Uma das primeiras lições que os criminosos cibernéticos aprendem é "se não está quebrado, não conserte". É por isso que phishing continua sendo um dos vetores de ataque inicial mais frequentes: um usuário vê um e-mail "urgente" de alguém em quem confia, clica em um link e os bandidos obtêm acesso a sistemas e dados que não deveriam.
Mas, embora a segurança cibernética esteja lutando contra o phishing há décadas, isso não significa que a tática não tenha evoluído. Assim como uma cepa de COVID em evolução, os agentes de ameaças estão trazendo novos elementos para o phishing que o tornam mais eficaz em seus alvos e mais prejudicial para as organizações.
Um desses desenvolvimentos mais recentes é o phishing como serviço (PHaaS) que, como o nome indica, permite que os criminosos cibernéticos terceirizem suas campanhas de phishing para profissionais qualificados. Outra evolução é o CATO (cloud account takeover), que permite que os agentes de ameaças obtenham acesso às contas de nuvem de uma organização.
Considerando que o phishing foi o vetor de ataque inicial mais frequente e custou às organizações uma média de $4,76 milhões de dólares Por isso, qualquer coisa que as organizações possam fazer para limitar sua exposição ao phishing pode ajudar muito a proteger seus resultados e a se manterem seguras.
Portanto, vamos dar uma olhada no PhaaS, no CATO, no que os torna tão eficazes e nas medidas que as organizações podem tomar para se protegerem de ambos.
Como o ransomware como serviço, você sabe que um vetor de ameaça se tornou um problema quando os criminosos cibernéticos podem terceirizar uma determinada tática. É isso que está acontecendo com PHaaS, que permite que os agentes de ameaças contratem e automatizem ataques cibernéticos.
O phishing e o PHaaS tendem a usar táticas de engenharia social para tornar sua detecção mais difícil. É por isso que os alvos recebem tantos e-mails "urgentes" "do" CEO, CFO ou outro líder: as pessoas têm maior probabilidade de responder mais rapidamente e com menos cautela se o chefe do seu chefe estiver dizendo para elas agirem.
Além disso, as campanhas de PHaaS não se limitam às caixas de entrada de e-mail tradicionais. Os invasores agora estão visando os serviços de e-mail baseados em nuvem, aproveitando plataformas como Microsoft 365 ou Google Workspace. Com a dependência cada vez maior de ferramentas e serviços de produtividade baseados em nuvem, os ataques CATO podem ter consequências devastadoras para as organizações.
Para piorar a situação, muitas vezes as campanhas de PHaaS visam deliberadamente os executivos de nível C. Em uma campanha recente da CATO usando o Evil Proxy, 39% das vítimas estavam na diretoria.
Também foi relatado que outras contas são ignoradas em favor do CEO ou do CFO, e é fácil entender o motivo. Os líderes seniores geralmente têm acesso a dados confidenciais e exercem uma influência significativa em uma organização. Como resultado, os atacantes adaptam suas tentativas de phishing para se concentrar nesses alvos de alto valor, aumentando a probabilidade de um ataque CATO bem-sucedido.
Os executivos de nível C também são os principais candidatos a ataques de spear-phishing, em que os atacantes criam mensagens altamente personalizadas para enganar suas vítimas e fazê-las revelar informações confidenciais ou clicar em links maliciosos. Os riscos são maiores quando os executivos estão envolvidos, o que torna imperativo que as organizações tomem medidas proativas para proteger sua liderança.
Para combater a crescente ameaça de ataques CATO e PHaaS, as organizações podem recorrer a soluções de autenticação modernas, como o protocolo Fast Identity Online (FIDO). FIDO oferece uma maneira segura e fácil de verificar as identidades dos usuários, reduzindo o risco de ataques de phishing.
A autenticação baseada em FIDO depende da criptografia de chave pública, que aumenta a segurança ao eliminar a necessidade de senhas. Em vez disso, os usuários se autenticam usando um dispositivo de hardware registrado com segurança: ao se autenticar, os usuários são solicitados a tocar no dispositivo para cumprir o fator "algo que você tem" de MFA. Isso significa que, mesmo que um invasor faça phishing das credenciais de um usuário, ele não conseguirá cumprir o desafio de autenticação se não estiver de posse do dispositivo.
Tornar a autenticação fácil e segura é fundamental para promover a adoção do usuário em toda a organização. A tecnologia subjacente aos dispositivos FIDO os torna extremamente úteis para resistir até mesmo à mais complexa campanha de phishing.
Muitas organizações têm resistido a investir em FIDO, pois a tecnologia só funciona via Web, como em aplicativos em nuvem e serviços de SaaS. Essa limitação deixa para trás muitos dos aplicativos e recursos essenciais no local que as empresas precisam para continuar funcionando. Investir tempo, esforço e orçamento em uma tecnologia que não funciona em todos os lugares é problemático para muitas organizações.
A RSA resolveu esse desafio com uma variedade de soluções:
- O RSA Authenticator App 4.5 fornece uma chave de acesso vinculada ao dispositivo certificada por FIDO2 nos dispositivos móveis dos usuários, ajudando as organizações a melhorar a adoção, aprimorar a experiência do usuário, aumentar a produtividade e acelerar a maturidade do Zero Trust.
- O Série RSA iShield Key 2 apresenta suporte a FIDO2, PIV, HOTP e um módulo criptográfico com certificação FIPS 140-3. Os autenticadores de hardware atendem à Ordem Executiva 14028, OMB M-22-09 e OMB M-24-14, e podem ajudar os setores público e privado a simplificar e proteger o gerenciamento de credenciais.
- O RSA DS100 é um autenticador de hardware que fornece senhas de uso único (OTP) para recursos no local e FIDO para recursos conectados à Internet. Esse dispositivo não apenas protege as contas baseadas na nuvem, mas também os sistemas locais legados que podem depender de métodos de autenticação mais antigos, como OTP.
A capacidade de preencher a lacuna entre os serviços modernos de nuvem e os sistemas legados é crucial para muitas organizações. Ao implementar uma solução FIDO híbrida, como o RSA DS100, o RSA Authenticator App ou o RSA iShield, as organizações podem garantir uma segurança consistente em todas as contas e aplicativos. Isso garante que, mesmo que você tenha alguns sistemas que só possam ser desafiados com métodos OTP, eles ainda estarão protegidos.
Manter-se um passo à frente de ameaças como CATO e PHaaS exige uma abordagem proativa da segurança cibernética. Aqui estão algumas práticas recomendadas que as organizações podem adotar para reduzir seus riscos:
- Treinamento e conscientização dos funcionários: O treinamento regular em segurança é essencial para ajudar os funcionários a reconhecer tentativas de phishing e evitar cair em táticas de engenharia social.
- Implementação da MFA: A MFA adiciona uma camada extra de proteção, dificultando significativamente o sucesso dos invasores, mesmo que as credenciais sejam comprometidas.
- Realização de auditorias de segurança regulares: Revisões regulares dos controles de acesso, permissões e configurações de contas para serviços em nuvem são importantes para identificar vulnerabilidades que poderiam ser exploradas por invasores.
- Implementação de uma abordagem de segurança em camadas: A segurança em camadas inclui vários mecanismos de defesa em diferentes pontos da rede.
- Atualização regular dos protocolos de segurança: As ameaças cibernéticas evoluem rapidamente, portanto, a atualização regular de protocolos e políticas garante que eles estejam alinhados com as práticas recomendadas de segurança mais recentes.
Seja PHaaS, direcionado a executivos C-Level, CATO ou qualquer outra coisa próxima ruga que os criminosos cibernéticos lançam sobre as organizações, é fundamental que a segurança cibernética esteja sempre um passo à frente.
A implementação de um dispositivo FIDO híbrido que protege tanto os sistemas baseados na nuvem quanto os sistemas legados no local é uma etapa poderosa para garantir a segurança abrangente de sua organização. Ao adotar o métodos de autenticação sem senha e permanecendo atentas às ameaças em evolução, as organizações podem proteger seus negócios contra ataques CATO, phishing e outros riscos. Lembre-se, quando se trata de segurança cibernética, a prevenção proativa é sempre melhor do que a recuperação reativa.
