Falar com Expert

Phishing: cibercriminosos não estão mais “pescando” somente credenciais de usuários

Rodrigo GavaCOO da GC Security No início de novembro a Dropbox comunicou, através de um post em seu blog de tecnologia, que havia sido vítima de uma campanha de phishing e que, apesar do segundo fator de autenticação, cibercriminosos foram capazes de hackear sistemas da companhia, obtendo acesso a informações sensíveis. Mas como isso foi possível? A invasão foi viabilizada pelo uso […]

Rodrigo Gava
COO da GC Security

No início de novembro a Dropbox comunicou, através de um post em seu blog de tecnologia, que havia sido vítima de uma campanha de phishing e que, apesar do segundo fator de autenticação, cibercriminosos foram capazes de hackear sistemas da companhia, obtendo acesso a informações sensíveis.

Mas como isso foi possível?

A invasão foi viabilizada pelo uso de servidores proxy maliciosos (popularizados recentemente por serviços como o EvilProxy, na dark web) que permitiu a obtenção pelos atacantes de uma sessão de usuário válida, ou seja, mais do que acesso às credenciais do usuário, foi possível obter cookies de sessão com tokens de autenticação, usados por navegadores e serviços para determinar a identidade válida de um usuário.

A técnica utilizada pelo EvilProxy, outras plataformas de phishing-as-a-service ou mesmo projetos de código aberto como o evilginx2 se privilegia de sua posição como um nó da cadeia de comunicação entre usuário e serviços legítimos e permite que mesmo pessoas sem conhecimento técnico possam roubar tokens de autenticação e fazer bypass de autenticação de múltiplos fatores (MFA) em serviços como Apple, Google, Facebook, Twitter, GitHub, GoDaddy, dentre outros.

Esse tipo de ataque acontece por aproveitar-se de uma característica de arquitetura dos sistemas de autenticação. Veja, quando efetuamos login em um sistema, precisamos informar nome de usuário e senha, além dos demais fatores de segurança (um código numérico, autenticação em outro dispositivos etc.), certo?

MFA – Múltiplo fator de autenticação

Feita essa autenticação inicial, ou seja, para todo o tráfego realizado após o login inicial, o dispositivo que estamos utilizando troca sem que notemos uma chave de acesso ou de sessão com o site ou servidor que estamos utilizando a depender da arquitetura. É justamente essa chave de acesso que os atacantes buscam atualmente e não mais os diversos fatores de autenticação necessários para obtê-la.

Os criminosos estão pegando um atalho, se posicionando entre a comunicação do usuário com o sistema que ele está tentando acessar, capturando as chaves de sessão após a autenticação inicial e uso de múltiplos fatores de autenticação.

Um risco crítico, raramente mapeado

Apesar de crítico, esse risco iminente não está no radar das empresas porque não é contemplado nos cenários de testes realizados e, quando o é, não são geradas evidências do real potencial de impacto de ataques cibernéticos que utilizem a técnica.

Fato é que uma simulação de phishing tradicional, largamente utilizada pelas companhias e que mede engajamento, taxa de cliques e a quantidade de credenciais capturadas não traduz o real impacto de uma kill chain que somente começa na campanha fraudulenta de e-mails.

Veja, se apenas uma única pessoa entre 2.000 colaboradores tiver suas credenciais obtidas pela campanha de simulação de phishing isso pode ser traduzido como um bom resultado. Mas e se, justamente essa pessoa, tiver nível de acesso garantido a sistemas e dados críticos da empresa? E se, através dessa única credencial obtida, um atacante for capaz de materializar o risco de um ataque destrutivo?

Daí a necessidade de se mudar com urgência a abordagem tradicional. As campanhas de phishing devem contar com uma simulação de técnicas AiTM (adversary-in-the-middle), além de uma incursão do red team que possa explorar kill chains a partir da obtenção de uma credencial.

Focar em conscientização ainda é a primeira linha de defesa, mas a aplicação dessa nova abordagem permite obter insights valiosos que ajudarão na melhoria da postura cibernética de sistemas que podem ser comprometidos a partir da simulação de phishing, além de identificar a necessidade da adoção de outras camadas de defesa como a verificação de endpoints restrição de acesso por origem, por exemplo. A grande recorrência e altas taxas de sucesso de ataques de engenharia social que utilizam a nova técnica de phishing contra grandes empresas que, naturalmente, tem elevado nível de maturidade de segurança cibernética (Microsoft no caso do vazamento de códigos-fonte do Bing e, agora, Dropbox, por exemplo) devem criar a percepção de que o risco é crítico e merece maior atenção das estratégias de defesa.

Cultura de segurança
Insights
Notícias
Segurança

Artigos relacionados

Segurança
Segurança Cibernética – uma estratégia para impulsionar os negócios.
Cultura de segurança
O que é o Risco Cibernético?
Cultura de segurança
O que é segurança cibernética baseada em riscos?

Acompanhe as principais notícias sobre cybersecurity

Conteúdo feito por experts! Receba nossa newsletter direto no seu e-mail.

Acompanhe as principais notícias sobre cybersecurity

Conteúdo feito por experts! Receba nossa newsletter direto no seu e-mail.
Siga-nos
Sobre
Cybersecurity Services
Managed Security Services
Governance, Risk & Compliance
Tech Integration
Produtos
Insights
  • Red Team Assessment
  • Pentest
  • Desenvolvimento Seguro
  • Phishing & Express Attack
  • Cyber War Games
  • Gestão e Governança de Vulnerabilidades
  • SIEM & SOC
  • CTI & OSINT
  • Credentials and Data Leak Management
  • Plano Diretor de Segurança da Informação (PDSI)
Newsletter
Receba as principais notícias sobre cibersegurança direto no seu e-mail.
@2023 GC Security | Todos os direitos reservados.
Serviços
Conquiste uma operação mais segura e resiliente contra ameaças digitais. Conheças nossos serviços.
Red Team Assessment
Simule um ataque cibernético
Saiba mais
Pentest
Avalie seus limites de segurança
Saiba mais
Desenvolvimento Seguro
Cresça de forma escalável e segura
Saiba mais
Phishing & Express Attack
Sua equipe prevenida contra golpes
Saiba mais
Cyber War Games
Teste a capacidade de reação do seu time
Saiba mais
Gestão e Governança de Vulnerabilidade
Prevenção e resposta rápida a ameaças
Saiba mais
SIEM & SOC
Prevenção e resposta rápida a ameaças
Saiba mais
CTI & OSINT
Preveja fraudes e vazamentos
Saiba mais
Credentials and Data Leak Management
Reduza o risco de vazamentos de dados
Saiba mais
Plano Diretor de Segurança da Informação (PDSI)
O serviço que combina a expertise em Governança e Processos da Falconi com as técnicas avançadas em cibersegurança da GC Security.
Saiba mais
Tech Services
Eleve a proteção dos seus ativos de missão crítica, aqueles que nunca podem parar na sua operação. Conheça a nossa estratégia em camadas de segurança para mitigar ameaças digitais.
  • Network Security
  • Application Security
  • Endpoint Security
  • Data&Cloud Security
Saiba mais
Insights
Artigos, novidades e atualizações para um mundo digital mais seguro.
Blog
Artigos, novidades e atualizações sobre cybersecurity
Saiba mais
Podcast
Bate-papos breves e simples de especialistas em segurança digital
Saiba mais
Falar com Expert