.
Os trabalhadores de helpdesk de TI são cada vez mais alvo de cibercriminosos – uma tendência que os pesquisadores descreveram como “a mais notável” do ano passado.
Não é um fenómeno novo, nem está a ser realizado de uma forma muito sofisticada, observa o último relatório de ameaças da Red Canary, mas a tendência está a crescer e os malfeitores estão a registar maiores taxas de sucesso.
Os observadores atentos da infosec lembrarão no ano passado que o ataque de ransomware no MGM Resorts foi, de acordo com o relato do próprio invasor sobre a situação (faça disso o que quiser), orquestrado por phishing em um funcionário do suporte técnico de TI em apenas 10 minutos.
Os mesmos cibercriminosos, rastreados pelo apelido de Scattered Spider, também usaram as mesmas táticas com uma série de outros clientes da Okta, no que se tornou uma das maiores sagas de segurança de 2023.
A Red Canary diz que esses tipos de ataques geralmente são realizados por cibercriminosos que ligam para o suporte técnico de uma organização enquanto fingem ser funcionários. Freqüentemente, eles solicitam alterações nos controles de gerenciamento de identidade e acesso para que possam assumir o controle de uma conta de usuário organizacional alvo – tarefas que são executadas rotineiramente pela equipe de suporte técnico.
Depois que o invasor registra seu próprio dispositivo móvel na conta, permitindo-lhe controlar completamente a cadeia de autenticação e consolidar seu acesso interno, os estágios posteriores da operação podem ocorrer. Eles podem identificar alvos importantes, como outros usuários mais privilegiados, roubar dados de aplicativos SaaS, mudar para a criptomineração por meio de recursos de nuvem ou embarcar em ataques destrutivos.
“A crescente prevalência desses ataques contra o suporte técnico exige que as equipes de TI e de segurança exerçam um maior escrutínio na segurança e no licenciamento adequado de contas de suporte técnico, já que os adversários estão claramente interessados em abusar deles para redefinir as senhas e os registros MFA de contas de alto valor, “, diz o relatório.
O phishing baseado em helpdesk também funciona de maneira inversa. Os investigadores continuam a ver casos de funcionários do helpdesk a serem imitados por atacantes para fazerem phishing a outros funcionários – uma inversão de papéis relativamente à tendência acima mencionada.
Trabalhando sob o pretexto de um senso percebido de legitimidade, confiabilidade e autoridade, os invasores podem solicitar códigos de acesso e autenticação multifator (MFA) dos usuários, que podem então ser usados para sequestrar contas. A partir daí, podem ser realizados ataques de estágio posterior semelhantes àqueles em que os papéis são invertidos.
A Red Canary sugere que formas mais ponderadas de combater esses tipos de ataques precisam ser implantadas nas organizações. Os programas de educação de utilizadores e de pessoal já estão difundidos em muitas organizações, mas é evidente que os mesmos problemas se repetem e estão a tornar-se cada vez mais onerosos.
Os pesquisadores ofereceram uma série de ideias para tornar as interações entre funcionários e helpdesk mais seguras e verificáveis:
-
Exigir que os funcionários verifiquem sua identidade enviando informações que não poderiam ser facilmente obtidas por invasores remotos, como o número de série do computador fornecido pela empresa. Incluídas nisso estão informações de identificação pessoal que, novamente, não puderam ser obtidas on-line
-
Estabelecer uma senha específica para a equipe da organização, um segredo compartilhado, para usar para verificar se eles são realmente o usuário por trás da tela
-
Verifique identidades por meio de videochamadas, com a equipe do helpdesk tendo um diretório visual de todos os membros da equipe para usar como referência
-
Faça perguntas sobre o comportamento de trabalho dos funcionários, como quais aplicativos eles abriram em um horário específico ou a que horas fizeram login naquela manhã
-
Verifique a identidade dos membros da equipe por meio de terceiros, como seu gerente, que pode estar no escritório com eles para verificar pessoalmente se eles fizeram a solicitação de suporte
Como sempre quando se trata de phishing, o primeiro passo para qualquer organização deve ser implementar uma política robusta de MFA. Mas, como mostra o aumento dos ataques de phishing ao helpdesk, não se pode confiar apenas neles e quase sempre há alguma maneira de contorná-los.
“Equilibrar o acesso fácil de usar com a conectividade segura é sempre um desafio, e inclinar-se demais para a conveniência pode representar riscos significativos”, disse Red Canary.
“Quase todo fator de MFA tem algum tipo de fraqueza e uma técnica de desvio associada a ele. Simplesmente estar atento a essas vulnerabilidades é importante ao determinar qual implementação de MFA escolher. Ao responder a um incidente, estar ciente desses tipos de desvios pode expandir seu investigação em áreas e fontes de registro que inicialmente podem não fazer parte de seus manuais de resposta a violações.” ®
.
