FBI e CISA alertam sobre a grande onda de ataques de “vishing” visando teletrabalhadores
Os hackers estão ligando para funcionários que trabalham em casa e enganando-os para que acessem páginas de phishing para domínios corporativos.
O Federal Bureau of Investigation ( FBI ) e a Agência de Segurança de Cibersegurança e Infraestrutura ( CISA ) emitiram um comunicado de segurança conjunto na quinta-feira, alertando sobre uma onda em andamento de ataques de “vishing” visando o setor privado dos EUA.
Vishing , ou phishing de voz , é uma forma de engenharia social em que os criminosos ligam para as vítimas para obter as informações desejadas, geralmente se passando por outras pessoas.
De acordo com o FBI e a CISA, em meados de julho de 2020, os cibercriminosos começaram uma campanha de vishing visando funcionários que trabalham em casa para empresas dos EUA. Os invasores coletaram credenciais de login para redes corporativas, que eles então monetizaram com a venda do acesso aos recursos corporativos para outras gangues criminosas.
Como os ataques aconteceram
As duas agências de segurança cibernética não nomearam as empresas-alvo, mas sim descreveram a técnica usada pelos invasores, que geralmente seguia o mesmo padrão.
De acordo com as duas agências, os grupos de crimes cibernéticos começaram primeiro registrando domínios que pareciam recursos da empresa e, em seguida, criaram e hospedaram sites de phishing nesses domínios. Os domínios geralmente tinham uma estrutura como:
- suporte- [empresa]
- bilhete- [empresa]
- funcionário- [empresa]
- [empresa] -suporte
- [empresa] -okta
As páginas de phishing foram feitas para se parecerem com a página de login VPN interna de uma empresa-alvo, e os sites também eram capazes de capturar autenticação de dois fatores (2FA) ou senhas de uso único (OTP), se necessário.
Os grupos criminosos, então, compilaram dossiês sobre os funcionários que trabalhavam para as empresas que desejavam atingir, geralmente por “coleta em massa de perfis públicos em plataformas de mídia social, ferramentas de recrutamento e marketing, serviços de verificação de antecedentes disponíveis ao público e pesquisa de código aberto”.
As informações coletadas incluíram: nome, endereço residencial, celular / telefone pessoal, cargo na empresa e tempo de permanência na empresa, de acordo com as duas agências.
Em seguida, os invasores ligaram para os funcionários usando números de telefone aleatórios de Voice-over-IP (VoIP) ou falsificando os números de telefone de outros funcionários da empresa.
“Os atores usaram técnicas de engenharia social e, em alguns casos, se fizeram passar por membros do help desk de TI da empresa vítima, usando seu conhecimento das informações de identificação pessoal do funcionário – incluindo nome, cargo, tempo de serviço na empresa e endereço residencial – para obter o confiança do funcionário visado “, diz o alerta conjunto .
“Os atores então convenceram o funcionário visado de que um novo link VPN seria enviado e exigia seu login, incluindo qualquer 2FA ou OTP.”
Quando a vítima acessava o link, para o site de phishing que os hackers haviam criado, os cibercriminosos registravam as credenciais e as usavam em tempo real para obter acesso à conta corporativa, até mesmo contornando os limites 2FA / OTP com a ajuda do funcionário.
“Os atores então usaram o acesso do funcionário para conduzir pesquisas adicionais sobre as vítimas e / ou para obter fundos de forma fraudulenta usando vários métodos, dependendo da plataforma acessada”, disseram o FBI e a CISA.
As duas agências de segurança cibernética estão agora alertando as empresas para ficarem atentos aos agentes de ameaças que visam seus funcionários de teletrabalho (trabalho em casa) usando essa técnica.
Para ajudar as empresas, os especialistas do FBI e CISA compartilharam uma série de dicas e recomendações para empresas e seus funcionários, que reproduziremos a seguir.
Dicas de organização:
- Restrinja as conexões VPN apenas aos dispositivos gerenciados, usando mecanismos como verificações de hardware ou certificados instalados, para que a entrada do usuário por si só não seja suficiente para acessar a VPN corporativa.
- Restrinja as horas de acesso VPN, quando aplicável, para mitigar o acesso fora dos horários permitidos.
- Empregue o monitoramento de domínio para rastrear a criação ou alterações em domínios corporativos de marca.
- Faça a varredura e monitore ativamente os aplicativos da web em busca de acesso não autorizado, modificação e atividades anômalas.
- Empregar o princípio de privilégio mínimo e implementar políticas de restrição de software ou outros controles; monitorar acessos e uso de usuários autorizados.
- Considere o uso de um processo de autenticação formalizado para comunicações de funcionário a funcionário feitas pela rede telefônica pública, onde um segundo fator é usado para autenticar a chamada telefônica antes que as informações confidenciais possam ser discutidas.
- Melhore as mensagens 2FA e OTP para reduzir a confusão sobre as tentativas de autenticação de funcionários.
Dicas para o usuário final:
- Verifique se os links da web não contêm erros de ortografia ou contêm o domínio incorreto.
- Marque a URL VPN corporativa correta e não visite URLs alternativas apenas com base em uma chamada telefônica de entrada.
- Desconfie de ligações, visitas ou mensagens de e-mail não solicitadas de pessoas desconhecidas que afirmam ser de uma organização legítima. Não forneça informações pessoais ou informações sobre sua organização, incluindo sua estrutura ou redes, a menos que você tenha certeza da autoridade de uma pessoa para ter as informações. Se possível, tente verificar a identidade do chamador diretamente com a empresa.
- Se você receber uma ligação de vishing, documente o número de telefone de quem ligou, bem como o domínio para o qual o ator tentou lhe enviar e transmita essas informações às autoridades.
- Limite a quantidade de informações pessoais que você publica em sites de redes sociais. A internet é um recurso público; poste apenas informações que você se sinta confortável com a visão de qualquer pessoa.
- Avalie suas configurações: os sites podem alterar suas opções periodicamente, portanto, analise suas configurações de segurança e privacidade regularmente para ter certeza de que suas escolhas ainda são adequadas.