Na última edição do Fórum de Jornalistas realizado pela ESET, apresentamos a palestra “Cibercrime: os ataques mais comuns”, em que foram apresentados os cinco ataques mais utilizados por cibercriminosos, alguns apareceram recentemente, enquanto outros são velhos conhecidos, mas com novas características.
Neste artigo, apresentamos as principais características desses ataques e as razões pelas quais esses métodos começaram a ser utilizados com mais frequência por criminosos, que buscam obter diferentes tipos de benefícios em detrimento dos recursos e informações dos usuários.
Ataques de phishing
Embora esse seja um ataque conhecido e utilizado há anos, as recentes campanhas de propagação apresentam novas características. Por exemplo, agora os sites de phishing usam certificados de segurança.
De acordo com o Antiphishing Working Group, durante o segundo trimestre de 2018, cerca de 35% dos ataques de phishing registrados foram hospedados em sites com o protocolo HTTPS, um número que representa um aumento significativo em comparação com quase 5% do total de casos de sites falsificados com certificados SSL, reportados no final de 2016.
Esse aumento possivelmente ocorreu devido as mudanças recentes registradas em navegadores web. O Google Chrome, por exemplo, desde julho deste ano começou a identificar sites que utilizam HTTP como "Não é seguro". Por outro lado, a iniciativa de algumas autoridades de certificação para emitir certificados de forma gratuita permitiu que mais sites possam contar com certificados de segurança, inclusive sites falsos.
Vale a pena mencionar que as campanhas de phishing começaram a utilizar formas alternativas de se propagar (além do uso “tradicional” de e-mail), como, por exemplo, aplicativos de mensagens, em uma tentativa de alcançar mais vítimas. Ao mesmo tempo, essas campanhas maliciosas também incluem características de ataques homográficos, o que acrescenta mais dificuldades aos usuários para a identificação dos sites apócrifos.
Portanto, as práticas de segurança que costumavam ser recomendadas em relação ao phishing, continuam sendo válidas, embora já não sejam suficientes, devido às novas características de ataques desse tipo. Agora não é suficiente verificar a URL, o cadeado de segurança ou o uso de HTTPS, também é aconselhável verificar o nome comum do site nos certificados de segurança, para compará-lo com o domínio do site em questão.
Criptojacking
Trata-se de uma ameaça que começamos a identificar no início de agosto de 2017 e que tem como princípio o sequestro da capacidade de processamento de um dispositivo alheio para ganhar dinheiro através de criptomoedas. Uma das maneiras de infectar dispositivos é através de scripts que são executados no navegador do usuário. Em outras palavras, basta que o usuário visite um site que contenha o código para que seu processador seja utilizado para mineração de alguma criptomoeda. O cryptojacking começou a ter uma grande atividade no final do ano passado, sendo a ameaça mais detectada pela telemetria da ESET em todo o mundo entre dezembro de 2017 e junho de 2018.
Até agora, em 2018, na América Latina, quase metade das detecções de JS/CoinMiner (assinatura usada pelas soluções da ESET) estão concentradas em dois países: Peru (30,72%) e México (17,41). %), seguidos pelo Equador (8,89%), Brasil (7,73%) e Argentina (7,08%).
As soluções da ESET identificam essa ameaça como um PUA (Potentially Unwanted Application), ou seja, como uma aplicação potencialmente indesejado, e não como malware, uma vez que a mineração é em si uma atividade legítima. A ilegalidade do crypjacking ocorre quando os recursos de processamento do usuário são utilizados sem o seu consentimento e sem o seu conhecimento.
Malware
Os códigos maliciosos continuam sendo uma das principais ameaças, ao mesmo tempo que também são utilizados para realizar ataques. Além disso, de acordo com o ESET Security Report 2018, as infecções por malware são a principal causa de incidentes de segurança nas empresas latino-americanas.
Os Laboratórios de Pesquisa da ESET recebem diariamente mais de 300.000 amostras de malware exclusivas, o que mostra uma visão geral do problema, especialmente se considerarmos que ameaças desse tipo são desenvolvidas para praticamente todos os sistemas operacionais utilizados atualmente.
Para dar outro exemplo, os laboratórios da ESET identificam, em média, cerca de 300 amostras de malware para Android por mês. Além disso, começaram a aparecer amostras de malware especialmente projetadas para afetar os dispositivos da chamada Internet das Coisas, que depois de serem comprometidos são utilizados para realizar outros ataques.
Além disso, surgiram outras ameaças que agem com o princípio do ransomware, mas longe de sequestar as informações ou os sistemas operacionais, os códigos maliciosos agora podem sequestrar os próprios dispositivos, algo que tem sido chamado de Ransomware das Coisas (RoT, por sua sigla em inglês).
Ciberextorsões
Durante 2018 apareceram várias fraudes que circulam através de e-mail e estavam enfocadas em enganar os usuários a partir da suposta obtenção de informações comprometedoras. Em várias dessas campanhas havia algum elemento em particular, como um dado em específico, que fazia com que o usuário acreditasse que não se tratava de um golpe.
Um exemplo é a campanha em que os cibercriminosos enviavam um e-mail com a senha dos usuários como parte do assunto da mensagem, em uma tentativa de provar que tinham os seus dados pessoais e que a extorsão detalhada no texto do e-mail era real. Estima-se que esta campanha em particular conseguiu arrecadar quase meio milhão de dólares.
Outro exemplo desse tipo de fraude chegava para o usuário desde sua própria conta, o que fazia supor que o cibercriminoso tinha acesso à conta da vítima. Através de uma mensagem intimidante, o criminoso fazia com que o usuário acreditasse que ele possuía informações, para solicitar um pagamento (em Bitcoins) para "não revelar" os dados que supostamente tinha em seu poder.
Recentemente, foram identificadas mais campanhas com o mesmo modo de funcionamento, e apesar de ser difícil de acreditar, continuam sendo eficazes para os cibercriminosos.
Exploração de vulnerabilidades
O último tipo de ataque destacado durante a palestra está relacionado com a exploração de vulnerabilidades, um método comumente utilizados por cibercriminosos, com alguns dados interessantes para análise.
Nos últimos meses de 2017 destacamos que este havia sido o ano com o maior número de vulnerabilidades reportadas (14.714 para ser mais preciso), ultrapassando os registros dos anos anteriores, no entanto, até agora esse número já foi superado novamente. Segundo dados da CVE Details, apesar do ano ainda não ter terminado, mais de 15.300 vulnerabilidades já foram registradas.
Nesse contexto, a exploração de algumas vulnerabilidades também está em ascensão. Por exemplo, a detecção do EternalBlue (identificado pelo ESET como Win32/Exploit.Equation.EternalBlue), um exploit utilizado durante a propagação do WannaCryptor, teve um aumento.
Se você comparar as detecções desse exploit durante maio 2017 com as de julho de 2018 (período com mais atividade), houve um aumento de quase 600%, no qual várias famílias de ransomware e outros tipos de malware tentam explorar vulnerabilidades em sistemas desatualizados.
Novos ataques e novas características em ataques conhecidos
Depois de analisar algumas das características e dados dos ataques que foram identificados com frequência nos últimos meses, é importante esclarecer dois pontos. Primeiro, é apenas um pequeno número de ataques dentro de um amplo intervalo identificado durante 2018.
A segunda questão que deve ser considerada é que, em nenhum dos casos, os termos "ameaça" e "ataque" foram usados como sinônimos. No entanto, em alguns dos pontos analisados neste artigo, é possível identificar que eles podem desempenhar os dois papéis, tanto o de ameaça quanto o de ataque. Por esse motivo, consideramos as definições incluídas na norma ISO/IEC 27000:2014.
De acordo com o padrão, um ataque é a "tentativa de destruir, expor, alterar, desativar, roubar ou obter acesso não autorizado a um ativo", enquanto uma ameaça é definida como a "causa potencial de um incidente indesejado, que pode resultar em prejuízos para um sistema ou empresa". Nesse sentido, os elementos acima mencionados podem ser classificados como ameaças, mas também podem ser utilizados como uma forma de ataque.
É importante destacar o modo como as ameaças de computador evoluem e os vários ataques que buscam comprometer os ativos, de modo que, do ponto de vista da segurança, o uso de tecnologias de proteção, a aplicação de boas práticas e a tarefa constante de estar informado sobre o que acontece no mundo da segurança cibernética.