Há muito a aprender com a recente violação de dados do Reddit, resultado de um funcionário que caiu em um ataque de spear phishing “sofisticado e altamente direcionado”.
Passo muito tempo falando sobre ataques de phishing e as especificidades que cercam de perto essa ação fundamental realizada pelo usuário quando ele é levado a acreditar que o e-mail de phishing é legítimo.
No entanto, há detalhes adicionais sobre o ataque que podemos analisar para ver que tipo de acesso o invasor conseguiu obter com esse ataque. Mas antes, vamos ao básico:
De acordo com o Reddit, um invasor criou um site que se fazia passar pelo gateway de intranet da empresa e, em seguida, enviou e-mails de phishing direcionados aos funcionários do Reddit. O site foi projetado para roubar credenciais e tokens de autenticação de dois fatores.
Existem apenas alguns detalhes da violação, mas a notificação menciona que o agente da ameaça conseguiu acessar “alguns documentos internos, códigos, bem como alguns painéis internos e sistemas de negócios”.
Como o aviso indica que apenas um único funcionário foi vítima, temos que fazer algumas suposições sobre esse ataque:
O invasor tinha algum conhecimento do funcionamento interno do Reddit – O fato de o invasor poder falsificar um gateway de intranet mostra que ele tinha alguma familiaridade com a aparência do gateway e seu uso pelos funcionários do Reddit.
O direcionamento das vítimas foi limitado a usuários com acesso específico desejado – Dado o conhecimento sobre a intranet, é razoável acreditar que o(s) invasor(es) visaram usuários com funções específicas no Reddit. Pelo uso do termo “código”, vou presumir que o alvo eram desenvolvedores ou alguém do lado do produto do Reddit.
O invasor pode ter sido um corretor de acesso inicial – apesar do acesso obtido que o Reddit está fazendo não ser grande coisa, eles também mencionam que nenhum sistema de produção foi acessado. Isso me faz acreditar que esse ataque pode ter sido focado em ganhar uma posição no Reddit em vez de penetrar em sistemas e dados mais confidenciais.
Existem também alguns tópicos deste ataque com os quais você pode aprender:
2FA é uma importante medida de segurança – Apesar do fato de que o agente da ameaça coletou e (suponho) passou as credenciais e os detalhes 2FA para o gateway legítimo da Intranet – um clássico ataque man-in-the-middle – é muito melhor ter MFA em vigor do que não ter fatores de autenticação adicionais em vigor.
Os funcionários desempenham um papel importante na segurança cibernética organizacional – o Reddit menciona que “logo após ser phishing, o funcionário afetado se autodenunciou e a equipe de segurança respondeu rapidamente, removendo o acesso do invasor e iniciando uma investigação interna”.
Os usuários que estão cientes de como são importantes para manter a organização segura – algo ensinado por meio de treinamento contínuo de conscientização sobre segurança – podem realmente fazer a diferença. Com tantos ataques envolvendo agentes de ameaças sem serem detectados literalmente por meses, é revigorante ouvir sobre um ataque em que o agente de ameaça foi interrompido rapidamente pelo pensamento rápido de um usuário que sabia exatamente o que fazer quando percebeu que havia sido enganado.
Fonte: Reddit is the Latest Victim of a Spear Phishing Attack Resulting in a Data Breach (knowbe4.com)
Foto de Tima Miroshnichenko: https://www.pexels.com/pt-br/foto/html-codificacao-computador-exibicao-5380664/