Como os cyber criminosos estão evoluindo: O alerta que o incidente da Coinbase nos traz

Sempre que aprendemos sobre um caso na Ventura ERM , seja quando (i) entramos oficialmente nele, como equipe de Resposta a Incidentes e Perícia ou quando (ii) somos acionados pelos clientes para dividirem conosco os impactos percebidos e como detectaram para fins de envio de proposta de honorários ou até mesmo quando (iii) lemos na imprensa sobre um grande ataque; estamos automaticamente prestando minuciosa atenção ao Modus Operandi dos atacantes.

É claro que no primeiro caso temos um nível de visibilidade hiper profundo em exatamente quais ferramentas, versões, linhas de comando, scripts, e tudo mais que foi utilizado, enquanto nos outros muitas vezes nem tanto. Mas faz parte do nosso core business esse olhar atento a como os bandidos estão "mudando" suas táticas, técnicas e procedimentos.

Enquanto eu estava lendo este artigo do Yahoo Finance sobre o incidente recente da Coinbase, não pude deixar de percorrer algumas vezes o seguinte parágrafo:

Hackers had paid multiple contractors and employees working in support roles outside the U.S. to collect information. The company had fired those involved, it said.

Perceberam a pluralidade envolvida em "multiple contractors AND employees" ?

Pois bem. Impossível não lembrar do nosso dia-a-dia aqui na Ventura, quando um cliente começa a narrar que algum funcionário foi enganado, por engenharia social, a instalar um software de administração remota (comumente o AnyDesk) em sua máquina corporativa para dar acesso ao bandido, que se passou por alguém da equipe de suporte/helpdesk.

Nos primeiros casos - uns 4 anos atrás - eu interrompia o cliente e já perguntava "que tipo de evidência você tem para dizer que o colaborador teve só culpa e não dolo?", ou seja, eu queria ver a conversa ou ouvir a gravação entre o bandido e o colaborador. Isso porque no nosso histórico de Resposta a Incidentes, de tantos casos de cooptação que vimos nos últimos anos, de cara já ficamos desconfiados - enquanto, interessantemente, os gestores das empresas com quem tratamos costumeiramente assumem primeiro a inocência. (Há exceções, claro, mas a nossa experiência nos demonstra que quem sofre o problema pela primeira vez tende a assumir que o colaborador não tinha a intenção de ajudar no ataque).

Hoje em dia eu nem interrompo mais. O incidente da Coinbase só nos demonstra o que está cada vez mais em evidência: os cyber criminosos incorporaram, em seus "playbooks", estratégias avançadas de cooptação. E eu acredito que isso é um "game changer" para as empresas de todo o planeta - especialmente em países de terceiro mundo com alto grau de impunidade como infelizmente é no nosso Brasil.

Ou seja - para ser totalmente claro com o ponto principal deste artigo: uma coisa é investigar uma fraude e descobrir que UM COLABORADOR ajudou os bandidos. Isso obviamente tem de inspirar a criação de diversos controles e medidas (no estágio de lições aprendidas do incidente), mas pode ser apenas um problema pontual. Lembro de um caso nos primórdios da minha carreira onde um atendente alocado num call center começou a namorar uma menina cujo irmão era de uma quadrilha que estava se enveredando num ramo "cyber" e, de repente, voilá, se deu a oportunidade.

Outra coisa é as quadrilhas incorporarem a cooptação de colaboradores e prestadores de serviços em seu ritual básico de ataque, ou seja, no seu "dia a dia".

Pensem comigo: não estamos mais falando de um tema só "cyber" aqui. Por que os ladrões ficariam horas tentando explorar vulnerabilidades, testando credenciais, fazendo OSINT em colaboradores para envio de spear phishing, entre outros, se é muito mais rápido obter o endereço e o telefone de alguns colaboradores e/ou prestadores de serviço e simplesmente ir lá "no corpo a corpo" (seja presencialmente ou via Whatsapp?).

"Ah, Montanaro, mas isso não é novo!" <-- Sim, perfeito, lembro de um caso de 2017 contra um cliente nosso de e-commerce onde o bandido utilizou como pretexto uma entrevista de emprego para oferecer (via o saudoso Skype!) mil reais por dia para a inserção de um código javascript num determinado lugar do código.

Mas o ponto é: uma coisa é uma quadrilha "inovar" depois de tentar uma série de outras táticas e outra é termos essa atuação de maneira praticamente generalizada.

Quando uma quadrilha tenta explorar uma vulnerabilidade, depois tenta engenharia social, depois testa um monte de credenciais e por aí vai, o "alvo" do ataque tem condições de detectar e aumentar suas defesas. Quem já sabe que está sob ataque fica mais alerta. Ou seja, é como se "a guerra já estivesse declarada". (Se bem que eu sou da opinião que a guerra está 24x7x365 declarada para quem está operando nos dias de hoje, na era da transformação digital, não é mesmo?).

O que temos observado é que quando o cooptação do colaborador é uma das primeiras medidas do grupo adversário o impacto financeiro tende a ser muito maior, pois é algo que pega as organizações de forma despreparada, silenciosa e sorrateira.

As empresas estão prontas para combater esse tipo de ameaça? Entendo que não.

E isso enseja um novo nível de discussões que precisa envolver desde o conselho, comitês executivos e outros níveis de governança bem acima de "cyber security", minimamente com as questões:

• Nosso processo de contratação de colaboradores tem essa preocupação?
• Temos um due diligence dos fornecedores, principalmente sobre quem são as pessoas que vão ter acesso aos nossos ativos? (De nada adianta só sabermos uma credencial nominal se ela é compartilhada por dezenas de pessoas físicas lá no prestador de serviços cujas quais nem sabemos quem são!)
• Estamos conscientizando os gestores de todas as áreas sobre esses riscos?
• Como esses gestores detectam que algo está estranho? Estão prestando atenção para os sinais mais óbvios?
• Como "desencorajamos" os colaboradores a quem são apresentadas oportunidades como essas a aventar uma possibilidade de enriquecer ilicitamente através da traição de seu empregador?

Enfim, na minha opinião o buraco é muito mais embaixo do que simples disciplinas cyber. Empresas que estão lidando com esse problema numa esfera só de treinamentos e/ou de contratos de trabalho estão fadadas a aprender pela dor, num cenário onde as capacidades de monetização dos cyber criminosos estão só aumentando (ou seja, o impacto tende a ser cada vez mais nocivo!).

Veja esta matéria no linkedIn clicando aqui