Digital Fraud, Data Leakage, Threat Intelligence

O que a Google sabe sobre phishings e outras 5 tendências da RSA Conference

Por Eduardo Schultze em
COMPARTILHAR

Na semana do último carnaval, entre 4 e 8 de março, nós fomos até San Francisco, na Califórnia (Estados Unidos), para uma folia (ba dum tss!) de tendências em segurança digital: a RSA Conference. Como o próprio slogan do evento já diz, esses 5 dias anuais são ‘onde o mundo fala sobre segurança’. O lugar estava lotado de gente (foram estimados mais de 40 mil participantes), e também de diversas ideias – separamos aqui algumas coisas interessantes que vimos por lá:

 

Os dispositivos IoT estão na mira dos criminosos


A Symantec, empresa responsável pelo antivírus Norton, mostrou que é crescente a onda de infecção por malwares de dispositivos IoT (Internet of Things, que são smartTVs, speakers e outros eletrônicos com acesso à web). Desse tipo de dispositivo, 75% dos infectados são roteadores – e muitos deles são usados para cryptomining ou mesmo em alterações de proxy que redirecionam o usuário para um phishing.

 

Redes de robôs lucram com falsas visualizações em vídeos


Especialista em detectar robôs, a White Ops noticiou criminosos russos altamente organizados a partir de uma botnet de 50 mil máquinas feita para fraudar cliques em propagandas de vídeos. Dentre as máquinas utilizadas na fraude, existem computadores de usuários que foram infectados com malware. Isso significa que seu computador pode estar sendo usado para gerar tráfego ao fingir que é você que está assistindo um anúncio – dificultando ainda mais a deteção do padrão destes bots. Esses criminosos desenvolveram até mesmo um navegador próprio com as funções necessárias e alguns bloqueios específicos para evitar que a White Ops continuasse com as investigações. E os crimes desse tipo já parecem ser recorrentes: uma das redes, detectada em 2016 e apelidada de Methbot, era capaz de gerar 300 milhões de views e lucros diários de até US$ 5 milhões!

 

Venda de programas prontinhos para espalhar malwares


A F5, focada em segurança mobile, notou alguns exploit kits sendo vendidos como programas já prontos – ou SaaS (Software as a Service). Dessa forma, quem não sabe programar mas tem o desejo de espalhar malwares pode trabalhar com o crime. A sacada disso tudo é que, por receber o pagamento, o “desenvolvedor” diminui o risco de ser condenado. Segundo Daniel Frank, pesquisador de segurança da F5, alguns desses desenvolvedores já foram identificados e presos em operações da Interpol.

Frank também comentou sobre o GandCrab, em que os desenvolvedores procuraram aliados na dark web que indicassem vítimas para o malware (partners in crime, literalmente). O arquivo era um ransomware (tipo de malware que bloqueia o dispositivo) e forçava as vítimas a baixarem o navegador TOR (que acessa a dark web) para fazerem o pagamento do desbloqueio. Para piorar, quem trabalhava no Suporte 24h dos pagamentos eram pessoas de diversas nacionalidades que não sabiam que estavam envolvidas em um crime.

 

Uma ferramenta disponibilizada pela Agência Nacional de Segurança dos EUA


Sim! A primeira ferramenta de código aberto da NSA para a comunidade de segurança está aqui: batizada como Ghidra, ela serve para analisar (o que chamamos de engenharia reversa) um arquivo ou conjunto de arquivos de forma colaborativa, onde uma pessoa pode iniciar o processo e outra do próximo turno pode continuar a análise de onde se tinha parado.

Embora seja uma função comum em muitos programas, também é o primeiro programa de engenharia reversa e de código aberto que tem a opção desfazer/undo. Quem analisa binários sabe como é frustrante fazer alguma coisa errada (muito comum na nossa área) e ter de começar do zero pela falta dessa função.

O governo norte-americano também promete não espionar os profissionais da segurança por meio da Ghidra: "sabíamos que, no momento em que fosse lançada, a ferramenta seria analisada a fundo pela comunidade de segurança", disse Robert Joyce, Senior Advisor da NSA.

 

Os dados da Google sobre phishings


A Google explicou em passos bem claros o que são e como têm funcionado os phishings. O primeiro ponto deles é que essas fraudes têm tentado dificultar a detecção ao máximo, bloqueando user-agents (o próprio Google, Bing, Yahoo e outros) e também alguns antivírus. Essa é uma das razões para que seja menos frequente vermos aquela tela vermelha que alerta para sites maliciosos. O pessoal da Google também identificou:

  • Imagens que se passam por anexos “seguros” do Gmail, mas, na verdade, encaminham para um download de malware

  • Phishings de uma nova categoria chamada fake affinity, que são inseridos em botões de ajuda como “clique aqui para não receber mais e-mails”

  • Um entendimento dos invasores sobre a atenção humana: se o usuário não está muito atento, suas chances de clicar são maiores

  • E-mails de phishing enviados por domínios muito similares ao de uma empresa, por exemplo. Por isso, uma das novas medidas de segurança do Gmail é um alerta em e-mails que são enviados para domínios externos à organização do remetente

 

Automatizações possíveis para os SOCs (Security Operations Centers)


Se você trabalha protegendo a rede da sua empresa contra ataques e vazamentos, provavelmente concorda que uma das maiores necessidades do setor é a automatização de processos. Algumas das possibilidades para esse uso foram apontadas pela empresa Carbon Black:

  • Mapeamento do ambiente usando quantas ferramentas forem necessárias

  • Identificação do comportamento "normal" da rede para saber o que é anormal

  • Revisão assídua do comportamento dito normal

  • Investigação de cada suspeita

Uma dica de ferramenta para automatização é a Osquery, que escaneia os dispositivos e permite análises e alertas avançados – por exemplo, atividades suspeitas nos sistemas que podem ser ações de malware.

Caso você queira mais parcerias para desafogar o seu SOC e encontrar as mais diversas ameaças à sua marca, veio ao lugar certo! Com a ajuda de nossos robôs, identificamos tudo aquilo que pode comprometer o seu negócio. Confira nossas soluções para combater phishings e malwares.
event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Eduardo Schultze

Threat Intelligence Team Leader da Axur, formando em Segurança da Informação pela UNISINOS - Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 combatendo fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware.