Quando um ataque informático consegue seu objetivo, costumamos fazer referência ao elo mais fraco: o usuário. Inicialmente, uma grande quantidade das ameaças procura explorar as vulnerabilidades nas pessoas por meio de métodos conhecidos há anos, que se relacionam com técnicas de Engenharia Social e que continuam sendo efetivas.
No entanto, sem dúvidas, essas técnicas se complementam com ferramentas cada vez mais sofisticadas que também exploram vulnerabilidades no software, como 0-days, ou utilizam malware cada vez mais complexos.
De acordo com o objetivo dos atacantes, são definidos os recursos que serão utilizados para obter o sucesso de uma campanha maliciosa, que pode ser massiva, tentando afetar a maior quantidade possível de usuários, ou um ataque direcionado com alvos específicos; por isso, pode estar destinado a uma empresa ou usuários finais.
No entanto, como é possível estabelecer tudo isso? Analisemos.
O curto caminho para obter a fruta madura
O termo “low-hanging fruit” faz referência a objetivos que podem ser conquistados com relativa facilidade, empregando o mínimo de esforço para consegui-lo. Pode ser aplicado em diferentes âmbitos e também começou a ser utilizado no contexto da cibersegurança, mas a que se refere e como podemos relacioná-lo com os ataques informáticos?
O conceito pode ser aplicado aos ataques que empregam técnicas relativamente simples de implementar e propagar, que permitem aos atacantes obter acesso a sistemas e informações de potenciais vítimas, e geralmente se encontram em campanhas massivas que tem como propósito afetar a um maior número de usuários.
Por isso, a partir de uma grande quantidade de usuários afetados, um atacante pode obter algum benefício (geralmente econômico), mas que pode ser comparado à quantidade de recursos utilizados para a criação de uma ameaça. De acordo com uma pesquisa realizada para determinar os fatores para o sucesso dos ataques, o tempo e os recursos que um cibercriminoso precisa são cada vez menores, devido ao uso de ferramentas automáticas e ao aumento na quantidade de exploits ou vulnerabilidades conhecidas. No entanto, apesar disso, requerem poucos recursos.
Nesse sentido, a efetividade desse tipo de ataque se deve em grande medida às más práticas de segurança realizadas pelos usuários, a falta de ferramentas e software básico de segurança ou o desconhecimento de informação como as vias de propagação conhecidas: arquivos maliciosos anexos em emails, links maliciosos ou exploração de vulnerabilidades conhecidas que, inclusive, contam com patches de segurança disponíveis.
O outro lado da moeda: ataques direcionados
No outro extremo se encontram os ataques direcionados. Apesar de todos os ataques serem direcionados a um perfil de usuário e a principal referência seja a massividade, costumamos nos referir a um ataque direcionado quando se trata de um alvo muito específico (como uma empresa ou um usuário de alto perfil).
Embora esse tipo de ataque também se apoie em técnicas de Engenharia Social e costumem empregar métodos conhecidos como no caso anterior, uma característica importante é que se complementem e recorram a ferramentas incomuns, como vulnerabilidades de dia zero ou malware especialmente projetado para o ataque. No entanto, são mais demorados, costumam ser mais complexos tecnicamente e requerem mais recursos.
Em geral, costumam ser realizados com propósitos específicos que além de serem associados com lucros econômicos para seus autores, podem responder a outro tipo de interesse e, inclusive, podem ser patrocinados por governos.
Outra característica relevante é a persistência. Geralmente o tempo é o principal inimigo de um atacante e logo depois de um tempo considerável pode deixar de lado suas tentativas para acessar a uma rede, um sistema ou obter informações. No entanto, nos ataques direcionados, contam com os recursos e o tempo suficientes para alcançar o propósito, tentando quantas vezes seja necessário.
Podemos pensar de maneira pessimista que se alguém procurar afetar negativamente a um usuário e conta com os recursos suficientes, em algum momento, poderá conseguir seu objetivo. Nesse caso, a experiência do usuário joga a favor de sua segurança, adicionada às ferramentas que deve implementar para se proteger.
Apesar das diferenças, existem semelhanças na proteção
Depois de rever algumas características dos ataques informáticos, é importante destacar que apesar das grandes diferenças, o conjunto de recomendações relacionadas com o uso da tecnologia e o software de segurança, aplicar boas práticas e conhecer os métodos empregados pelos atacantes, pode contribuir de forma considerável para evitar ameaças dessa natureza.
Na maioria dos casos, o uso de ferramentas de segurança torna um ataque técnica e economicamente inviável; já em outras situações, as práticas de proteção exercidas pelos usuários, permitem que escapem de golpes. Apesar da sofisticação e complexidade dos ataques e ameaças, a proteção está ao nosso alcance e temos uma tarefa diária que consiste em conquistar o estado ideal de segurança.