Ataques de spear phishing: por que são bem-sucedidos Combate ao ataque preferido

White paper
Ataques de spear phishing:
por que são bem-sucedidos
e o que fazer para impedi-los
Combate ao ataque preferido
dos criminosos cibernéticos
White paper
Sumário
Resumo executivo 3
Introdução: a ascensão dos ataques de e-mails de spear phishing 3
O motivo do crescimento do spear phishing: ele funciona
5
Exemplos e características do spear phishing
5
RSA: um estudo de caso sobre spear phishing e uma APT
6
A solução: proteção contra ameaças da próxima geração
7
Conclusão
8
FireEye, Inc.
Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 2
Resumo executivo
Ocorreu uma mudança, e ela foi rápida e drástica: os ataques, antes amplos e indiscriminados,
agora são ataques dirigidos avançados, que tiveram graves consequências para as organizações
vítimas. Alguns dos ataques dirigidos avançados mais famosos, como os ataques à RSA, à HBGary
Federal e a Operação Aurora, usaram spear phishing. O crescente uso do spear phishing está
diretamente relacionado ao fato de que ele funciona, pois as defesas de segurança tradicionais
simplesmente não impedem esses tipos de ataques. Este documento fornece uma visão detalhada
de como o spear phishing é usado em ataques dirigidos avançados. Ele oferecerá uma visão
geral do spear phishing, suas características e um estudo de caso sobre um ataque digno de nota.
Finalmente, o documento examinará os principais recursos que as organizações precisam para
combater de maneira eficaz essas novas e crescentes ameaças.
Introdução: a ascensão dos ataques
de e-mails de spear phishing
De maneira geral, e-mails de “phishing” são ataques exploratórios nos quais os criminosos
tentam obter dados confidenciais das vítimas, como informações de identificação pessoal e/ou
credenciais de acesso à rede. Esses ataques abrem a porta para outras infiltrações na rede.
O phishing geralmente envolve engenharia social e truques técnicos para induzir as vítimas a abrir
arquivos anexados, clicar em links incorporados e revelar informações confidenciais.
Figura 1: táticas comuns
usadas em e-mails de phishing
FireEye, Inc.
Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 3
O “spear phishing” é uma versão mais direcionada dos ataques de phishing, que combina táticas
como segmentação de vítimas, personalização de e-mails, personificação de remetentes e outras
técnicas para burlar filtros de e-mails e induzir os alvos a clicar em um link ou abrir um anexo.
Enquanto um ataque de phishing é capaz de cobrir todo um banco de dados de endereços de
e-mail, o spear phishing visa indivíduos específicos dentro de organizações específicas. Garimpando
nas redes sociais, por exemplo, a personalização e a personificação usadas nos e-mails de spear
phishing podem ser extremamente precisas e convincentes. Após clicar em um link ou abrir um
anexo, um posto avançado é estabelecido na rede, permitindo que os spear phishers levem adiante
o ataque dirigido avançado.
Ataques de spear phishing precisam ser vistos dentro do contexto dos ataques dirigidos avançados,
também conhecidos como ataques de ameaça persistente avançada (APT). Atualmente,
sofisticados criminosos cibernéticos (e países) conduzem ataques de APT utilizando malware
avançado e ataques contínuos de múltiplos estágios e em múltiplos vetores, a fim de atingir um
objetivo específico. Na maioria dos ataques de APT o objetivo é obter acesso de longo prazo às
redes, aos dados e aos recursos confidenciais de uma organização.
Figura 2: site da Web falsificado
usado para induzir usuários a revelar
informações de identificação pessoal
e credenciais
FireEye, Inc.
Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 4
O motivo do crescimento do spear phishing:
ele funciona
Ataques dirigidos avançados usando spear phishing não são uma anomalia, eles representam uma
mudança clara na abordagem dos criminosos cibernéticos. Cada vez mais os criminosos estão
mudando, dos ataques de phishing em massa para o spear phishing em uma escala muito menor
e mais direcionada, pois ele tem se mostrado muito eficaz.
Um recente estudo¹ revelou as seguintes descobertas:
• Entre 2010 e 2011, os rendimentos anuais dos ataques em massa com base em e-mails caíram
de US$1,1 bilhão para US$500 milhões. Durante o mesmo período, o volume de spam caiu de
300 bilhões de mensagens por dia para 40 bilhões.
• Durante o mesmo período, o número de ataques de spear phishing triplicou.
• E-mails de spear phishing tiveram uma taxa de abertura de 70%, comparada a uma taxa
de abertura de apenas três por cento para e-mails de spam em massa. Além disso, 50% dos
destinatários que abrem e-mails de spear phishing também clicam nos links inclusos, uma taxa
dez vezes maior do que a taxa dos envios de e-mails em massa.
• Comparado aos e-mails generalizados, o spear phishing custa 20 vezes mais por indivíduo visado.
Entretanto, o rendimento médio por cada vítima de spear phishing é 40 vezes maior do que
o rendimento médio por vítima de phishing.
• Uma campanha de spear phishing composta por 1.000 mensagens provavelmente gerará dez
vezes mais receita do que um envio de e-mails de phishing visando um milhão de indivíduos.
Exemplos e características do spear phishing
A seguir, veja algumas das principais características dos ataques dirigidos avançados de spear phishing:
• Ameaça mista/de múltiplos vetores: o spear phishing usa uma mistura de falsificação de e-mails,
explorações de dia zero em aplicativos, URLs dinâmicos e downloads de passagem para burlar as
defesas tradicionais.
• Aproveitamento das vulnerabilidades de dia zero: ataques avançados de spear phishing
aproveitam vulnerabilidades de dia zero em navegadores, plug-ins e aplicativos de desktop
para comprometer os sistemas.
• Ataque de múltiplos estágios: a exploração inicial dos sistemas é o primeiro estágio de um ataque
de APT que envolva estágios adicionais de comunicações de saída de malware, downloads
binários e vazamentos de dados.
• Ausência de características de spam: ameaças de e-mails de spear phishing são direcionadas,
geralmente individualizadas. Portanto, diferem da distribuição indiscriminada e do grande volume
do spam tradicional. Isso significa que é pouco provável que os filtros de reputação sinalizem essas
mensagens, minimizando a probabilidade de detecção dos filtros de spam.
1http://www.scmagazine.com/crooks-opt-for-spear-phishing-despite-higher-upfront-cost/article/206586/
FireEye, Inc.
Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 5
RSA: um estudo de caso sobre spear phishing
e uma APT
Os ataques dirigidos à RSA, a divisão de segurança da EMC Corp., em 2011, fornecem uma visão
muito clara da maneira como o spear phishing pode preparar o terreno para uma investida
devastadora, com um alcance incrivelmente amplo, contra uma corporação e seus clientes.
A investida começou com ataques de spear phishing que enviaram aos usuários visados um
e-mail com um arquivo do Microsoft Excel anexado que se aproveitava de uma falha de dia zero
no Adobe Flash. Ficou claro que, não só a RSA era o foco do ataque, mas que apenas quatro
indivíduos dentro da organização foram os destinatários dos e-mails maliciosos. Bastou que um
usuário abrisse o e-mail e o anexo para que um cavalo de Troia fosse transferindo para seu PC.
Esse ataque de spear phishing bem-sucedido foi parte de um ataque dirigido avançado muito
mais complexo. Com esse malware instalado no PC da vítima, os criminosos puderam pesquisar
a rede corporativa, coletar credenciais de administrador e, enfim, obter acesso a um servidor que
continha informações proprietárias sobre a plataforma de autenticação de dois fatores do SecurID.
O ataque não parou por aí. Na verdade, toda essa ação foi precursora do objetivo final: ter acesso
às redes dos clientes da RSA, com ênfase na base industrial de defesa. Com os dados roubados,
os criminosos visaram diversos clientes importantes do SecurID, incluindo as empresas de defesa
Lockheed Martin, L-3 e Northrop Grumman.
A lição para as empresas é que esse exemplo deixa claro que mesmo ataques aparentemente
rudimentares podem ser apenas o primeiro de uma série de crimes avançados, coordenados
e devastadores. Além disso, os ataques dirigidos avançados contra recursos ou funcionários
aparentemente de nível baixo, que não têm funções ou permissões especificamente
confidenciais, ainda podem abrir a porta para informações vitais, e ter graves consequências.
Figura 3: e-mail de spear
phishing da RSA, usado para
lançar o ataque dirigido de APT
FireEye, Inc.
Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 6
A solução: proteção contra ameaças
da próxima geração
Atualmente, as organizações precisam de uma nova geração de sistemas de segurança, que
detecte e bloqueie as técnicas de ataques dirigidos avançados, incluindo o spear phishing.
Veja a seguir mais detalhes sobre a solução da FireEye para impedir, de maneira eficaz,
os ataques dirigidos avançados.
Oferece uma solução coesa e integrada para os vetores de ameaças
A FireEye fornece às organizações uma proteção integrada contra os vetores de ataques por
e-mail e Web usados em um ataque dirigido avançado. Por exemplo, bloquear o spear phishing
exige recursos para descobrir um ataque com base na Web em tempo real, rastreá-lo até o e-mail
de phishing inicial que deu origem ao ataque e, em seguida, fazer a análise necessária para
determinar se outras pessoas dentro da organização também foram visadas. Esse tipo de resposta
cibernética em tempo real é a única maneira de frustrar ataques dirigidos avançados.
As organizações estão usando as soluções da FireEye porque elas oferecem análise em tempo real
de URLs em e-mails, anexos de e-mails e objetos da Web, a fim de determinar com precisão se são
ou não maliciosos. Esse é um requisito essencial para se proteger contra spear phishing e outros
ataques com base em e-mails, porque as táticas de dia zero burlam com facilidade análises com
base em assinaturas e com base em reputação. Além disso, para defender as redes corporativas
com eficácia, as organizações precisam de sistemas que inspecionem muitos protocolos e toda
a pilha de protocolos, incluindo a camada de rede, os sistemas operacionais, os aplicativos, os
navegadores e os plug-ins, como o Flash.
Proporciona uma segurança dinâmica e sem assinaturas que frustra explorações de dia zero
As soluções da FireEye oferecem análises dinâmicas e em tempo real das explorações de anexos
e URLs em e-mails, em vez de apenas comparar fragmentos de código com assinaturas ou basearse em reputações. A análise sem assinaturas é essencial para a proteção contra táticas avançadas,
pois tudo começa com as explorações de dia zero. Com a detecção da exploração, é possível
bloquear malware avançados incorporados a anexos, bem como malware hospedados em
domínios dinâmicos, que mudam rapidamente.
Protege contra instalações de código malicioso e bloqueia retornos de chamada
Além da detecção de explorações, o FireEye também identifica se anexos suspeitos e outros objetos
são ou não maliciosos. Adicionalmente, as comunicações de retornos de chamadas resultantes são
inspecionadas, a fim de identificar se elas são de natureza maliciosa. Isso inclui o monitoramento
das comunicações enviadas pelo host por diversos protocolos em tempo real, para determinar se
as comunicações indicam um sistema infectado na rede. Os retornos de chamadas podem ser
bloqueados com base nas características exclusivas dos protocolos de comunicação empregados,
em vez de ter como base apenas o IP de destino ou o nome de domínio.
Após o código malicioso e suas comunicações serem sinalizados, as portas, endereços IP
e protocolos devem ser bloqueados, a fim de interromper qualquer transmissão de dados
confidenciais. Isso evita transferências adicionais de cargas binárias de malware e a propagação
lateral dentro da organização.
FireEye, Inc.
Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 7
Gera informações sobre ameaças e perícias de malware pontuais, que servem como base
para ações
Após o malware avançado ser analisado detalhadamente, as informações coletadas precisam
ser totalmente aproveitadas. Os clientes da FireEye são capazes de usar essas informações para
diversas finalidades:
• Os sistemas da FireEye tiram a impressão digital do código malicioso para gerar automaticamente
dados de proteção e identificar sistemas comprometidos, a fim de evitar que a infecção se espalhe.
• Pesquisadores forenses podem executar os arquivos individualmente através de testes off-line
automatizados para confirmar e dissecar o código malicioso.
• As informações podem ser compartilhadas por meio de sistemas unificados de informações,
que mantêm outros especialistas e organizações atualizados.
Conclusão
Ataques de múltiplos vetores e múltiplos estágios têm sido extremamente eficazes em penetrar nas
redes atuais, apesar dos US$20 bilhões investidos anualmente em segurança de TI. Como parte
dos ataques dirigidos avançados, o spear phishing está cada vez mais predominante, por ser tão
eficaz. Enquanto as organizações mantiverem um nível da situação de segurança que demonstre
não estar à altura do spear phishing, os criminosos continuarão a aproveitá-lo. Para frustrar esses
ataques dirigidos avançados, as organizações precisam de uma proteção contra ameaças da
próxima geração nos diversos vetores de ameaça e em cada estágio de ataque.
Integrando segurança de e-mail e Web, protegendo contra binários maliciosos recebidos e retornos
de chamadas de malware e aproveitando a execução de código dinâmica e sem assinaturas
para detectar explorações de dia zero, a FireEye oferece a proteção contra ameaças da próxima
geração, necessária para impedir ataques dirigidos avançados. Com a FireEye, as organizações têm
visualizações contextuais das ameaças com base na Web e em e-mails em tempo real. Um ataque
de dia zero com base na Web pode ser detectado em tempo real e bloqueado. O ataque é, então,
rastreado de volta até o e-mail de spear phishing inicial que deu origem a ele, para determinar se
outras pessoas na organização também foram visadas. Esse tipo de análise de segurança, com
reconhecimento de contexto, é a única maneira de obter informações pontuais e que sirvam como
base para ações sobre os ataques dirigidos avançados e sobre como eles podem ser impedidos.
FireEye, Inc.
Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los 8
Sobre a FireEye, Inc.
A FireEye é líder em impedir ataques dirigidos avançados que utilizem táticas avançadas de
malware, explorações de dia zero e APT. As soluções da FireEye complementam os firewalls, IPS,
antivírus e gateways da próxima geração e tradicionais, os quais não conseguem interromper
ameaças avançadas, deixando brechas de segurança nas redes. A FireEye oferece a única
solução do setor que detecta e bloqueia ataques nos vetores de ameaça de Web e e-mail, bem
como malware latente em compartilhamentos de arquivos. Ela abrange todos os estágios do
ciclo de vida de um ataque, com um mecanismo sem assinaturas que utiliza análise de ataque
em modo stateful para detectar ameaças de dia zero. Sediada em Milpitas, na Califórnia (EUA),
a FireEye conta com o apoio de grandes parceiros financeiros, como Sequoia Capital, Norwest
Venture Partners e Juniper Networks.
© 2012 FireEye, Inc. Todos os direitos reservados. FireEye é uma marca comercial da FireEye, Inc. Todas as outras marcas, produtos ou
nomes de serviços são ou podem ser marcas comerciais ou marcas de serviços de seus respectivos proprietários. – WP.SP.PT-BR.092012
FireEye, Inc. Ataques de spear phishing: por que são bem-sucedidos e o que fazer para impedi-los FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408.321.6300 | LATAM@FireEye.com | www.FireEye.com
9