As empresas têm permitido cada vez mais políticas de trazer seu próprio dispositivo (BYOD) para dar suporte ao trabalho remoto, mas no cenário de segurança cibernética de hoje, essa tendência levou a um aumento da superfície de ataque. Cada endpoint adicional aumenta o potencial de comprometimento de credenciais por meio de ataques de phishing de credenciais. E os hackers estão aproveitando essa tendência para realizar ataques internos, deixando as empresas vulneráveis a violações de dados.
De acordo com o relatório de tendências de ameaças de segurança cibernética de 2021 da CISCO, 90% de todas as violações de dados ocorrem por meio de ataques de phishing, com o o spear phishing, especialmente, contribuindo com 65% das violações. Deve-se enfatizar que muitas vezes tudo o que um intruso precisa é de um único conjunto de credenciais válidas para comprometer os dados de uma rede inteira. O uso generalizado de senhas simples, autenticação de fator único e serviços em nuvem contribuíram para o crescimento exponencial dos ataques de phishing de credenciais.
De fato, os profissionais de segurança cibernética estão constantemente enfrentando desafios para manter a rede de uma organização fora das mãos de invasores. Hoje, decodificamos todas as informações que você precisa conhecer para mitigar o risco de ataques de phishing de credenciais.
O que é um ataque de phishing de credenciais?
As credenciais incluem nomes de usuário, IDs de e-mail, senhas, pins e outras informações de identificação pessoal (PII) usadas para autenticar o acesso de um usuário. Um ataque de phishing é uma tática de engenharia social usada por hackers para roubar credenciais por meio de comunicações psicologicamente manipuladoras em e-mail, SMS, mídia social etc. O phishing de credenciais em particular é a tática mais fácil e popular usada por agentes maliciosos para roubar credenciais. Embora nem todas as credenciais roubadas levem diretamente a dados roubados ou redes comprometidas, os hackers costumam usar essas credenciais roubadas para phishing de alvos secundários que têm acesso mais privilegiado.
Quer saber mais sobre as origens do phishing? Confira o nosso post sobre o assunto!
Às vezes, os invasores são motivados por quem é a vítima, com a intenção de causar estragos ou obter informações e acesso a informações específicas. Outras vezes, a vítima é indiferenciada e o agressor é motivado pelo ganho monetário direto. Nesses casos, os adversários podem pedir um resgate para devolver as informações confidenciais roubadas ou tentar vender as credenciais roubadas na dark web (o que, por sua vez, leva a ataques persistentes).
Além dos e-mails de phishing, os hackers também usam outras variantes, como ataques de smishing (phishing baseado em SMS) e vishing (phishing baseado em chamadas de voz) para aumentar sua taxa de sucesso.
Como funciona um ataque de phishing de credenciais?
Os ataques de phishing direcionados (também conhecidos como spear phishing) são um ataque de phishing baseado em e-mails que parecem ser de fontes confiáveis, mas são enviado por hackers. Spear phishing é o tipo mais comum de ataque de phishing que os hackers usam para invadir a rede de uma organização.
Aqui temos um exemplo de como um ataque de phishing pode ocorrer:
Primeiro, um intruso escolhe um funcionário via LinkedIn ou qualquer outra plataforma de mídia social e, em seguida, pesquisa minuciosamente o alvo. O invasor determina quais detalhes são pertinentes para incutir confiança em seu alvo, como em quais IDs de e-mail eles podem confiar ou o nome de um cliente ou projeto. Em seguida, eles enviarão um e-mail com um link de phishing; geralmente, o link redireciona o funcionário-alvo para um site semelhante. Hackers normalmente usam táticas de engenharia social para criar um senso de urgência na vítima, tornando-os menos propensos a perceber que estão sendo enganados antes de inserir suas credenciais de login. Depois que o invasor rouba suas credenciais, ele faz login usando suas credenciais como proxy e realiza um ataque interno.
Detecção de ataques de phishing de credenciais
Os hackers estão constantemente bisbilhotando os sistemas para explorar quaisquer vulnerabilidades e demolir sua infraestrutura de rede. Porém, existem algumas maneiras de detectar tentativas de phishing, e por isso é crucial ficar de olho em qualquer coisa fora do comum. Por exemplo, antes de clicar em qualquer link de e-mail, passe o mouse sobre eles para verificar se está apontando para um site legítimo. Mesmo que o site seja legítimo, os hackers ainda podem enganá-lo enviando um link genuíno para um site, mas interceptar sua conexão e realizar um ataque man-in-the-middle. Outras coisas a serem verificadas incluem a ortografia, gramática, tom e urgência da mensagem depois de confirmar a identificação de e-mail do remetente e a linha de assunto para confiabilidade.
Como evitar ataques de phishing de credenciais
Quando os hackers realizam ataques sofisticados por meio de malware, o software de segurança atuará como a primeira linha de defesa. No entanto, quando os hackers utilizam táticas de engenharia social, eles evitam o software de segurança persuadindo habilmente um funcionário como alvo de seu ataque.
Uma estratégia geral de prevenção é realizar treinamentos de conscientização sobre segurança cibernética. Todos os funcionários devem ser treinados para identificar técnicas comuns de ataque cibernético, incluindo e-mails de phishing e golpes, bem como outras táticas que um invasor possa usar. Deve-se incutir uma política de pausar e pensar antes de se compartilhar qualquer informação sensível. Quando se trata de solicitações aparentemente pertinentes, espera-se que seus funcionários confirmem com o destinatário por meio de uma ligação ou algum outro método. Isso pode parecer trivial, mas ajuda bastante a manter sua rede segura.
Além de educar os funcionários, você pode reduzir o risco de ataques de phishing implementando as seguintes medidas de segurança em sua organização.
Habilitar a autenticação multifator (MFA): As organizações precisam implementar a MFA para adicionar outra camada de segurança ao autenticar um usuário. Mesmo que os hackers obtenham as credenciais de um usuário, esses hackers serão retardados ou frustrados porque não terão acesso a uma senha de uso único (OTP) ou outros métodos de autenticação.
Use extensões e firewalls do navegador: use programas e complementos que filtram sites suspeitos, endereços IP não confiáveis e e-mails de phishing. Configure acionadores para alertar instantaneamente os usuários quando eles podem estar interagindo acidentalmente com ameaças.
Adote uma política de confiança zero: antes que seus funcionários caiam na armadilha de um invasor, reduza proativamente o risco de ataques de phishing de credenciais com a ajuda de técnicas avançadas baseadas em ML orientadas por dados UEBA.
Implante o gerenciamento de acesso privilegiado (PAM): monitore periodicamente todas as contas de usuários privilegiados na rede de uma organização. Limite o número de usuários privilegiados que têm acesso a informações confidenciais.
Como o ManageEngine Log360 me ajudará a mitigar esses riscos?
Com treinamento adequado e o software certo, você poderá mitigar a maioria dos riscos de violação de dados. No entanto, a natureza dos ataques de phishing de credenciais os torna difíceis de detectar, independentemente de quão bem você treina os funcionários. Portanto, é aconselhável contar com um sistema de detecção de intrusão (IDS) e mecanismos de segurança de endpoint para combater os riscos de ataques de phishing de credenciais. Quando um invasor faz login usando as credenciais roubadas de um funcionário em um horário incomum ou tenta acessar recursos confidenciais, o Log360 age prontamente e envia alertas em tempo real para sua equipe de SOC, melhorando assim o tempo de resposta a incidentes.
O ManageEngine Log360 é uma solução SIEM abrangente que permite mitigar proativamente ataques de segurança internos e externos, bem como detectar ataques internos, exfiltração de dados e comprometimentos de contas, com seu módulo UEBA orientado por ML. O Log360 também fornece relatórios prontos para uso e alertas de segurança em tempo real sobre detecção de ameaças, respostas a incidentes e eventos em sua rede e mantém os hackers afastados.
Baixe e explore os recursos abrangentes do ManageEngine Log360 com uma versão de avaliação gratuita de 30 dias. Teremos o maior prazer em orientá-lo sobre nosso produto.
Inscreva-se para uma demonstração personalizada aqui!