dar formação aos utilizadores/funcionários sobre as boas práticas de segurança.
Um bom sysadmin, também saberá identificar o funcionário mais problemático e alertar os seus superiores para tomarem medidas.
4 – Para isso acontecer é preciso que haja muita falha de comunicação (ou incompetência) em ambas as empresas no dept. de TI.
5 – 2014, qualquer empresa devia pensar 4 ou 5 vezes antes de abrir “serviços” para o exterior.
Para o funcionário teletrabalhador, uma VPN é suficiente. Infelizmente, ainda se vê muita PPTP por aí 😐
Digo eu…
Este comentário é uma opinião pessoal e não reflecte os valores ou opiniões da minha entidade patronal.
Hmmm respondendo inline:
1 – Os funcionários devem ser instruídos para não abrir mails duvidosos. Além disso, um bom sysadmin deve cortar o mal pela raíz, eliminar spam e vírus antes de chegar à caixa do utilizador comum.
R: Claro que devem ser instruídos, até devem ter já essa instrução quando ocupam as funções numa empresa, contudo e o mais corrente nas empresas em Portugal é não haver esse controlo, não haver um sysadmin nas empresas, ser tudo muito pouco estruturado e, até nas grandes empresas, existir um profundo sentido de responsabilidade.
2 – Desculpa da treta, qualquer dispositivo móvel pode trazer chatices, seja Android ou outro. Ficava melhor ao autor falar no geral.
R:Não concordo. Sabemos perfeitamente que além de haver mais dispositivos com Android estes são mais propensos a estarem sujeitos às “invenções” dos seus proprietários, trocar rooms, instalar apk sem controlo de segurança e fora da Play Store e tudo via computador da empresa. Sabemos isso muito bem e sabemos que é mais fácil no Android que em qualquer outros SO (qualquer informático atento sabe disso).
3 – Mais uma vez, e como relata o Kevin Mitnick no seu livro, é urgente e mais do que necessário dar formação aos utilizadores/funcionários sobre as boas práticas de segurança.
Um bom sysadmin, também saberá identificar o funcionário mais problemático e alertar os seus superiores para tomarem medidas.
R:Sem dúvida. Comecemos então por cima, pelas estruturas directivas. Antes de mais é necessário explicar aos administradores a importância de um sysadmin dentro da empresa. Grande parte das empresas em Portugal são PME’s e micro empresas, dessas, grande parte recorrem a serviços de empresas terceiras para manutenção do parque informático. Não há cultura de segurança pró activa nessas empresas.
4 – Para isso acontecer é preciso que haja muita falha de comunicação (ou incompetência) em ambas as empresas no dept. de TI.
R:Voltas a partir do pressuposto errado. Repito, além da incompetência de alguns dep. de TI, há muitas empresas que simplesmente não têm esse tal “departamento TI”, é o empregado de escritório, o desenrasca tudo lá do gabinete que faz isso. Essa é a realidade do país, do tecido empresarial em Portugal.
Ando nisto há mais de 20 anos e conheço essa realidade como as palmas das minhas mãos.
PS: não deixas de ter razão, mas apenas numa percentagem ínfima das empresas.
5 – 2014, qualquer empresa devia pensar 4 ou 5 vezes antes de abrir “serviços” para o exterior.
R:Verdade. Mas primeiro vamos explicar às empresas o que é o exterior.
Para o funcionário teletrabalhador, uma VPN é suficiente. Infelizmente, ainda se vê muita PPTP por aí 😐
R:Se fores por essa empresas, país fora, ficas surpreendido com o parque informático, tens bons profissionais, o que não tens é equipamentos à altura das necessidades.
Uma das lutas da Microsoft, por exemplo, é a ainda pressão para substituição das máquinas com Windows XP por uma versão actual. Ainda há uma percentagem grande de máquinas nas empresas em Portugal com Windows XP.
Digo eu…
Este comentário é uma opinião pessoal e não reflecte os valores ou opiniões da minha entidade patronal.
Bom comentário, contudo ainda é necessário fazer mais nas empresas. Quando ainda temos empresas a facturar em blocos de facturas papel… e com guias tiradas com papel químico no verso… isso é revelador meu caro 😉
Obrigado pela tua opinião.
Claro que tinha de ser o Android, só os do Android é que instalam Roms e APK fora da PlayStore…
Já ouviu falar em Jailbreak?
Parece que não…
A parte das apk ainda concordo, agora utilizadores que instalam roms, à partida são utilizadores mais avançados que tem menos probabilidades de isso lhes acontecer.
O problema Mário, é que os utilizadores mais avançados nem sempre o são em todos os sentidos.
Vejo muito pseudo-informático que acha ser avançado só porque leu uns tutoriais no xda, aliás, acham que são avançados por lerem o XDA 🙂 🙂
Mas sim, qualquer dispositivo é uma ameaça.
Veja-se o caso relatado na SecurityByDefault, os hackers não conseguiram entrar na rede interna da empresa, mas aperceberam-se que os funcionários iam sempre ao mesmo restaurante e esse restaurante tinha um menu online. Atacaram o site e infectaram os dispositivos móveis, depois já conseguiram aceder 🙂
Sim também há a questão do JB no iOS, 😉 mas não queiras comparar. É substancialmente menor e mesmo assim é mais seguro (há menos malware).
O facto dos apk é um dos grandes problemas, como diz no relatório, aliás não fomos nós que inventamos esse problema, está num relatório citado no artigo, claro, podes sempre duvidar dele 😀
Quanto ao ser já um utilizador avançado… pois aí é que também te enganas, cada vez mais a ‘malta’ vai á descoberta e qualquer pessoa hoje já se mete a tentar, atenção, qualquer pessoa que tenha os mínimos na tecnologia, por onde o perigo espreita… por isso é que este ponto foi citado no relatório como problemático para as empresas, o Bad Android é um dos problemas.
Agora, todos os outros sistemas, á sua escala, quando têm malware também o são.
Toma lá um excelente programa fora da PlayStore; o myTeam
http://www.my-team.pt
Ponto 2: Mais 1 android fan chateado com a realidade…
Tirando este ponto concordo com tudo.
Cinco formas de meter o pé na poça, mas tenho a certeza que só uma dessas vai ser discutida.
:grabs popcorn:
Bruxo 🙂
+2
Got it?! 😀
Claro, nem e preciso dizer o nome… ehhe xD
5 formas de se saber que os RH contrataram o sysadmin errado 🙂
Vão lá pelas cunhas e pelos canudos e depois é só disto 🙂
Começa por A e acaba em D?
E anda pessoal preocupado com “coisas que dobram no bolso”. 🙂
E agora até corta barba e cabelo. É mesmo “especial” 😀
XD
Curioso como se fala do Android quando The Fappening ainda hoje tem leaks a sair xD
Este método já é usado a dezenas de anos, o mais conhecido foi pelo mitico Kevin Mitnick, ao que ele chamou este “processo” de social engineering, que comecou a usar com apenas 15 anos de idade, leiam o livro dele, é muito interessante.
+1
A maioria dos “hacks” dele nem sequer precisaram de PC, só um telefone e saber o que dizer na altura certa.
Social engineering isto é que era 🙂
É engraçado como num artigo em que falam das formas mais utilizadas no ataque a funcionários de empresas não falem da mais importante : ENGENHARIA SOCIAL (como referiu o Rafael Ramos). Aliás no vosso artigo até referem o que torna esta prática a mais perigosa ” “elemento humano” continuará a ser o principal ponto fraco a ser explorado pelos cibercrimonosos.”.
O elo mais fraco será sempre o funcionário, aquele que não é aumentado à mais de 10 anos, aquele quem ninguém reconhece e dá valor, aquele que terá sempre a pressão sobre ele, aquele que trabalha por 2-3… etc etc
Talvez não é preciso ser inteligente para perceber que mesmo que os funcionário saibam disso, será que vão precaver situações dessas, nahhhh, não me parece.
Fala-se muito de uma realidade que é só para alguns, ou só para aqueles com bolsos gordos. Nem todas as empresas tem capacidade para pagar ou investir numa visão que pode nem reproduzir efeitos.
Por onde andam os lideres?
Creio que grande parte das fragilidades a novel informatico partem das camadas superiores das empresas que muitas vezes devalorizam a importancia do seu parque informatico e sua supervisao/manutancao/seguranca. Conheco a realidade de Portugal e do Reino Unido.
Em Portugal, no geral, poucas empresas estao dispostas a “gastar” para Informatica. Se os computadores funcionam e tem um antivirus, basta.
Consultoria? Contrato de assistencia seja ele onsite ou subcontratato por uma empresa de TI? Nao, obrigado!
Trabalho desde sempre em TI, e pelas empresas que passei assito a métodos de trabalho diferentes. Uns dao mais importancia que outros ‘a suguranca informatica. A verdade é que continua a ser subvalorizado e claro que só quando algo grave acontece é que se tomam medidas.
Seja via Funcionario, PC, Laptop, Smartphone… acho que existe é pouca sensibilizacao para a seguranca em geral.
Digo
* nível
* seguranca