Home > Gestão

CIOs, fiquem atentos: 6 formas como hackers exploram a infraestrutura

Usar a infraestrutura comercial é uma forma de os invasores evitarem a detecção e parecerem legítimos

Maria Korolov, CSO Online

27/08/2019 às 9h58

Foto: Shutterstock

Quando se trata de infraestrutura cibercriminosa, a tecnologia é utilizada para mercados criminosos secretos, lavagem de dinheiro e serviços ilegais. Para as práticas, os criminosos também utilizam recursos de provedores legítimos de infraestrutura comercial.

Não é só porque os fornecedores tradicionais são mais confiáveis. Na verdade, usar a infraestrutura comercial é uma forma de os invasores evitarem a detecção e parecerem legítimos enquanto cuidam de seus negócios criminosos. Aqui estão algumas das maneiras que os criminosos estão usando - e abusando - de empresas para seu benefício.

1. Serviços de nuvem roubados ou legitimamente adquiridos

Os criminosos podem usar métodos de pagamento legítimos para adquirir serviços em nuvem, quando estão aplicando a tecnologia de maneiras que não são obviamente ilegais.

Em alguns casos, os provedores também aceitam bitcoins ou outros pagamentos anônimos. Em outros, pode haver revendedores, empresas legítimas que compram serviços dos principais provedores de nuvem e os revendem para compradores anônimos. "É bem simples, na verdade", diz Bryan Becker, pesquisador de segurança da WhiteHat Security.

"Eu fiz isso com um grande provedor de hospedagem na nuvem. Você acessa um site e parece real, e você compra o serviço e obtém acesso imediatamente. Eles são um revendedor legítimo, mas o modelo de negócios é que você pode comprar hospedagem usando bitcoin e outras criptomoedas."

Segundo Becker, há um uso legítimo desses serviços, como quando os clientes moram em áreas onde não têm infraestrutura bancária. Dessa forma, alguns dos revendedores podem estar violando os termos de serviço dos provedores de nuvem, mas não estão necessariamente infringindo a lei.

Essa não é a única maneira pela qual os criminosos podem ter acesso a provedores de serviços de nuvem legítimos. "Por que pagar por isso quando você pode roubá-lo?", questiona Jeff Nathan, pesquisador principal da empresa de segurança Exabeam. Criminosos, muitas vezes, têm acesso a cartões de crédito roubados, por exemplo, embora possam ter que experimentar vários deles antes de encontrar um que funcione.

Melhor ainda é ter acesso a contas corporativas, acrescenta o especialista. "Se é uma empresa grande o suficiente, com muitas contas com um provedor de serviços em nuvem, fica difícil rastrear. Você se esconde entre todos os outros ruídos."

Uma vez que criminosos tenham acesso a uma conta na nuvem, eles podem usá-lo para hospedar sites maliciosos, coordenar o tráfego de botnets, fazer downloads de malwares, armazenar temporariamente dados roubados ou executar campanhas de phishing.

Se o tráfego estiver vindo de um serviço que uma empresa já está usando, muitas vezes ele pode ignorar os filtros de segurança. Dominic Sartorio, vice-presidente sênior de produtos e desenvolvimento da empresa de segurança Protegrity, encontrou recentemente um uso ilegal interessante dos buckets do Amazon S3. Normalmente, onde as empresas enfrentam problemas com os intervalos de armazenamento da Amazon são nos detalhes de configuração, ajustando-os acidentalmente para permitir o acesso público. No caso de uma grande empresa de serviços financeiros com a qual ele trabalhou, foram os criminosos que montaram a armadilha.

"A equipe de atendimento ao cliente estava tentando fazer algumas análises", relata Sartorio. "Eles apenas fizeram isso sozinhos, sem TI, sem passar pelos procedimentos certos." A partir de então, criminosos entraram em ação, enviando e-mails muito convincentes para os membros da equipe usando endereços de e-mail falsificados da empresa, dando-lhes o endereço do bucket S3 e os convidando a carregar seus dados.

De acordo com Sartorio, o banco tinha várias maneiras de se proteger do ataque, mas apenas depois do vazamento foram estabelecidas medidas adicionais de segurança. O especialista, cuja empresa fornece software de segurança de dados em nuvem, recomenda colocar proteções em torno dos dados.

As organizações também podem aplicar a tecnologia de prevenção de perda de dados (DLP, Data Loss Prevention) para monitorar dados confidenciais que estão sendo carregados em plataformas na nuvem. A tecnologia anti-phishing também poderia ter sido usada para identificar os e-mails inválidos.

2. Certificações roubadas ou mal validadas

Os usuários costumam procurar pelo símbolo do cadeado ao visitar sites, e alguns navegadores ou firewalls corporativos podem bloquear o acesso a sites inseguros. Esse recurso de segurança depende de certificados confiáveis. Os certificados também são usados ​​para que os usuários saibam que não estão baixando vírus.

O abuso de certificados é um método de ataque muito comum nos dias de hoje, afirma Peter Smith, co-fundador e CEO da Edgewise Networks. "Vimos muitos malwares recentemente que usam certificados legítimos", acrescenta. "Em alguns casos, eles são roubados. Em outros casos, eles são emitidos devido a processos de validação ruins."

Para evitar esse problema, o especialista sugere que as empresas assegurem a existência de sistemas que exijam que os certificados tenham acesso às listas de revogação mais recentes e examinem adequadamente as autoridades emissoras de certificados. "Certifique-se de que os fornecedores nos quais você confia estejam implementando as melhores práticas para certificados", declara.

3. Pesquisa e divulgação de segurança pública

Muitas informações e ferramentas de segurança cibernética estão disponíveis por meio de canais comerciais, e os criminosos podem acessar facilmente a maioria deles.

Criminosos veem as novas divulgações de vulnerabilidades assim que os profissionais de segurança o fazem, e podem utilizá-las imediatamente, explica Gaurav Banga, fundador e CEO da empresa de segurança Balbix. Alguns fornecedores de segurança publicam listas de ameaças, o que dá aos criminosos uma boa noção sobre os investimentos das empresas para a sua defesa contra os riscos.

Rob McDonald, vice-presidente de gerenciamento de produtos da empresa de segurança Virtru, afirma que os criminosos têm acesso a ferramentas de segurança há muito tempo. "Os CSOs precisam melhorar o jogo. Eu odeio dizer isso, mas a realidade é que muitas organizações ainda não estão corrigindo suas vulnerabilidades tão rapidamente quanto deveriam", diz o especialista. "Dependendo de quão grandes eles são, pode levar semanas ou meses para responder."

Para mitigar os riscos, o especialista defende que as empresas melhorem suas práticas de segurança, e, se a correção imediata não for possível, outras medidas devem ser tomadas.

4. Serviços de pagamento anônimo

Há muitas razões para os cidadãos comuns usarem serviços de pagamento anônimos. Eles podem querer enviar cartões de presente para amigos e familiares, por exemplo. Ou, quando tantas violações estão se tornando notícia, eles podem não querer que suas informações de pagamento reais sejam acessadas. "Há muitos serviços por aí, como Blur e Privay.com, que permitem criar cartões de crédito anônimos", diz Nathan.

Além disso, claro, há o bitcoin, mas nem todos os fornecedores de infraestrutura comercial aceitam pagamentos de forma anônima. Se um criminoso realmente precisar usar um desses fornecedores e quiser pagar em dinheiro real, em vez de usar credenciais de conta ou cartões de crédito roubados, alguns revendedores agem como intermediários.

5. Proxies "à prova de balas"

Serviços de proxy à prova de balas - também conhecidos como proxies inteligentes - disfarçam as localizações dos usuários. No entanto, as soluções são frequentemente usados ​​pelos criminosos para lançar ataques.

Os serviços têm acesso a milhões ou dezenas de milhões de endereços IP. O fornecedor de segurança Cequence Security registrou um aumento de 800% no tráfego do setor varejista, vindo de proxies residenciais de maio e julho deste ano. No setor financeiro, houve um aumento de 518%. "Essas redes não são necessariamente ilegais porque algumas delas foram construídas por usuários que se voluntariam para fazer parte da rede", diz Will Glazier, chefe de pesquisa de ameaças da Cequence. "Eles são voluntários porque basicamente são enganados". Uma dessas redes, por exemplo, prometeu aos seus usuários um serviço VPN peer-to-peer gratuito, enquanto na realidade seus computadores se tornaram parte do botnet proxy.

Com algumas redes oferecendo mais de 32 milhões de proxies, não é possível que todos os endereços IP sejam voluntários. O restante dos botnets é preenchido com computadores infectados, roteadores, câmeras inteligentes - qualquer dispositivo conectado à rede em um endereço de IP residencial.

Depois de estabelecidos, esses botnets podem ser usados para tentar fazer login em um banco com nomes de usuários e senhas violados. "Eles rotearão um milhão de solicitações por meio de um milhão de IPs diferentes com um milhão de pares de credenciais diferentes", afirma Glazier. "O objetivo é fazer com que pareça um milhão de usuários norte-americanos comuns e normais." A mesma tática pode ser usada para fraudes de cliques em anúncios e outros ataques em que a origem precisa parecer uma pessoa comum.

Para Glazier, o problema precisa ser combatido em várias frentes. Uma é que os provedores derrubem os botnets. "Vamos direto ao ISP e dizemos: 'Vimos 50.000 endereços de IP atingindo um cliente e achamos que são roteadores do mesmo tipo'. Eles podem atualizar o roteador e redefini-lo."

Uma prática recomendada é usar a análise comportamental para identificar logins suspeitos. Por exemplo, uma câmera de segurança geralmente não precisa verificar seu saldo bancário às duas horas da manhã. "Outro desvio do comportamento usual é a velocidade do login", revela Glazier. "Um humano não pode digitar a uma certa velocidade."

6. Plataformas de encaminhamento de chamadas

As pessoas são mais propensas a atender um telefonema se o número do telefone for muito parecido com o seu, o que é particularmente comum entre funcionários de empresas, afirma Sartorio, da Protegrity. A própria Protegrity tem um sistema de voz sobre IP (VOIP) em que todos os números de telefone começam com o mesmo código de área, e os mesmos três primeiros dígitos. O número principal é publicado no site da empresa, por isso é fácil para os criminosos encontrarem.

"Você tem essas plataformas de centrais telefônicas que podem aprovisionar automaticamente um novo número de telefone e proteger números de telefone próximos aos seus alvos", diz Sartorio. "Os invasores usam esses serviços para suas chamadas automáticas, na tentativa de colocar um funcionário da empresa na linha e, em seguida, tentam usar a engenharia social para fazê-los pensar que estão falando com o suporte técnico da empresa. A Protegrity já adicionou esse tópico ao treinamento de conscientização de segurança para seus próprios funcionários", completa.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail