Ciberataques sem malwares

Como os cibercriminosos atacam empresas sem usar malware.

Toda empresa precisa de proteção confiável contra ciberameaças, mas é importante lembrar que o software antivírus não é uma solução completa. A maioria dos ataques a empresas é causada por erro humano — por exemplo, um funcionário clica em um link malicioso, ativa uma macro e/ou baixa um arquivo infectado. Em alguns casos, os cibercriminosos nem precisam usar malware: eles conseguem acessar a infraestrutura de uma empresa usando apenas engenharia social e soluções de software jurídico. Aqui estão alguns exemplos.

Sequestros e chantagens

Recentemente, surgiram algumas notícias sobre a atividade do grupo Luna Moth, especializado em roubo de dados corporativos e chantagem. A grande diferença a respeito do Luna Moth é que eles obtêm informações sem usar malware.

Um ataque a uma empresa começa com um e-mail fraudulento clássico. Os criminosos fingem ser representantes de algum serviço online e tentam convencer os destinatários de que se inscreveram para uma assinatura e o pagamento será debitado no dia seguinte. Se o funcionário quiser cancelar o pagamento ou obter mais informações, ele deve ligar para um número de telefone que pode encontrar em um arquivo anexado ao e-mail.

Parece que o problema está aí, certo? Mas não. Ao contrário do esperado, o arquivo não contém nenhum malware, então é muito provável que o software antivírus permita que o usuário abra essa mensagem. A tarefa dos criminosos nesta fase é apenas fazer um funcionário ligar para o número.

Se forem bem-sucedidos, os invasores enganam a vítima para instalar uma ferramenta de acesso remoto (RAT) em seu dispositivo, provavelmente sob o pretexto de ajudar um usuário perdido a cancelar uma assinatura. Tecnicamente, os RATs não são malware, então a maioria dos antivírus não os bloqueia, e apenas alguns alertam os usuários sobre os perigos potenciais. Como resultado, os criminosos obtêm acesso remoto e controle do dispositivo.

Observe que, em muitos casos, os fraudadores instalam mais de um RAT no dispositivo, portanto, mesmo que um seja removido, eles podem usar outro para manter o controle e reinstalar o primeiro. Depois de controlar o computador da vítima, os criminosos geralmente instalam ferramentas adicionais para se infiltrar ainda mais na infraestrutura, acessar mais recursos e extrair dados.

Golpes telefônicos até em grandes empresas

A empresa de telecomunicações americana Verizon recentemente foi vítima de um esquema de chantagem ainda mais ridículo. Um hacker anônimo disse à equipe do site Motherboard que convenceu um funcionário da Verizon a conceder a ele acesso remoto a um computador da empresa, apenas apresentando-se como membro do suporte técnico interno. No computador, ele supostamente executou uma ferramenta interna para processar informações de funcionários e, usando um script personalizado, compilou um banco de dados contendo os nomes completos, endereços de e-mail, IDs de empresas e números de telefone de centenas de pessoas.

A Verizon confirma que o hacker entrou em contato com a empresa e exigiu US$ 250.000, ameaçando publicar os dados roubados, mas eles negam que ele tenha conseguido obter algo importante. No entanto, os jornalistas da Motherboard ligaram para algumas das pessoas cujos contatos estavam no banco de dados. Alguns deles responderam e confirmaram seus nomes, endereços de e-mail e empregos na Verizon.

O que devemos aprender a partir dessa história?

A moral da história é simples: sua empresa pode ter as soluções de segurança mais atualizadas, mas se os funcionários não estiverem preparados para esses ataques de engenharia social, seus dados não estarão seguros. Por esse motivo, uma estratégia completa de cibersegurança deve envolver não apenas a instalação de ferramentas técnicas de proteção, mas também a conscientização dos funcionários sobre as ameaças e os truques dos cibercriminosos mais recentes. Por exemplo, utilizando uma plataforma online de educação e treinamento.

Incentive a consciência sobre cibersegurança em sua empresa

Dicas