Scammers usam perfis falsos em redes sociais para coletar dados

 

A tática de ataque spear phishing (e-mails maliciosos direcionados) é uma das formas mais eficazes de invadir uma rede corporativa, e estudos recentes mostram que os funcionários podem ser facilmente enganados nas mídias sociais para fornecer as informações necessárias para o lançamento de ataques.

Um ataque de phishing só é bom quando os crackers são capazes de reunir informações da vítima pretendida, que é menos propensa a clicar em um link malicioso ou em um anexo dentro de um e-mail que não parece vir de um remetente confiável. Como resultado, os criminosos, muitas vezes, pesquisam sobre os seus alvos na web.

Por exemplo, a Websense Security Labs recentemente identificou um perfil no LinkedIn falso coletando informações que poderiam ser usadas em futuros ataques.

O resumo do perfil finge pertencer a “Jessica Reinsch”, uma funcionária inventada que diz trabalhar em um site legítimo de relacionamentos e que conecta jovens mulheres com homens mais velhos e ricos. O site é baseado na Suíça.

A Websense não encontrou nenhum código malicioso no site, mas encontrou domínios relacionados que hospedavam “códigos suspeitos”. Além disso, os IPs usados para hospedar o site estão no mesmo número de sistema autônomo (ASN) como múltiplas URLs de comando e controle de kits de exploração, incluindo para o RedKit e Neutrino, de acordo com a Websense.

Os perfis falsos possuíam mais de 400 conexões com membros legítimos do LinkedIn, o que dá a quem quer que esteja por trás da conta acesso às informações atuais de empregador, cargos e conexões na rede – que possui mais de 250 milhões de usuários.

Jeff Debrosse, diretor de pesquisa em segurança da Websense, disse que tais informações podem ser usadas para contruir um gráfico social de indivíduos proeminentes que podem ser usados em ataques de spear phishing.

“Isso vale um bocado de dinheiro para os compradores dessas informações”, disse Debrosse à CSOonline.

Empresas advertem

Enquanto o reconhecimento de vítimas em potencial fica cada vez mais sofisticado, as organizações parecem subestimar a ameaça. Quase 60% dos 300 executivos de TI, administradores e profissionais de empresas nos EUA classificaram o phishingo como uma ameaça de impacto “mínimo”, de acordo com uma pesquisa da ThreatSim.

Enquanto classificarem o phishing como uma ameaça de nível baixo, mais que um em quatro dos respondentes reportaram ataques phishing que levaram a uma “violação material dentro do último ano”. A ThreatSim definiu “material” como infecção por malware, acesso não autorizado e roubo de dados.

Durante uma apresentação na conferência de segurança RSA Europe, em Amsterdã na semana passada, um especialista em cibersegurança descreveu um experimento que mostrou a eficácia do uso de perfis falsos no LinkedIn e no Facebook para lançar um ataque.

Aamir Lakhani, da prestadora de serviços em TI World Wide Tecnology, descreveu como o perfil falso de uma mulher atraente chamada Emily Williams foi usado para fazer com que empregados de uma agência não identificada do governo dos EUA clicarem em um link que poderia facilmente ter sido usado para uma infecção por malware.

O perfil falso que afirma ser Williams era uma nova contratação na agência, com  28 anos de idade, dez de experiência e uma pós-graduação no Instituto de Tecnologia de Massachusetts. Os pesquisadores configuraram informações sobre a mulher em outros sites para fazer com que o perfil parecesse mais confiável.

Em 15 horas da criação do perfil, Williams tinha 60 conexões no Facebook e 55 no LinkedIn, com funcionários da agência. Após 24 horas, ela tinha três ofertas de emprego de outras empresas.

O experimento apontou para a necessidade do treinamento contínuo nas empresas para reduzir a possibilidade de funcionários se tornarem vítimas de golpistas.

“No exército é chamado de consciência situacional”, disse Lakhani ao IDG News Service. “Precisamos desenvolver a consciência situacional para este tipo de ataque.”

 

Via: IDGNow