Ataques de spear phishing: por que são bem-sucedidos Combate ao ataque preferido
White paper Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los Combate ao ataque preferido dos criminosos cibernéticos White paper Sumário Resumo executivo 3 Introdução: a ascensão dos ataques de e-mails de spear phishing 3 O motivo do crescimento do spear phishing: ele funciona 5 Exemplos e características do spear phishing 5 RSA: um estudo de caso sobre spear phishing e uma APT 6 A solução: proteção contra ameaças da próxima geração 7 Conclusão 8 FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 2 Resumo executivo Ocorreu uma mudança, e ela foi rápida e drástica: os ataques, antes amplos e indiscriminados, agora são ataques dirigidos avançados, que tiveram graves consequências para as organizações vítimas. Alguns dos ataques dirigidos avançados mais famosos, como os ataques à RSA, à HBGary Federal e a Operação Aurora, usaram spear phishing. O crescente uso do spear phishing está diretamente relacionado ao fato de que ele funciona, pois as defesas de segurança tradicionais simplesmente não impedem esses tipos de ataques. Este documento fornece uma visão detalhada de como o spear phishing é usado em ataques dirigidos avançados. Ele oferecerá uma visão geral do spear phishing, suas características e um estudo de caso sobre um ataque digno de nota. Finalmente, o documento examinará os principais recursos que as organizações precisam para combater de maneira eficaz essas novas e crescentes ameaças. Introdução: a ascensão dos ataques de e-mails de spear phishing De maneira geral, e-mails de “phishing” são ataques exploratórios nos quais os criminosos tentam obter dados confidenciais das vítimas, como informações de identificação pessoal e/ou credenciais de acesso à rede. Esses ataques abrem a porta para outras infiltrações na rede. O phishing geralmente envolve engenharia social e truques técnicos para induzir as vítimas a abrir arquivos anexados, clicar em links incorporados e revelar informações confidenciais. Figura 1: táticas comuns usadas em e-mails de phishing FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 3 O “spear phishing” é uma versão mais direcionada dos ataques de phishing, que combina táticas como segmentação de vítimas, personalização de e-mails, personificação de remetentes e outras técnicas para burlar filtros de e-mails e induzir os alvos a clicar em um link ou abrir um anexo. Enquanto um ataque de phishing é capaz de cobrir todo um banco de dados de endereços de e-mail, o spear phishing visa indivíduos específicos dentro de organizações específicas. Garimpando nas redes sociais, por exemplo, a personalização e a personificação usadas nos e-mails de spear phishing podem ser extremamente precisas e convincentes. Após clicar em um link ou abrir um anexo, um posto avançado é estabelecido na rede, permitindo que os spear phishers levem adiante o ataque dirigido avançado. Ataques de spear phishing precisam ser vistos dentro do contexto dos ataques dirigidos avançados, também conhecidos como ataques de ameaça persistente avançada (APT). Atualmente, sofisticados criminosos cibernéticos (e países) conduzem ataques de APT utilizando malware avançado e ataques contínuos de múltiplos estágios e em múltiplos vetores, a fim de atingir um objetivo específico. Na maioria dos ataques de APT o objetivo é obter acesso de longo prazo às redes, aos dados e aos recursos confidenciais de uma organização. Figura 2: site da Web falsificado usado para induzir usuários a revelar informações de identificação pessoal e credenciais FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 4 O motivo do crescimento do spear phishing: ele funciona Ataques dirigidos avançados usando spear phishing não são uma anomalia, eles representam uma mudança clara na abordagem dos criminosos cibernéticos. Cada vez mais os criminosos estão mudando, dos ataques de phishing em massa para o spear phishing em uma escala muito menor e mais direcionada, pois ele tem se mostrado muito eficaz. Um recente estudo¹ revelou as seguintes descobertas: • Entre 2010 e 2011, os rendimentos anuais dos ataques em massa com base em e-mails caíram de US$1,1 bilhão para US$500 milhões. Durante o mesmo período, o volume de spam caiu de 300 bilhões de mensagens por dia para 40 bilhões. • Durante o mesmo período, o número de ataques de spear phishing triplicou. • E-mails de spear phishing tiveram uma taxa de abertura de 70%, comparada a uma taxa de abertura de apenas três por cento para e-mails de spam em massa. Além disso, 50% dos destinatários que abrem e-mails de spear phishing também clicam nos links inclusos, uma taxa dez vezes maior do que a taxa dos envios de e-mails em massa. • Comparado aos e-mails generalizados, o spear phishing custa 20 vezes mais por indivíduo visado. Entretanto, o rendimento médio por cada vítima de spear phishing é 40 vezes maior do que o rendimento médio por vítima de phishing. • Uma campanha de spear phishing composta por 1.000 mensagens provavelmente gerará dez vezes mais receita do que um envio de e-mails de phishing visando um milhão de indivíduos. Exemplos e características do spear phishing A seguir, veja algumas das principais características dos ataques dirigidos avançados de spear phishing: • Ameaça mista/de múltiplos vetores: o spear phishing usa uma mistura de falsificação de e-mails, explorações de dia zero em aplicativos, URLs dinâmicos e downloads de passagem para burlar as defesas tradicionais. • Aproveitamento das vulnerabilidades de dia zero: ataques avançados de spear phishing aproveitam vulnerabilidades de dia zero em navegadores, plug-ins e aplicativos de desktop para comprometer os sistemas. • Ataque de múltiplos estágios: a exploração inicial dos sistemas é o primeiro estágio de um ataque de APT que envolva estágios adicionais de comunicações de saída de malware, downloads binários e vazamentos de dados. • Ausência de características de spam: ameaças de e-mails de spear phishing são direcionadas, geralmente individualizadas. Portanto, diferem da distribuição indiscriminada e do grande volume do spam tradicional. Isso significa que é pouco provável que os filtros de reputação sinalizem essas mensagens, minimizando a probabilidade de detecção dos filtros de spam. 1http://www.scmagazine.com/crooks-opt-for-spear-phishing-despite-higher-upfront-cost/article/206586/ FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 5 RSA: um estudo de caso sobre spear phishing e uma APT Os ataques dirigidos à RSA, a divisão de segurança da EMC Corp., em 2011, fornecem uma visão muito clara da maneira como o spear phishing pode preparar o terreno para uma investida devastadora, com um alcance incrivelmente amplo, contra uma corporação e seus clientes. A investida começou com ataques de spear phishing que enviaram aos usuários visados um e-mail com um arquivo do Microsoft Excel anexado que se aproveitava de uma falha de dia zero no Adobe Flash. Ficou claro que, não só a RSA era o foco do ataque, mas que apenas quatro indivíduos dentro da organização foram os destinatários dos e-mails maliciosos. Bastou que um usuário abrisse o e-mail e o anexo para que um cavalo de Troia fosse transferindo para seu PC. Esse ataque de spear phishing bem-sucedido foi parte de um ataque dirigido avançado muito mais complexo. Com esse malware instalado no PC da vítima, os criminosos puderam pesquisar a rede corporativa, coletar credenciais de administrador e, enfim, obter acesso a um servidor que continha informações proprietárias sobre a plataforma de autenticação de dois fatores do SecurID. O ataque não parou por aí. Na verdade, toda essa ação foi precursora do objetivo final: ter acesso às redes dos clientes da RSA, com ênfase na base industrial de defesa. Com os dados roubados, os criminosos visaram diversos clientes importantes do SecurID, incluindo as empresas de defesa Lockheed Martin, L-3 e Northrop Grumman. A lição para as empresas é que esse exemplo deixa claro que mesmo ataques aparentemente rudimentares podem ser apenas o primeiro de uma série de crimes avançados, coordenados e devastadores. Além disso, os ataques dirigidos avançados contra recursos ou funcionários aparentemente de nível baixo, que não têm funções ou permissões especificamente confidenciais, ainda podem abrir a porta para informações vitais, e ter graves consequências. Figura 3: e-mail de spear phishing da RSA, usado para lançar o ataque dirigido de APT FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 6 A solução: proteção contra ameaças da próxima geração Atualmente, as organizações precisam de uma nova geração de sistemas de segurança, que detecte e bloqueie as técnicas de ataques dirigidos avançados, incluindo o spear phishing. Veja a seguir mais detalhes sobre a solução da FireEye para impedir, de maneira eficaz, os ataques dirigidos avançados. Oferece uma solução coesa e integrada para os vetores de ameaças A FireEye fornece às organizações uma proteção integrada contra os vetores de ataques por e-mail e Web usados em um ataque dirigido avançado. Por exemplo, bloquear o spear phishing exige recursos para descobrir um ataque com base na Web em tempo real, rastreá-lo até o e-mail de phishing inicial que deu origem ao ataque e, em seguida, fazer a análise necessária para determinar se outras pessoas dentro da organização também foram visadas. Esse tipo de resposta cibernética em tempo real é a única maneira de frustrar ataques dirigidos avançados. As organizações estão usando as soluções da FireEye porque elas oferecem análise em tempo real de URLs em e-mails, anexos de e-mails e objetos da Web, a fim de determinar com precisão se são ou não maliciosos. Esse é um requisito essencial para se proteger contra spear phishing e outros ataques com base em e-mails, porque as táticas de dia zero burlam com facilidade análises com base em assinaturas e com base em reputação. Além disso, para defender as redes corporativas com eficácia, as organizações precisam de sistemas que inspecionem muitos protocolos e toda a pilha de protocolos, incluindo a camada de rede, os sistemas operacionais, os aplicativos, os navegadores e os plug-ins, como o Flash. Proporciona uma segurança dinâmica e sem assinaturas que frustra explorações de dia zero As soluções da FireEye oferecem análises dinâmicas e em tempo real das explorações de anexos e URLs em e-mails, em vez de apenas comparar fragmentos de código com assinaturas ou basearse em reputações. A análise sem assinaturas é essencial para a proteção contra táticas avançadas, pois tudo começa com as explorações de dia zero. Com a detecção da exploração, é possível bloquear malware avançados incorporados a anexos, bem como malware hospedados em domínios dinâmicos, que mudam rapidamente. Protege contra instalações de código malicioso e bloqueia retornos de chamada Além da detecção de explorações, o FireEye também identifica se anexos suspeitos e outros objetos são ou não maliciosos. Adicionalmente, as comunicações de retornos de chamadas resultantes são inspecionadas, a fim de identificar se elas são de natureza maliciosa. Isso inclui o monitoramento das comunicações enviadas pelo host por diversos protocolos em tempo real, para determinar se as comunicações indicam um sistema infectado na rede. Os retornos de chamadas podem ser bloqueados com base nas características exclusivas dos protocolos de comunicação empregados, em vez de ter como base apenas o IP de destino ou o nome de domínio. Após o código malicioso e suas comunicações serem sinalizados, as portas, endereços IP e protocolos devem ser bloqueados, a fim de interromper qualquer transmissão de dados confidenciais. Isso evita transferências adicionais de cargas binárias de malware e a propagação lateral dentro da organização. FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 7 Gera informações sobre ameaças e perícias de malware pontuais, que servem como base para ações Após o malware avançado ser analisado detalhadamente, as informações coletadas precisam ser totalmente aproveitadas. Os clientes da FireEye são capazes de usar essas informações para diversas finalidades: • Os sistemas da FireEye tiram a impressão digital do código malicioso para gerar automaticamente dados de proteção e identificar sistemas comprometidos, a fim de evitar que a infecção se espalhe. • Pesquisadores forenses podem executar os arquivos individualmente através de testes off-line automatizados para confirmar e dissecar o código malicioso. • As informações podem ser compartilhadas por meio de sistemas unificados de informações, que mantêm outros especialistas e organizações atualizados. Conclusão Ataques de múltiplos vetores e múltiplos estágios têm sido extremamente eficazes em penetrar nas redes atuais, apesar dos US$20 bilhões investidos anualmente em segurança de TI. Como parte dos ataques dirigidos avançados, o spear phishing está cada vez mais predominante, por ser tão eficaz. Enquanto as organizações mantiverem um nível da situação de segurança que demonstre não estar à altura do spear phishing, os criminosos continuarão a aproveitá-lo. Para frustrar esses ataques dirigidos avançados, as organizações precisam de uma proteção contra ameaças da próxima geração nos diversos vetores de ameaça e em cada estágio de ataque. Integrando segurança de e-mail e Web, protegendo contra binários maliciosos recebidos e retornos de chamadas de malware e aproveitando a execução de código dinâmica e sem assinaturas para detectar explorações de dia zero, a FireEye oferece a proteção contra ameaças da próxima geração, necessária para impedir ataques dirigidos avançados. Com a FireEye, as organizações têm visualizações contextuais das ameaças com base na Web e em e-mails em tempo real. Um ataque de dia zero com base na Web pode ser detectado em tempo real e bloqueado. O ataque é, então, rastreado de volta até o e-mail de spear phishing inicial que deu origem a ele, para determinar se outras pessoas na organização também foram visadas. Esse tipo de análise de segurança, com reconhecimento de contexto, é a única maneira de obter informações pontuais e que sirvam como base para ações sobre os ataques dirigidos avançados e sobre como eles podem ser impedidos. FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 8 Sobre a FireEye, Inc. A FireEye é líder em impedir ataques dirigidos avançados que utilizem táticas avançadas de malware, explorações de dia zero e APT. As soluções da FireEye complementam os firewalls, IPS, antivírus e gateways da próxima geração e tradicionais, os quais não conseguem interromper ameaças avançadas, deixando brechas de segurança nas redes. A FireEye oferece a única solução do setor que detecta e bloqueia ataques nos vetores de ameaça de Web e e-mail, bem como malware latente em compartilhamentos de arquivos. Ela abrange todos os estágios do ciclo de vida de um ataque, com um mecanismo sem assinaturas que utiliza análise de ataque em modo stateful para detectar ameaças de dia zero. Sediada em Milpitas, na Califórnia (EUA), a FireEye conta com o apoio de grandes parceiros financeiros, como Sequoia Capital, Norwest Venture Partners e Juniper Networks. © 2012 FireEye, Inc. Todos os direitos reservados. FireEye é uma marca comercial da FireEye, Inc. Todas as outras marcas, produtos ou nomes de serviços são ou podem ser marcas comerciais ou marcas de serviços de seus respectivos proprietários. – WP.SP.PT-BR.092012 FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408.321.6300 | [email protected] | www.FireEye.com 9
© Copyright 2024