Phishing na nuvem: novos truques e a joia da coroa

Técnicas evoluídas de phishing na nuvem explicadas e lições aprendidas com o recente hack do Dropbox e do Uber

A computação em nuvem oferece aos phishers um novo playground para colher e expandir seus negócios. Mas não só isso, os impactos são muito mais amplos e perigosos. Nenhuma organização, pequena ou grande, é invulnerável a ataques de phishing. Portanto, é fundamental saber como você pode ser o alvo e o que pode fazer para evitá-lo.

O phishing baseado em SaaS já é familiar. Por exemplo, mais de 90% de todas as violações de dados são devidas a phishing , de credenciais roubadas a URLs maliciosos. Além disso, de acordo com um relatório da Unidade 42 da Palo Alto Networks , os pesquisadores observaram um aumento maciço desse abuso, com os dados coletados pela empresa mostrando uma enorme expansão de 1.100% de junho de 2021 a junho de 2022.

Com mais avanços na tecnologia, os defensores não apenas podem aproveitar ferramentas e técnicas mais sofisticadas para detectar e bloquear e-mails, links e mensagens de phishing, mas os invasores também estão melhorando seu lado do jogo de gato e rato.

Embora a maioria dos ataques de engenharia social seja entregue por e -mail, um terço dos profissionais de TI relatou um aumento da engenharia social entregue por meio de outras plataformas de comunicação em 2022.

Isso inclui ataques entregues via :

• Plataformas de videoconferência (44%),
• Plataformas de mensagens da força de trabalho (40%),
• Plataformas de compartilhamento de arquivos baseadas em nuvem (40%) e
• SMS (36%).

Além disso, o phishing nas mídias sociais é cada vez mais comum e, no primeiro trimestre de 2022, os usuários do LinkedIn foram alvo de 52% de todos os ataques de phishing em todo o mundo . De acordo com o relatório State of the Phish de 2022 da Proofpoint , funcionários de 74% das organizações receberam mensagens de texto fraudulentas (smishing) e a mesma porcentagem foi direcionada para mídias sociais.

Uma nova técnica de phishing difícil de detectar — SaaS-to-SaaS

Tudo isso pode acontecer sem que o invasor toque nos computadores/rede locais da vítima. Como tudo aconteceu de SaaS para SaaS, todas as medidas de segurança existentes, como gateway anti-spam, sandbox e filtragem de URL, não serão inspecionadas. Assim, nenhum alerta será gerado.

Além disso, com o aumento da produtividade do escritório em nuvem e das tecnologias de colaboração multiusuário, agora é possível para um invasor hospedar e compartilhar documentos, arquivos e até mesmo malware maliciosos na infraestrutura de nuvem desses domínios respeitáveis, permanecendo sem ser detectado.

Desde as descobertas da Check Point Research em 2020 , vimos a tendência de usar esse ataque de phishing SaaS para SaaS de “vários estágios”.

A primeira fase de um ataque de phishing é frequentemente uma fatura falsa ou um documento PDF seguro hospedado em serviços de nuvem. Este documento pode ser baixado; porém, é fundamental ressaltar que para facilitar o uso, esses serviços em nuvem abrem o PDF para visualização, permitindo que ele seja carregado no navegador da web sem restrições ou avisos.

É difícil de detectar porque não atingiu necessariamente a proteção implantada. Como vimos nas notícias, como tentativas de phishing na nuvem AWS em agosto , se a detecção de phishing for implementada na entrada e saída de e-mails, nunca verá isso acontecer.

Todas as ações ocorreram na Nuvem (ou várias nuvens); quando a detecção/varredura ocorreu, todas as coisas pareciam legítimas e criptografadas. Provavelmente, o e-mail de phishing atingirá a máquina das vítimas e toda a mágica acontecerá no navegador.

Phishing na nuvem em vários estágios

No início deste ano, a Microsoft alertou sobre novos phishing aproveitando os ADs do Azure que atacam aqueles que não usam autenticação multifator.

Esse ataque está prosperando agora, mas não antes, porque os invasores aproveitam o conceito de BYOD (Bring-Your-Own-Device) por meio do recurso de registro do dispositivo usando credenciais recém-roubadas, e a autenticação na nuvem pode ser acessada a qualquer hora e em qualquer lugar.

Nada fora do comum, é uma nova técnica de ataque que combina o phishing tradicional com ações de segunda ou mesmo terceira fase. O primeiro estágio rouba o e-mail de um funcionário como ataques regulares de phishing.

No entanto, em vez de atacar a vítima, o segundo estágio estabelece uma nova conta do Office 365 em um dispositivo não autorizado em nome da vítima. Uma vez estabelecida no novo computador, a conta de usuário da vítima (e, neste caso, seu anúncio do Azure) é usada para enviar ataques de phishing internos (disfarçados de vítima) dentro da empresa ou para clientes que usam a conta de e-mail legítima.

Se quiserem obter mais controle ou encontrar um “host” melhor, eles podem encontrá-lo por meio da primeira vítima e comprometer a segunda conta por meio de phishing interno. Esses ataques em vários estágios parecem legítimos e podem até implantar malware nos sistemas OneDrive ou SharePoint da empresa.

ChatGPT (ou outra IA)

De acordo com a pesquisa da HP Wolf Security , o phishing é responsável por quase 90% dos ataques de malware. Mas o ChatGPT pode tornar toda a situação ainda pior. Esse inteligente 🧠 AI Chatbot pode ser uma maneira de coletar informações por meio de um bate-papo amigável semelhante ao humano . Portanto, a vítima pode nem saber que está interagindo com uma IA.

A Check Point Research publicou recentemente um artigo interessante demonstrando como os modelos de IA podem criar um fluxo de infecção completo, desde spear-phishing até shell reverso . Vários scripts podem ser gerados rapidamente, com variações. Processos complexos de ataque também podem ser automatizados, usando as APIs dos LLMs para gerar outros artefatos maliciosos.

Outro risco é mais proeminente. A tecnologia de IA, como o ChatGPT, permitirá que os invasores combinem o volume de phishing massivo com um ataque direcionado (ou spear-phishing) . Por exemplo, digamos que ataques de phishing genéricos enviem milhões de spam na forma de e-mails, SMS (no caso de esmagamento) e postagens de mídia social. Mas estes são fáceis de detectar, resultando em baixo rendimento.

Com a adição de um AI Chatbot, milhões de mensagens de spear phishing podem ser geradas em segundos. Assim, os atacantes podem ter o melhor dos dois mundos. Portanto, em 2023, provavelmente veremos algum phishing em larga escala que envia milhões de mensagens únicas geradas em minutos . Seria um tremendo desafio para as equipes de segurança.

Outras novas técnicas de phishing

QRishing

Os invasores agora estão tentando fornecer links de malware por meio de códigos QR incorporados em e-mails, o que os torna difíceis de detectar para a maioria das soluções de segurança de e-mail. QRishing combina as palavras: “QR Codes” + “Phishing”. Isso indica que o ataque está na forma de um código QR. Ele pode potencialmente direcionar as vítimas a se conectarem a uma rede Wi-Fi não segura, enquanto alguém pode capturar facilmente o que você está digitando.

Alguns adversários até colocam códigos QR maliciosos em restaurantes ou outros locais públicos. Como a pandemia limita o contato físico, os códigos QR são uma ferramenta popular para os agentes de ameaças. Nós o usamos para acessar menus, verificar vacinas e obter informações públicas. Além disso, a tática de engenharia social é inserir códigos QR falsos em um texto de phishing (SMishing + QRishing) ou plataforma de mídia social. Ao escanear o código malicioso, os usuários são redirecionados para sites de phishing, onde a vítima pode ser solicitada a fazer login e roubar suas credenciais.

SMishing

SMishing combina as palavras “phishing” e “SMS”. Isso significa que é um tipo de phishing enviado pela sua rede móvel na forma de mensagens de texto. Embora o nome use SMS, esse ataque pode acontecer em outras plataformas de mensagens, como Facebook Messenger ou WhatsApp. O Smishing comum tenta se concentrar nas necessidades cotidianas. Entregas perdidas, pagamentos atrasados, notificações bancárias, multas e avisos urgentes são exemplos de ataques smishing.

Com tantas pessoas ficando em casa e tantas compras online diárias, estamos inundados de papelão. É muito desafiador acompanhar tudo o que entra em casa. Combinar serviços de entrega conhecidos com notificações falsas de “taxa de entrega” é a melhor receita para um Smishing bem-sucedido.

Joia da Coroa = Contas de Desenvolvedor

Por que os agentes de ameaças estão tentando comprometer as contas dos desenvolvedores? E o que pode dar errado se eles forem roubados?

Dependendo da posição do desenvolvedor, os invasores obtêm acesso a quase tudo:

• chaves SSH,
• chaves de API,
• Código fonte,
• Infraestrutura de produção,
• Acesso a pipelines de CI/CD e,
• ou seja, as obras.

No mínimo, esse engenheiro tem acesso de “confirmação” ao código-fonte. Por outro lado, suponha que a organização não siga as melhores práticas de engenharia de software, como revisões de código e restrição de quem pode se comprometer com a filial principal. Nesse caso, o invasor pode modificar o código-fonte da organização para alterar e infectar o produto final.

Essa conta pode ignorar manualmente algumas verificações de código, que também terão acesso a recursos valiosos (código-fonte, chaves SSH, segredos, credenciais, chaves de API, pipelines de CI/CD e muito mais). Esse cenário, em que esse tipo de conta é comprometido, seria devastador para uma organização. As contas de desenvolvedor geralmente vêm com acesso ao GitHub ou outro repositório de código.

Dropbox e Uber

Em setembro, o Uber divulgou que hackers roubaram informações pessoais de cerca de 57 milhões de clientes e motoristas . Mais tarde, descobrimos que o hack estava relacionado a uma credencial codificada obtida por um “ ataque remoto de engenharia social. ”

Em novembro, o Dropbox teve um incidente de segurança devido a um ataque de phishing contra seus desenvolvedores. Eles foram atraídos para preencher suas credenciais do Github por um e-mail de phishing em um site falso, apesar da autenticação multifator (MFA) em vigor. O que torna esses incidentes assustadores é que não se tratava apenas de um usuário aleatório de uma função comercial; eram desenvolvedores com acesso privilegiado a muitos dados do Dropbox e Uber.

Fadiga MFA

Ambos os casos dessas duas empresas gigantes de tecnologia implementaram a autenticação multifator. Ainda assim, os hackers encontram uma maneira de contornar ou contornar essa medida que pode impedir o roubo de credenciais.

No caso do Uber, o hacker (supostamente um jovem de 17 anos) foi criativo e criou um método de baixa tecnologia, mas muito eficaz – um “ ataque de fadiga MFA. ” O invasor tenta fazer login repetidamente, enviando uma enxurrada de solicitações push aos usuários solicitando à vítima que confirme o login. Assim que a vítima parou de clicar em “não” em seu telefone, seguido de um “login autorizado”, o MFA falhou.

Para o caso do Dropbox, que é bem mais simples. O e-mail de phishing supostamente se originou da plataforma de integração e entrega de código, CircleCI . Em seguida, o site de phishing de aparência realista enganou o desenvolvedor para que ele digitasse a credencial e a senha única. Assim, o MFA também falhou.

Repositório de código e mais

Como vimos nesses incidentes, o GitHub e outras plataformas no espaço de pipeline de integração contínua/implantação contínua (CI/CD) são as novas “jóias da coroa” para muitas empresas. Com as permissões adequadas, os invasores podem obter propriedade intelectual, códigos-fonte e outros dados confidenciais.

Mas não para por aí, pois o GitHub geralmente se integra a outras plataformas, o que permite que os “usuários” permitidos vão ainda mais longe. Além disso, as contas dos desenvolvedores geralmente recebem acesso ao nível mais profundo, pois manter e desenvolver o aplicativo principal pode ser parte de sua responsabilidade de trabalho. Isso torna a conta do desenvolvedor uma joia da coroa para os invasores.

Como melhorar suas defesas contra phishing

De acordo com as estatísticas do setor , a organização média recebe dezenas de e-mails de phishing por dia, com perdas financeiras agravadas à medida que as perdas de ataques de malware e ransomware aumentam o custo médio dos ataques de phishing ano após ano. Enfrentar todas as ameaças destacadas requer esforço extra e, embora não seja possível eliminar o risco de ataques de phishing, você pode aprender com as tendências e incidentes observados para gerenciá-los melhor.

Por exemplo, aqui estão as recomendações do recente relatório Zscaler :

1. Entenda os riscos para informar melhor as decisões de política e tecnologia
2. Aproveite ferramentas automatizadas e informações acionáveis para reduzir os incidentes de phishing
3. Implemente arquiteturas de confiança zero para limitar o raio de explosão de ataques bem-sucedidos
4. Forneça treinamento oportuno para aumentar a conscientização sobre segurança e promover relatórios de usuários
5. Simule ataques de phishing para identificar falhas em seu programa

Além das cinco mitigações básicas dos ataques de phishing, podemos fazer mais. Portanto, terminarei este artigo com dicas que você pode trazer. Saber que os phishers acabarão encontrando uma maneira de chegar até você , ter uma maior resiliência cibernética seria uma excelente maneira de começar.

Dicas nº 1: Abordagem de defesas contra phishing em várias camadas

A segurança típica de e-mail contra phishing geralmente depende exclusivamente de um único ponto de proteção, como gateways de e-mail e endpoints/agentes móveis. Tudo que passa por esse portão dependeria da capacidade dos usuários de detectar mensagens de phishing. Sem mencionar que os invasores agora estão afiando suas armas com phishing em vários estágios.

Por outro lado, uma abordagem de defesa em camadas pode melhorar a resiliência cibernética sem interromper a produtividade dos negócios. Além disso, haveria várias chances de detectar e capturar um e-mail de phishing.

1. Alcance — Impeça que o e-mail chegue à caixa de entrada do usuário. Isso pode ser alcançado com a introdução de software de segurança anti-phishing, como filtros de spam. Além disso, devem ser implementados controles anti-spoofing, como; Registros DMARC, DKIM e SPF.
2. Identificar — A maioria das violações de dados é iniciada por meio de um e-mail de phishing devido a erro humano. Portanto, a equipe deve receber treinamento regular para identificar os possíveis e-mails de phishing mais recentes. Isso permitirá que eles sigam o processo da empresa quando ocorrer um incidente, o que deve incluir o relato do incidente à equipe relevante.
3. Proteger — As proteções devem estar em vigor para quando ocorrerem incidentes. Essas proteções incluem, mas não estão limitadas a; reforçando a autenticação multifator (MFA), gerenciadores de senhas, verificações regulares de integridade de TI e defesas de endpoint.
4. Resposta — A equipe deve ser capaz de relatar incidentes de phishing à equipe relevante. Um registro de segurança dedicado e o sistema de alarme devem estar em vigor, bem como um Plano de Resposta a Incidentes.

Dicas nº 2: abordagem de acesso just-in-time (JIT)

O acesso privilegiado envolve um perigo significativo, afirma o Gartner . O risco representado por usuários com privilégios permanentes persiste mesmo com ferramentas PAM e é considerável. Eles sugerem que as soluções just-in-time (JIT) sejam usadas pelos líderes de gerenciamento de identidade e acesso (IAM) para finalmente alcançar uma postura de privilégios permanentes.

O Gartner também forneceu uma solução para combatê-lo - a abordagem Just-in-Time. Por exemplo, quando os desenvolvedores usam essas credenciais para configurar ou modificar recursos de produção, conceder a eles as permissões apropriadas é crucial, com apenas os recursos necessários para concluir as tarefas especificadas.

Dicas nº 3: Revise o encaminhamento de caixa de correio

Atores de ameaças usam contas comprometidas não apenas para roubar dados internos, mas também, por exemplo:

• Leia os e-mails dos usuários,
• Distribuir malware,
• Spamming,
• Saiba mais sobre o usuário e para lançar ainda mais phishing de segundo estágio e
• Encaminhamento de e-mails para destinatários externos.

Os invasores podem configurar regras de e-mail para ocultar suas atividades maliciosas do usuário para ocultar os e-mails recebidos na caixa de correio do usuário comprometido. Eles também podem criar regras na caixa de correio do usuário comprometido para excluir e-mails, movê-los para uma pasta menos visível, como uma pasta RSS, ou encaminhar e-mails para uma conta externa.

Os e-mails podem ser encaminhados manualmente ou automaticamente usando regras de encaminhamento. O encaminhamento automático pode ser realizado de várias maneiras, incluindo regras de caixa de entrada, regras de transporte do Exchange (ETR) e encaminhamento de SMTP. Embora o encaminhamento manual exija que os usuários tomem uma ação direta, eles podem precisar estar cientes de todos os e-mails encaminhados automaticamente.

Palavras Finais

A realidade é que ninguém pode parar totalmente o phishing enquanto o fator humano estiver na fórmula. Como resultado, o melhor que podemos fazer a longo prazo é adotar a Zero Trust Architecture para segurança de e-mail. Seria um projeto muito mais granular da abordagem de defesa multicamadas.

Uma abordagem Zero Trust para e-mail pode ajudar as organizações na defesa contra ataques de personificação de e-mail, concentrando-se na Autenticação (Verificando a Confiança do Usuário/Dispositivo) — garantindo que os e-mails que entram no ambiente corporativo ou chegam às caixas de entrada dos usuários finais sejam de indivíduos, marcas e domínios legítimos .

Existe uma posição privilegiada para desenvolvedores de software em todas as organizações técnicas. Eles são o ponto central em qualquer empresa moderna por causa de seu acesso upstream aos produtos distribuídos aos clientes e seu acesso a sistemas de produção e infraestrutura. A organização de segurança falharia se os desenvolvedores não fossem protegidos, levando a uma catástrofe.

Se você, infelizmente, cair em um ataque de phishing, faça o seguinte:

• Entre em contato com o departamento de TI e informe a situação
• Redefinir senha para aplicativos relacionados
• Por favor, não use uma senha repetida. Em vez disso, redefina a conta com a mesma senha dos aplicativos acima.
• Monitore a conta com cuidado por 30 dias

Finalmente, o NIST desenvolveu um método para ajudar a equipe de segurança a ver por que os usuários clicam no e-mail de phishing:

Obrigado por ler. Que a InfoSec esteja com você🖖.