Campanha de conscientização de funcionários

Hoje em dia está mais do que comprovado que o elo mais fraco na corrente de cibersegurança é o funcionário. São eles o objetivo principal da maioria das campanhas de engenharia social, sejam através de e-mails (phishing), chamadas telefônicas a um técnico de suporte (vishing) ou arquivos anexados que pareçam interessantes.

Ao falar de engenharia social é inevitável relembrar dos quatro princípios citados por Kevyn Mitnick:

Todos queremos ajudar uns aos outros
O primeiro movimento é sempre de confiança para com o outro
Não gostamos de falar “não”
Gostamos de ser reconhecidos por algo que fizemos

No final, sempre aprendemos com nossas falhas e é melhor que façamos simulações e campanhas de conscientização antes nos tornar vítimas de campanhas maliciosas reais. Veja abaixo algumas ações de conscientização que você pode tomar:

Campañas de phishing. Se caracterizam pelo envio massivo de e-mails para as possíveis vítimas com link para um site falso quase idêntico ao original. O objetivo é roubar credenciais dos usuários.
Quando o empregado cai na “armadilha”, é direcionado mãos uma página web indicando que ele ou ela é uma vítima, mas que, por sorte, se tratava de um treinamento. A seguir são apresentadas diversas dicas e conselhos para evitar novos riscos.

Em função da complexidade de se aplicar uma campanha de phishing para toda a empresa, é possível aplicar técnicas de typosquating ou cybersquating, além do envio de mensagens para públicos VIP e diretores (spear-phishing) que podem representar maior risco para a organização.

Campañas de vishing. a técnica de vishing se baseia em chamadas telefônicas para ganhar a confiança do interlocutor e, assim, obter informação sensível.
Por exemplo, pode-se anexar arquivos como documentos PDF, Excel ou PowerPoint em e-mails que oferecem descontos em um produto ou serviço utilizado pela vítima.

Ao utilizar arquivos Office, a ideia é injetar códigos PowerShell em macros (pequeninas aplicações que automatizam ou executam funções dentro da suíte Office), dessa maneira o usuário será sempre convidado a habilitar as macros para visualizar corretamente o documento.

Campanhas de USB maliciosos: ao contrário dos ataques anteriores, necessitamos nesse de acesso físico efetivo aos escritórios do cliente para colocar um par de dispositivos USB em zonas de grande circulação de pessoas (cafés, bebedouros, impressoras, áreas de descanso, etc.). Estes ataques podem ser divididos em duas categorias principais:

USB padrão: similar à campanha que usa arquivos anexados, com a diferença de que aqui o “anexo” está armazenado no dispositivo USB. A estratégia utilizada é sempre criar um nome muito atrativo para o arquivo, como algo nominal ao CEO por exemplo, para que o funcionário fique curioso o abra.

USB falso: se baseia criar um dispositivo que se parece com um pen-drive de armazenamento mas que, ao ser conectado, se comporta como um teclado que executa comandos como o acesso à uma página controlada pelo atacante ou o download de certo programa. Para maiores informações, há um post de um colaborador aqui da Telefônica que explica bem a técnica.

A aplicação em série de campanhas de conscientização permite que as empresas identifiquem o nível de awareness de seus empregados em relação à segurança da informação, assim como permite detectar quais os departamentos ou pessoas demandam maior treinamento no tema.

Além disso, é uma medida que permite revisar os procedimentos internos de atuação ao se deparar com incidentes, revisar os filtros de spam, configuração padrão de equipamentos móveis e controles e acesso ao edifício.

Ignacio Brihuega Rodríguez

Coordenador de Hacking Ético da ElevenPaths

@n4xh4ck5

Extensão na Chrome Web Store ativa há um ano rouba dados de cartão de créditoAnalisando o impacto da vulnerabilidade FakesApp e decifrando o tráfego do WhatsApp Web com “WhatsApp Decoder” (Parte 1/2)