Quando se trata de ataques a empresas, o foco geralmente está em quatro setores: finanças, propriedade intelectual, dados pessoais e infraestrutura de TI. Mas, não devemos esquecer que os cibercriminosos também podem ter como alvo os ativos da empresa gerenciados por relações públicas e marketing, incluindo envios por e-mail, plataformas de publicidade, canais de mídia social e sites promocionais. À primeira vista, essa área pode parecer pouco atraente para os criminosos (“onde está o dinheiro?”), mas, na prática, cada uma dessas “atividades de marketing” pode ser vantajosa para eles.
Malvertising
Para a grande surpresa de muitos (até mesmo especialistas de InfoSec), os cibercriminosos têm feito uso ativo de publicidade paga legítima há vários anos. De uma forma ou de outra, as empresas pagam por banners e canais de pesquisa e empregam ferramentas de promoção corporativa. Há muitos exemplos desse fenômeno, conhecido pelo nome de malvertising (publicidade maliciosa). Normalmente, os cibercriminosos anunciam páginas falsas de aplicativos populares, campanhas promocionais falsas de marcas famosas e outros esquemas fraudulentos destinados a um público amplo. Às vezes, os agentes de ameaças criam uma conta de publicidade própria e pagam pela publicidade, mas esse método deixa muitos rastros (como dados de pagamento). Por isso, há um método mais atraente para eles: roubar credenciais de login e invadir a conta de publicidade de uma empresa para depois promover seus sites através dela. Isso gera uma dupla recompensa para os cibercriminosos: eles podem gastar o dinheiro dos outros sem deixar rastros em excesso. Mas a empresa vítima, além de uma conta de publicidade destruída, tem um problema após o outro, incluindo potencialmente ser bloqueada pela plataforma de publicidade, devido à distribuição de conteúdo malicioso.
Rebaixamento de popularidade e perda de seguidores
Uma variação do esquema acima é a aquisição de contas de publicidade paga das redes sociais. As especificidades das plataformas de redes sociais criam problemas adicionais para a empresa alvo.
Em primeiro lugar, o acesso às contas de redes sociais corporativas geralmente está vinculado às contas pessoais dos funcionários. Muitas vezes, os invasores comprometem o computador pessoal de uma pessoa do marketing ou roubam a senha de rede social para obter acesso não apenas a curtidas e fotos de gatos, mas também ao escopo de ação concedido pela empresa para a qual trabalham. Isso inclui postar na página da rede social da empresa, enviar e-mails aos clientes através do mecanismo de comunicação integrado e comprar publicidade paga. Revogar essas funções de um funcionário comprometido é fácil, desde que essa pessoa não seja o administrador principal da página corporativa. Nesse caso, restaurar o acesso exigirá muito trabalho.
Em segundo lugar, a maior parte da publicidade nas redes sociais assume a forma de “postagens promovidas” criadas em nome de uma determinada empresa. Se um invasor publicar e promover uma oferta fraudulenta, o público verá imediatamente quem publicou e poderá expressar suas reclamações diretamente na publicação. Nesse caso, a empresa sofrerá danos não apenas financeiros, mas nitidamente à sua reputação.
Terceiro, nas redes sociais muitas empresas salvam “públicos personalizados” — coleções prontas de clientes interessados em vários produtos e serviços ou que já visitaram o site da empresa. Embora eles geralmente não possam ser retirados (roubados) de uma rede social, infelizmente é possível criar malvertising com base nessas listas adaptadas a um público específico – uma estratégia bem eficaz.
Newsletter não agendada
Outra forma eficaz para os cibercriminosos obterem publicidade gratuita é sequestrar uma conta em um provedor de serviços de e-mail . Se a empresa atacada for grande o suficiente, poderá ter milhões de assinantes na sua lista de e-mails.
Esse acesso pode ser explorado de várias maneiras: enviando uma oferta falsa irresistível para endereços de e-mail no banco de dados de assinantes; substituindo secretamente links em e-mails de publicidade planejados; ou simplesmente baixando o banco de dados de assinantes para enviar e-mails de phishing de outras formas posteriormente.
Novamente, o dano sofrido é financeiro, reputacional e técnico. Por “técnico”, nos referimos ao bloqueio de futuras mensagens recebidas por servidores de e-mail. Em outras palavras, após o envio dos e-mails maliciosos, a empresa vítima terá que lidar com problemas não apenas com a plataforma de e-mail, mas também potencialmente com provedores de e-mail específicos que bloquearam você como uma fonte de correspondentes fraudulentos.
Um efeito colateral muito desagradável desse tipo de ataque é o vazamento de dados pessoais dos clientes. Este é um incidente por si só, capaz de causar não apenas danos à reputação, mas também gerar multas, aplicadas pelos reguladores de proteção de dados.
Cinquenta tons de sites
Um hack de site pode passar despercebido por muito tempo, especialmente para uma pequena empresa que faz negócios principalmente através de redes sociais ou offline. Do ponto de vista dos cibercriminosos, os objetivos por trás de uma invasão de site variam, dependendo do tipo de site e da natureza dos negócios da empresa. Deixando de lado os casos em que o comprometimento do site faz parte de um ciberataque mais sofisticado, geralmente podemos delinear as seguintes variedades.
Primeiro, os agentes de ameaças podem instalar um web skimmer em um site de comércio eletrônico. Este é um pequeno e bem disfarçado JavaScript incorporado diretamente no código do site que rouba dados do cartão quando os clientes pagam por uma compra. O cliente não precisa baixar ou executar nada, basta pagar por bens ou serviços no site, e os invasores roubam o dinheiro.
Em segundo lugar, os invasores podem criar subseções ocultas no site e preenchê-las com conteúdo malicioso de sua escolha. Essas páginas podem ser usadas para uma ampla variedade de atividades criminosas, sejam brindes falsos, vendas falsas ou distribuição de software com trojan. Usar um site legítimo para esses fins é o ideal, desde que os proprietários não percebam que eles têm “visitantes”. Existe, de fato, toda uma indústria centrada em torno dessa prática. Os sites autônomos são especialmente populares, sendo criados para alguma campanha de marketing ou evento único e depois esquecidos.
Os danos causados a uma empresa, resultantes de uma invasão de site são amplos e incluem: aumento de custos relacionados ao site devido ao tráfego malicioso; uma diminuição no número de visitantes reais devido a uma queda na classificação de SEO do site; possíveis disputas com clientes ou autoridades policiais sobre cobranças inesperadas nos cartões dos clientes.
Formulários da web conectados
Mesmo sem invadir o site de uma empresa, os agentes de ameaças podem usá-lo para seus próprios fins. Tudo o que eles precisam é de uma função do site que gere um e-mail de confirmação: um formulário de feedback, um formulário de compromisso e assim por diante. Os cibercriminosos usam sistemas automatizados para explorar esses formulários para spam ou phishing.
A dinâmica é simples: o endereço do alvo é inserido no formulário como um e-mail de contato, enquanto o texto do e-mail fraudulento é colocado no campo Nome ou Assunto, por exemplo, “Sua transferência de dinheiro está pronta para emissão (link)”. Como resultado, a vítima recebe um e-mail malicioso que diz algo como: “Caro(a) XXX, sua transferência de dinheiro está pronta para ser emitida (link). Obrigado por entrar em contato. Entraremos em contato em breve”. Claro que as plataformas antispam eventualmente param de permitir a passagem desses e-mails, e o formulário da empresa vítima perde parte de sua funcionalidade. Além disso, todos os destinatários desse e-mail suspeitam menos de uma empresa, considerando apenas um spammer.
Como proteger os materiais de relações públicas e marketing contra ciberataques
Como os ataques descritos são bastante diversos, é necessária uma proteção profunda. Aqui está um passo a passo:
- Realize o treinamento de conscientização sobre segurança cibernética para todo o departamento de marketing. Ofereça reciclagens regularmente;
- Certifique-se de que todos os funcionários sigam as práticas recomendadas para criação de senha: senhas longas e exclusivas para cada plataforma e uso obrigatório da autenticação de dois fatores, especialmente para redes sociais, ferramentas de e-mail e plataformas de gerenciamento de anúncios;
- Elimine a prática de uso de senha única para todos os funcionários que precisam acessar uma rede social corporativa ou outra ferramenta online;
- Instrua os funcionários a acessar as ferramentas de mala direta/publicidade e o painel de administração do site somente via dispositivos de trabalho equipados com proteção total de acordo com os padrões da empresa (EDR ou segurança da Internet, EMM/UEM, VPN);
- Incentive os funcionários a instalar a proteção abrangente em seus computadores pessoais e smartphones;
- Introduzia a prática de logout obrigatório de plataformas de mala direta/publicidade e outras contas semelhantes quando não estiverem em uso;
- Lembre-se de revogar o acesso a redes sociais, plataformas de mala direta/publicidade e administração do site imediatamente após a saída de funcionários da empresa;
- Revise regularmente as listas de e-mail enviadas e as campanhas de anúncios atualmente em execução, juntamente com a análise detalhada do tráfego do site, para detectar anomalias em tempo hábil;
- Assegure-se de que todo o software usado em seus sites (sistema de gerenciamento de conteúdo, suas extensões) e em computadores de trabalho (como SO, navegador e Office) seja atualizado regular e sistematicamente para as versões mais recentes;
- Trabalhe com o fornecedor de suporte do site para implementar a validação e a higienização de formulários, especialmente para garantir que os links não possam ser inseridos em campos que não se destinam a essa finalidade. Defina também um “limite de taxa” para impedir que o mesmo agente faça centenas de solicitações por dia, além de um captcha inteligente para se proteger contra bots.