A mais recente incepção de ataques de phishing está no horizonte. Com a generalização das aplicações na nuvem e a natureza evolutiva da forma como são utilizadas, a partir de integrações de token de início de sessão único, os utilizadores estão a ser solicitados a autorizar o acesso no que se tornou um vetor de ataque negligenciado para facilitar a fuga de dados.
A mais recente incepção de ataques de phishing está no horizonte. Com a generalização das aplicações na nuvem e a natureza evolutiva da forma como são utilizadas, a partir de integrações de token de início de sessão único, os utilizadores estão a ser solicitados a autorizar o acesso no que se tornou um vetor de ataque negligenciado para facilitar a fuga de dados.
Olhando para trás, para o ano de 2022 que se aproxima do fim, infelizmente não faltaram violações de alto nível. Os ambientes de nuvem continuam a ser alvo de ataques a um ritmo sem paralelo. Porquê, pergunta você? Os agentes das ameaças vêem as infra-estruturas de nuvem como alvos fáceis. E estão continuamente a aperfeiçoar tácticas e técnicas para explorar o acesso, as vulnerabilidades e as configurações incorrectas existentes nas mesmas, para, em última análise, deitarem a mão a bens valiosos. No caso do Dropbox, o código-fonte do seu "molho secreto" foi um alvo recente!
O Dropbox é o mais recente participante numa lista crescente de empresas, como a Uber, Twitch, Samsung e Nvidia, que tiveram os seus repositórios internos de código-fonte visados e explorados por agentes de ameaças.
Como é que isto aconteceu? Infelizmente, é a mesma velha história de phishing. Graças a um e-mail de phishing astuto (Figura 1) lançado aos funcionários do Dropbox, os atacantes conseguiram roubar credenciais depois de redireccionarem os utilizadores para uma página de início de sessão falsa.
Fingindo facilitar a integração entre a sua conta GitHub empresarial e os serviços CI/CD da CircleCI, o funcionário seria solicitado a introduzir o seu nome de utilizador e palavra-passe GitHub aprovados pela Dropbox, seguidos do seu token de autenticação baseado em hardware para passar a sua One Time Password (OTP).
Acontece que a conta do GitHub comprometida pelos atacantes pertencia a um desenvolvedor do Dropbox. Isso permitiu que os criminosos tivessem acesso a aproximadamente 130 repositórios internos de código-fonte do Dropbox armazenados no GitHub, bem como a chaves de API usadas por seus desenvolvedores e a uma variedade de dados sobre funcionários do Dropbox, clientes atuais e passados, fornecedores e leads de vendas.
Porque é que estas violações ocorrem?
Tal como testemunhámos em ataques recentes, o ataque a utilizadores internos e privilegiados continua a ser um mercado quente para os cibercriminosos, à medida que mais dados valiosos chegam ao domínio das infra-estruturas de nuvem.
A natureza deste ataque envolvendo phishing não é exatamente nova. Infelizmente, está a revelar-se impossível para os humanos detectarem todas as iscas de phishing. A realidade é que, para muitas pessoas, abrir links e anexos é uma parte essencial do seu trabalho.
De forma alarmante, até o perito em TI mais desconfiado e atento pode ser vítima de uma mensagem meticulosamente elaborada, entregue da forma correcta e na altura certa. Por este motivo, o phishing continua a ser um esquema de grande sucesso para os atacantes. À medida que as ameaças aumentam em complexidade e sofisticação, as equipas de segurança devem ter em conta os controlos técnicos adequados para limitar a superfície de ataque da sua organização e proteger os seus bens mais valiosos, nomeadamente os seus dados altamente sensíveis e proprietários.
O que pode fazer?
Quando falamos de ameaças como o phishing, a ciberconsciencialização e a formação em segurança de correio eletrónico são sempre uma boa ideia para ajudar os funcionários a tornarem-se mais vigilantes quando confrontados com mensagens de correio eletrónico, anexos, hiperligações e afins fraudulentos.
No entanto, não se pode prescindir de controlos técnicos suficientes devido à elevada probabilidade de os utilizadores serem vítimas.
No mínimo, as equipas de segurança devem monitorizar e manter a governação, a visibilidade e o controlo sobre os ambientes de nuvem - como o GitHub - que estão a ser consumidos pelos seus recursos empresariais. Normalmente, muitas equipas tentam alcançar este objetivo através da gestão do acesso e dos dados que entram e saem do serviço de nuvem, mas não conseguem implementar e gerir um controlo de segurança consistente dentro do próprio serviço. A realidade é que dentro destas aplicações e plataformas na nuvem, os utilizadores - e evidentemente, os atacantes - podem realizar uma grande variedade de actividades que seriam consideradas "de interesse" no contexto de manter os dados e os melhores interesses da organização seguros.
Ao permitir que os administradores de operações de segurança monitorizem a atividade do utilizador no GitHub, apliquem as políticas do data loss prevention e revejam a Análise Comportamental de Utilizadores e Entidades (UEBA) enriquecida por algoritmos de aprendizagem automática, as equipas de segurança podem beneficiar de uma visibilidade muito mais rica e de um controlo mais forte, especialmente no caso de ter sido obtido acesso não autorizado ao locatário corporativo do GitHub a partir de um ataque de phishing semelhante.
Além disso, no caso de um utilizador clicar por engano numa hiperligação de phishing, uma solução proxy capaz pode fornecer um valor imenso ao inspecionar o tráfego Web solicitado destinado à página Web maliciosa. Ao fazê-lo, a solução proxy pode detetar e proteger imediatamente os utilizadores contra danos, com base no conteúdo da página, na reputação do endereço Web (especialmente se o seu domínio tiver sido registado recentemente ou não tiver sido classificado pelos motores de reputação Web) e em vários outros atributos.
Veja como o Skyhigh Security separa conteúdos semelhantes:
