Variedade de ameaças: o que os CISOs podem aprender com as ‘sementes misteriosas’
O Departamento de Agricultura dos EUA está trabalhando com agências federais e estaduais para investigar os casos recentes de entrega de sementes da China a residentes nos EUA. A tática reflete ataques de phishing direcionados a funcionários desavisados. (USDA)
Em julho, milhares de americanos começaram a reclamar de pacotes não solicitados de sementes enviadas pelo correio da China. E apesar de não saberem exatamente o que eram as sementes, e manter a suspeita de que algo nefasto estava acontecendo, muitos destinatários as plantaram.
Os paralelos entre as sementes misteriosas e os ataques de phishing são inconfundíveis e podem servir de advertência para os CISOs que tentam treinar os funcionários para não cair nas manobras dos hackers, em um momento particularmente vulnerável, quando a maioria está trabalhando em casa.
“Até COVID mandar todos para casa, víamos quase exatamente a mesma coisa com pen drives”, disse Joseph Neumann, diretor de segurança ofensiva da Coalfire, que relatou ter recebido sua própria mala direta de sementes para o Departamento de Agricultura do Texas. “As pessoas enviariam pen drives cheios de malware para as pessoas em seu trabalho e eles os conectariam.”
Para ser claro, as sementes provavelmente eram o que é conhecido como um golpe de “escovação” – um vendedor chinês na Amazon que criava pedidos falsos para endereços americanos retirado da Internet para dar a uma loja avaliações cinco estrelas falsas. Os golpes enviam itens leves, no caso, sementes, porque são baratos para o correio.
Mas as pessoas optaram por plantá-los.
Se isso soa familiar, é uma abordagem do truque clássico de queda de USB, em que um hacker deposita drives USB em um estacionamento, esperando que eles sejam pegos e usados, e então infecta os computadores das vítimas involuntárias. Roger Grimes, da empresa de treinamento KnowBe4, diz que até hoje esse truque ainda dá resultados “saudáveis”.
“Quando falamos sobre defesas, trata-se de políticas, controles técnicos e educação”, disse Grimes. “Se algo físico fica nas mãos de um usuário final, você ignora as políticas e os controles técnicos.”
Assim como pode parecer óbvio não plantar as sementes, os trabalhadores podem ser pegos de surpresa por ameaças em contextos para os quais não estão preparados, disse Grimes, que observou que uma pessoa pronta para se proteger de um e-mail incompleto pode não estar tão pronta para a mesma ameaça enviada por um aplicativo de namoro ou LinkedIn.
Esse problema é amplificado por ameaças que usam a confluência de novos dispositivos que os usuários acessam regularmente. Pessoas em um estado de alerta elevado em seus escritórios muitas vezes não mostram o mesmo estado de alerta em seus telefones ou dispositivos domésticos, disse Hank Schless, gerente sênior de soluções de segurança da defensora móvel Lookout.
As equipes de segurança precisam expandir o escopo do treinamento para além dos dispositivos e aplicativos associados diretamente aos sistemas corporativos, o que normalmente não está sob sua alçada.
Nas palavras de Neuman: “Treinamos pessoas para vigiar o phishing no trabalho. Ninguém treina você para vigiar as sementes. ”