Os sites de mídias sociais profissionais são o elo fraco das estratégias de segurança das empresas?
Antes (e durante) um ataque direcionado, as informações sobre a empresa alvo e de seus funcionários são úteis para um agressor. Elas podem ser usadas para elaborar ataques de engenharia social bem projetados com uma probabilidade maior de serem abertos por seus alvos. Também podem fornecer mais informações sobre os próprios alvos, permitindo que o agressor decida quais indivíduos de uma empresa devem ser visados.
Sites de mídia social, como o Facebook e o Twitter são fontes valiosas de informações. Outros sites voltados para o público (como os da empresa alvo) podem também conter detalhes que podem ser úteis. Porém, uma fonte valiosa de informações geralmente privadas pode ser negligenciada: o site de mídia social profissional.
Como outros sites de mídia social, as redes sociais profissionais incentivam seus usuários a compartilharem informações. Infelizmente, a natureza das informações compartilhadas nessas redes (histórico dos empregos, cargos e outros) os tornam uma fonte muito atraente de informações para os hackers.
Por exemplo, o maior site de mídia social profissional, LinkedIn já é conhecido como um meio onde funcionários inadvertidamente vazam informações sobre seu empregador. No começo de 2015, engenheiros de um fabricante de chip AMD, sem querer, vazaram detalhes sobre produtos de última geração em seus perfis. Também se sabe que vários nomes de código da NSA foram adicionados por funcionários do governo dos EUA em seus perfis. Esses incidentes destacam como as informações podem ser divulgadas, mesmo sem querer, através de perfis do LinkedIn.
Ataques ativos nas redes sociais
Uma coisa é uma informação ser vazada passivamente na mídia social, outra, é ter os agressores tentando explorá-las ativamente. Vamos demonstrar como isso pode ser feito – revelando alguns ataques contra a própria Trend Micro.
Recentemente, observamos uma onda de convites do Viadeo, sendo enviados aos escritórios franceses da Trend Micro. (Viadeo é uma rede de mídia social profissional situada na França). Visava vários funcionários, inclusive eu mesmo e, tudo isso, veio de um perfil no Viadeo. Esse perfil fingia pertencer a um gerente de TI do escritório da Trend Micro da Austrália, que estava na empresa há 18 anos. O perfil dessa pessoa estava bastante vazio e, quando eu recebi o convite e o chequei, vi que só tinha 4 contatos.
O perfil também dizia que seu proprietário tinha estudado em “havard, new yord”, que poderia ser um erro de digitação para “Harvard, New York”… o que já é estranho por si só porque a Universidade de Harvard não é em Nova York. Nem existe uma cidade chamada Harvard no Estado de Nova York.
Foi o suficiente para levantar suspeitas. Uma rápida verificação no diretório da empresa confirmou que não havia mesmo nenhum funcionário com aquele nome; nenhuma pessoa com esse nome também já tinha sido funcionário do escritório da Austrália.
Estava claro que tinha sido uma tentativa de coletar contatos e informações da Trend Micro. Em resposta, avisamos nossos funcionários para evitar quaisquer possíveis problemas.
Quais informações podem ser obtidas dessa maneira?
Usando informações obtidas em redes sociais profissionais, um agressor habilidoso pode essencialmente se infiltrar na empresa e aprender muito do que um funcionário sabe. Por exemplo, ele pode saber quem é o superior imediato de alguém, quem são seus colegas, em quais projetos estão trabalhando, etc. Isso lhes dá muito do acesso que alguém de dentro da empresa teria.
Os usuários têm uma probabilidade maior de acreditarem em alguém que eles “conhecem” e, alguém com quem entraram em contato em uma mídia social profissional se encaixa nessa categoria. Isso pode transformar o que antes era uma ameaça “externa” em uma montada por alguém de dentro.
Já falamos antes sobre a ameaça que alguém de dentro pode apresentar para uma empresa: agora, imagine se alguém fosse capaz de se passar por alguém de dentro. As informações adquiridas poderiam levar diretamente a uma fraqueza da empresa, e também à localização de alguma informação possivelmente valiosa. Os danos poderiam ser significativos.
O que as empresas e os usuários podem fazer?
Os usuários finais podem consultar nosso artigo intitulado Como Impedir Fraudes em Redes Profissionais para obter dicas e boas práticas de como identificar e evitar esses ataques na mídia social profissional.
As empresas devem garantir ter uma política para mídias sociais. A política deve ir além de algo simplista, como proibir os sites de mídia social dentro do escritório. Ela precisa descrever claramente o que os funcionários podem e não podem divulgar na mídia social. Diferentes setores estarão submetidos a regras diferentes: um restaurante de bairro não precisa ter o mesmo nível de sigilo que uma empresa de defesa.
A empresa também precisa capacitar seus funcionários para que eles detectem e relatem tentativas desse tipo. Uma equipe de resposta a incidentes deve ser capaz de notar incidentes desse tipo e avisar as outras partes da empresa, se necessário. Ferramentas que podem ajudar os funcionários a descobrir se e quando uma pessoa é (ou foi) funcionário da empresa também podem ser úteis.
A defesa contra ataques de engenharia social requer reconhecer que nem todas as soluções são técnicas por natureza. Algumas defesas devem ser baseadas no fortalecimento das pessoas envolvidas. Aceitar esse fato pode exigir uma mudança de mentalidade por parte dos defensores.
Continue acompanhando nosso blog, confira as melhores dicas de segurança e saiba como se proteger na rede! Algum insight sobre essa postagem? Deixe seu comentário abaixo ou fale com a gente no twitter @TrendMicroBR.
Artigo postado originalmente por Cedric Pernet (Threat Researcher) em TrendLabs.