Nos últimos meses têm crescido a quantidade de ataques realizados por cibercriminosos a consumidores de conhecidas redes de varejo, aproveitando-se de suas fortes marcas e da credibilidade que as mesmas possuem no mercado. Falsas promoções com descontos ou prêmios são anunciados e, na eventualidade do usuário clicar nos links contidos na mensagem, malwares com diferentes propósitos podem infectar o smartphone e causar roubo ou perda de dados críticos.
A técnica usada, em realidade, não é nova. É o velho phishing – uma fraude eletrônica na qual o criminoso se faz passar por uma pessoa ou empresa confiável enviando uma comunicação eletrônica oficial. Isto pode ocorrer de várias maneiras. Historicamente o phishing sempre foi mais utilizado por e-mail, e muitos usuários corporativos já são devidamente treinados a não seguir links enviados por e-mail sem alguns cuidados básicos que confirmem a sua veracidade.
Mas, dada a popularização de dispositivos móveis e o crescente uso de aplicativos móveis no âmbito pessoal e, principalmente, profissional, com o acesso a informações cada vez mais valiosas, é vertiginoso o crescimento de ataques de phishing por meios como SMS e WhatsApp. Também as redes sociais, que não chegam a ser exclusividade das plataformas móveis, mas são hoje acessadas em larga medida por estes tipos de dispositivos.
Trata-se de um grande desafio para os varejistas, e para as companhias em geral. Afinal, é um tipo de golpe que, independente de seus esforços para melhoria da sua segurança interna, pode causar impacto na sua imagem junto ao mercado. Qualquer empresa pode ter sua marca comprometida com esses ataques. Mas é mais que isso: o consumidor de uma empresa é o funcionário de outra, e o malware facilmente pode ser levado para dentro de empresas onde danos ainda maiores podem ocorrer.
Por isso, algumas recomendações aos Gestores de Segurança para mitigar os riscos associados às novas modalidades de phishing são:
- Conscientização dos Usuários: Evidentemente este é um ponto-chave em qualquer ação contra-ataques via phishing, seja qual for o meio usado para perpetrar essa fraude eletrônica (e-mails, SMS, WhatsApp, redes sociais etc). É importante conscientizar os usuários de que não podem acessar links sem cuidados básicos como checar sua veracidade. Mais que isso, importante recomendar que os usuários chequem pela veracidade da própria informação recebida, antes de passar adiante para seus contatos ou grupos. Percebe-se facilmente que a maioria das pessoas tem o hábito de divulgar mensagens (promoções ou não) sem checar se a informação é verídica.
- Canal de Comunicação aos Consumidores: Se você é o responsável pela segurança de uma empresa com marca conhecida, recomendamos manter um canal de acesso aos consumidores no qual informações de conscientização de segurança são constantemente fornecidas aos clientes. Trata-se de um Programa de Conscientização em Segurança, em alguns aspectos similar ao programa interno que é voltado aos usuários de TI, mas neste caso voltado ao mercado e aos consumidores. Uma conta em redes sociais, um blog no website da empresa ou mesmo o uso dos mesmos canais usados para o phishing como e-mails, SMS e WhatsApp pode também ser uma opção para conscientizar seus consumidores sobre os riscos do phishing e como evitá-lo. Assegure alinhamento com o marketing da sua empresa e a ação pode reforçar a confiança dos consumidores na marca.
- Segurança com análise avançada de dados: As ferramentas de Analytics vêm sendo usadas por departamentos de marketing e unidades de negócio para avaliar o comportamento e a experiência que consumidores compartilham em redes sociais. A mesma tecnologia pode ser usada para monitorar diferentes redes sociais por atividades criminosas, não apenas identificar comentários relacionados a phishing mas também ofertas de venda de cartões de crédito falsos, senhas de acesso e outras informações obtidas ilegalmente, bem como vazamento de informações via funcionários descuidados ou mal-intencionados. É comum também criminosos inexperientes usarem as redes para vangloriar-se dos seus feitos. Pois bem, equipes de segurança podem contar com soluções que efetuam monitoração por palavras-chave em regime 24×7 e em diferentes idiomas, e serem notificadas quando tais mensagens forem compartilhadas. Informações sobre o perfil, horário e localização do usuário que postou a informação podem ajudar na identificação e punição do criminoso.
- Segurança de Aplicações Móveis: Com os ataques mencionados anteriormente, aumentaram os riscos de que contaminações por malware nos dispositivos móveis causem incidentes de segurança nas empresas. O consumidor de uma empresa é o funcionário de outra – e o malware que ele inadvertidamente permite que seja instalado no seu smartphone, em empresas que adotam modelos BYOD (Bring Your Own Device ou "Traga seu Próprio Dispositivo"), são malwares "trazidos" para dentro da empresa. Há potencial para um incidente de segurança de grandes proporções. Conscientizar os usuários internos é imprescindível, mas igualmente essencial é assegurar que as aplicações móveis e recursos da empresa estejam devidamente protegidos. Soluções de segurança para aplicações móveis que usam conceitos de Application Wrapping (ou Envelopamento de Aplicações) são capazes de proporcionar segurança aos dados sensíveis armazenados, transmitidos e processados por aplicações de negócio, mesmo em ambientes hostis como um smartphone contaminado com um malware.
- Monitoração de Incidentes: Mantenha processos de monitoração de incidentes e inteligência de ameaças, de modo a assegurar que os alertas relevantes sejam detectados (e somente estes, já que hoje a complexidade dos ambientes tecnológicos gera uma quantidade enorme de eventos e torna o foco no que é realmente relevante difícil, algo como procurar agulha no palheiro). Ferramentas de correlação de eventos e plataformas SIEM (Security Incident & Event Management) serão cruciais para lidar com o desafio. Técnicas de Security Analytics (segurança por meio da análise avançada de dados) que identificam comportamentos anômalos e geram alertas independentemente de assinaturas de ataques conhecidos é uma camada adicional ao SIEM, e igualmente importante. Some a isso profissionais qualificados, em operação 24×7, bases de regras de correlação e análise de dados robustas, bem como mecanismos para melhoria contínua destas bases; processos maduros para análise, confirmação e priorização dos incidentes para garantir seu tratamento apropriado; e Resposta a Incidentes por meio de processos, ferramentas e profissionais qualificados.
- Gestão de Riscos: Assegure que seu Processo de Gestão de Riscos avalie constantemente como novas ameaças, tecnologias e mudanças no ambiente de negócios refletem no nível de risco da organização. Tal processo deve assegurar que os riscos sejam identificados, avaliados e que suportem a tomada de decisão acerca de quais controles de segurança são necessários para mantê-los sempre dentro do patamar considerado aceitável pela organização.
- Microssegmentação: Prepare-se para o pior, e considere que o criminoso pode ter êxito ao infiltrar um malware atrás das suas linhas de defesa tradicionais. Trabalhar com Escopo de Confiança Reduzido (Reduced Scope of Trust ou RSOT), segundo o Gartner, é a melhor alternativa para isolar sistemas sensíveis. Princípio similar é defendido pela Forrester com seu conceito de "Zero Trust". Atualmente, este princípio pode ser facilmente implementado por soluções avançadas de microssegmentação, segurança definida por software, que incluem o uso de criptografia fim a fim e mesmo técnicas para tornar os sistemas "invisíveis" a técnicas de varredura de rede utilizadas por atacantes. O resultado final é que, se um sistema crítico qualquer (como uma base de dados de cartões de crédito, sistemas de pagamento, sistemas de relacionamento com clientes etc) é isolado por meio de microssegmentação, o mesmo segue isolado e protegido dos malwares infiltrados na sua rede.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
