Com uma estimativa de 3,4 bilhões de solicitações maliciosas de informações enviadas por e-mail todos os dias, o phishing é a forma de ataque cibernético mais prevalente no mundo. Muitas empresas acreditam erroneamente que a identificação de tentativas de phishing é simples e que seus funcionários nunca sucumbiriam a uma solicitação suspeita de seus detalhes de login.

No entanto, uma série de incidentes recentes de phishing em empresas renomadas, como Cisco, Twilio e Uber, chamou a atenção para uma realidade surpreendente:

• Os assaltantes de phishing agora empregam táticas mais sofisticadas do que nunca, incluindo mensagens e e-mails gerados por IA para aumentar seu realismo.
• Como um vetor de malware e ransomware, o phishing representa uma ameaça extrema para qualquer empresa.
• Mesmo com medidas de segurança rigorosas em vigor, nenhuma empresa está totalmente imune ao risco de erro humano que o phishing explora.
• Os autores de phishing modernos aproveitam as vulnerabilidades humanas para contornar até mesmo os protocolos de segurança mais avançados, como a autenticação multifator (MFA).
• As rotinas desfavoráveis e a falta de conscientização dos funcionários criam as condições perfeitas para um ataque de phishing de nível superior.

Sua empresa está tomando todas as medidas necessárias para proteger seus dados confidenciais e evitar ser a próxima vítima de phishing? Você possui o treinamento e as tecnologias adequadas? Está realizando ativamente avaliações de risco de phishing para identificar possíveis ameaças? E mesmo que esteja, você pode ter certeza de sua segurança?

Neste artigo, vamos nos aprofundar nos perigos do phishing e em como você pode reduzir o risco de erro humano para aumentar a segurança de seus sistemas internos.

Elevando os riscos: Phishing avançado

Percorremos um caminho considerável desde o início do phishing no final da década de 1990. Naqueles primeiros tempos, os hackers geralmente entravam em contato com as pessoas por e-mail, disfarçando-se de empresas respeitáveis e solicitando informações confidenciais, como credenciais de login ou detalhes de cartão de crédito. Embora esses ataques causassem estragos nas vítimas, os autores de phishing sofisticados de hoje visam algo muito maior: os vastos repositórios de dados confidenciais de clientes mantidos pelas empresas.

A violação da Twilio em 2022 serve como um exemplo perfeito. Os criminosos cibernéticos enviaram mensagens de texto aos funcionários da Twilio, fazendo-se passar pelo departamento de TI da empresa e solicitando alterações de senha. Eles direcionaram os funcionários para uma versão falsificada da página de login da empresa, onde coletaram suas credenciais e, por fim, obtiveram acesso aos dados de 125 clientes da Twilio.

O surto de fadiga do MFA

Uma forma cada vez mais comum de phishing é o ataque de fadiga de MFA (também conhecido como bombardeio de MFA). Com esse estratagema, os agentes de ameaças adquirem ilicitamente as credenciais da vítima (por exemplo, por meio de compras na darkweb). Essas credenciais são então implantadas para instigar várias solicitações de MFA. Diante de uma enxurrada de notificações de MFA, a vítima pode simplesmente autorizar a solicitação, possivelmente presumindo que ela mesma a acionou acidentalmente.

No entanto, como muitas pessoas ficam imediatamente desconfiadas quando são inundadas com solicitações não solicitadas de MFA, elas podem se recusar a se autenticar. Reconhecendo isso, os invasores criam cenários em que a solicitação de MFA parece genuína. Por exemplo, eles podem ligar ou enviar um e-mail para a vítima, disfarçando-se de uma entidade confiável, como o departamento de TI de uma empresa, e instruindo-a a autenticar sua identidade como parte de um procedimento de segurança de rotina. Ao aproveitar a confiança da vítima, o agente da ameaça protege a autenticação e obtém acesso a sistemas restritos.

Fadiga do MFA na prática

Os malfeitores por trás do ataque à Cisco em 2022 obtiveram as credenciais da conta do Google da vítima, que incluíam credenciais sincronizadas para suas contas relacionadas ao trabalho. Os invasores solicitaram solicitações de MFA e, posteriormente, telefonaram para a vítima, fazendo-se passar por uma organização confiável. Por telefone, eles persuadiram o funcionário a aceitar uma solicitação de MFA, obtendo assim acesso aos sistemas internos da Cisco, onde introduziram cargas de malware e comprometeram vários servidores.

Em um incidente semelhante em 2022, a Uber foi vítima de um ataque de fadiga de MFA orquestrado pelo famoso grupo de hackers Lapsus$. Os hackers obtiveram as credenciais de VPN de um prestador de serviços externo que trabalhava para a Uber (provavelmente compradas na darkweb) e as utilizaram para acionar solicitações de MFA. Quando o contratado inicialmente desconsiderou as solicitações, os hackers entraram em contato com ele via WhatsApp, fazendo-se passar pelo suporte da Uber e instruindo-o a se autenticar. Em pouco tempo, os hackers obtiveram acesso a vários sistemas internos, eventualmente garantindo permissões elevadas para ferramentas como G-Suite e Slack.

Combatendo o phishing por meio de tecnologia e treinamento

O phishing representa um desafio multifacetado que exige esforços conjuntos dos departamentos de TI e RH de sua empresa, pois ocorre no cruzamento da tecnologia e da conduta humana. Os CIOs/CISOs e os líderes de RH devem adotar uma abordagem abrangente que alinhe indivíduos, processos e tecnologia. Os elementos fundamentais dessa abordagem abrangem:

Treinamento de consciência de segurança:
Os funcionários precisam de instruções contínuas sobre as mais recentes táticas de phishing e os procedimentos ideais para reconhecer e responder a atividades suspeitas. No caso dos ataques de fadiga de MFA da Uber e da Cisco, por exemplo, as empresas poderiam ter evitado as violações ensinando explicitamente aos funcionários e parceiros externos como discernir uma tentativa de phishing relacionada à MFA.

Práticas de MFA resistentes a phishing:
Técnicas de MFA de última geração, como autenticação FIDO2/WebAuthn, códigos QR e tokens físicos, diminuem a vulnerabilidade da sua empresa. Exigir que os usuários concluam uma ação para autenticar sua intenção de fazer login também reduz o risco de ataques de fadiga de MFA, em que um usuário pode aceitar uma solicitação simplesmente para interromper uma enxurrada de notificações push iniciadas por um invasor.

Práticas rigorosas de senha:
Aplique políticas rigorosas de senha que proíbam modificações incrementais (de um caractere) e exijam senhas robustas e distintas.

Avaliações de risco de phishing:
Colabore com um parceiro especializado em segurança cibernética para avaliar rotineiramente o risco de phishing da sua empresa e executar ataques simulados de phishing. Isso permite que você identifique os pontos fracos e corrija as vulnerabilidades.

Estrutura de confiança zero:
Implemente uma abordagem de confiança zero que exija verificação em todos os momentos, minimizando, assim, a superfície de ataque.

Não deixe que os assaltantes de phishing fiquem em vantagem. Certifique-se de que sua força de trabalho esteja atualizada e proteja sua empresa.

A proteção de sua empresa contra phishing depende de sua capacidade de aumentar a conscientização, promover comportamentos favoráveis e implementar tecnologias seguras. As empresas invariavelmente enfrentarão o risco representado por aquela pequena parcela de funcionários que desrespeitam as diretrizes de segurança. Isso significa que proteger sua empresa contra phishing é uma questão de reduzir os riscos em vez de erradicá-los totalmente. No entanto, com uma avaliação robusta dos riscos de phishing e medidas preventivas apropriadas em vigor, você coloca sua organização em um curso rumo a um futuro consideravelmente mais seguro.