Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Home  >  Segurança

Como os cibercriminosos transformam dados roubados ou vazados “inofensivos” em dólares

Ao mesclar dados de várias fontes, cibercriminosos podem criar perfis de proprietários de contas hackeadas para permitir outros ataques

John P. Mello Jr., CSO

02/06/2021 às 11h00

Foto:

Agora, quase na metade de 2021, mais de duas dúzias de violações de dados importantes já ocorreram, algumas envolvendo marcas como Facebook, LinkedIn, Instagram, US Cellular, T-Mobile, Geico e Experian. Os dados roubados durante essas invasões afetarão milhões de usuários, embora alguns desses dados possam ser tão inocentes quanto um endereço de e-mail. Isso ocorre porque os dados roubados não vivem em um silo.

"Essas coisas não existem no vácuo", explica Jeff Pollard, vice-presidente e analista principal da Forrester Research. "Pode haver um endereço de e-mail em uma violação e mais informações em outra que corresponda a esse endereço de e-mail".

Pollard adverte contra a visualização de cada violação separadamente, pois os dados podem ser agregados e compilados para coletar mais detalhes sobre uma pessoa. "Uma migalha de pão leva a outra", diz ele, "e por causa da onipresença das violações, podem ser reunidas coisas que podem levar de volta a alguém".

Urgência de mesclar dados

Os agentes de ameaças se tornaram sofisticados na maneira como tratam os dados roubados. Eles estão pegando todos os novos dados que obtêm e os mesclando com os dados que já possuem para aumentar seus bancos de dados. Em um conjunto de dados, eles podem ter um nome e um sobrenome. Em outro, um nome, sobrenome e endereço de e-mail. Em um terceiro, dados sobre gostos e interesses.

"Todas essas coisas por si só não parecem tão importantes, mas se eu conseguir mesclar essas coisas em um único banco de dados, então tenho algo que posso usar para um ataque de phishing ou para obter um relatório de crédito", diz John Kinsella, arquiteto-chefe de nuvem da Accurics, fornecedora de ferramentas de segurança e conformidade.

Atualmente, esses conjuntos de dados mesclados estão sendo usados pelos agentes de ameaças que os criam, mas isso deve mudar. "A próxima etapa será alugar esses conjuntos de dados mesclados para campanhas de phishing", diz Kinsella.

Enquanto os criminosos escrevem software personalizado para mesclar conjuntos de dados, jogadores maiores podem levar as coisas a outro nível. “Estou disposto a apostar que os Estados-Nação estão fazendo isso com algum tipo de plataforma de big data para alavancar a escala dos dados que possuem”, diz Kinsella. "Estamos vendo vazamentos de 700 gigabytes, 7 terabytes de tamanho. Esses são grandes conjuntos de dados com os quais você vai querer lidar [usando] algo como [mecanismo de analytics] Spark".

Atacantes visam organogramas

Esses conjuntos de dados mesclados representam uma ameaça para empresas e consumidores. Os endereços de e-mail, por exemplo, podem ser usados para aprimorar a hierarquia de uma organização. Uma análise de dados mesclados de várias violações de dados pode revelar uma coleção de endereços de e-mail para uma empresa que pode ser um alvo promissor para comprometimento.

“Agora que eles têm um monte de nomes, eles podem começar a olhar ao redor e descobrir quais são os títulos para essas posições”, diz Kinsella. “Então, eles podem começar a construir uma imagem da organização da empresa”. Esse conhecimento permite que eles elaborem uma comunicação mais direcionada com os membros dessa organização para ataques de engenharia social mais eficazes.

Uma comunicação mais bem elaborada permite que um ator de ameaça estabeleça credibilidade e confiança com um alvo. “Muitos crimes cibernéticos se resumem a um jogo de números”, diz Elena Elkina, Sócia da Aleada Consulting, uma consultoria de privacidade e proteção de dados. "Hackers e golpistas precisam apenas de um pequeno número de pessoas para clicar em um link inválido, baixar um aplicativo malicioso ou fornecer suas informações de login para a pessoa errada. Assim como o big data pode ajudar os anunciantes a direcionar cliques para seus sites, os hackers podem guiar cliques para o deles".

“Esta é uma preocupação tanto para as empresas quanto para os consumidores, porque os consumidores também são funcionários”, acrescenta Elkina. "Não importa se o e-mail está enganando um indivíduo para que ele forneça suas informações fiscais ou renuncie à autenticação de seu funcionário. O crime cibernético geralmente começa com um erro individual".

Uso de dados não confidenciais para construir confiança

Roger Grimes, um Evangelista de Defesa no provedor de treinamento de conscientização de segurança KnowBe4, diz que as informações não pessoalmente identificáveis ​​(PII) são usadas para comprometer mais as pessoas do que os dados PII por uma margem enorme. "Isso ocorre porque os dados não PII, por sua própria natureza, são menos protegidos e mais difundidos do que os dados PII", explica ele.

Qualquer coisa que um invasor possa aprender sobre os interesses e esforços de alguém oferece a esse invasor a chance de construir um relacionamento de confiança próximo. "Se você pensar sobre isso", diz Grimes, "é inteiramente a maneira como construímos relacionamentos e amizades no mundo real. Os humanos adoram compartilhar familiaridade e amizades. É a mesma coisa com phishing e engenharia social".

As tentativas de usar dados não PII para ganhar mais confiança são chamadas de pretextos. A ideia é que, se você interagir e desenvolver um relacionamento de confiança em áreas onde não é necessária uma alta confiança, será mais fácil transferir essa confiança para situações que deveriam exigir níveis mais elevados de confiança.

Por exemplo, um hacker, sabendo que uma empresa vítima-alvo usa um fornecedor de processamento de folha de pagamento específico, poderia ligar para o departamento de RH ou da folha de pagamento da organização vítima-alvo e fingir estar ligando da empresa de folha de pagamento. Eles podem se apresentar, ser amigáveis, falar sobre como haverá alguma mudança futura no sistema que os está deixando loucos e como a empresa vítima pode esperar novas instruções em algumas semanas, pedir desculpas pelo transtorno e, em seguida, desligar.

“Como a vítima não foi solicitada a fazer algo arriscado na primeira ligação, ela imediatamente confia naquela pessoa que ligou mais do que deveria”, diz Grimes. "Talvez eles tenham empatia por ela porque também já passaram por atualizações de sistema anteriores e lembram como isso foi frustrante".

“O hacker pode ligar de volta uma ou duas vezes mais, sem pedir que uma ação seja feita, apenas fazendo coisas que aumentem o relacionamento e sua confiança”, continua Grimes. "Então, em algum momento futuro, o hacker volta com as 'novas instruções' e a empresa vítima-alvo as segue cegamente, sem validar com outras pessoas antes de começarem a executar as ações solicitadas. A próxima coisa que você sabe é que a organização da vítima é de centenas de milhares a milhões de dólares. Acontece quase todos os dias”.

Todos os dados pessoais roubados apresentam risco

Mesmo os adversários que não têm os recursos para seguir a rota de dados mesclados podem transformar os dados de baixa sensibilidade em problemas para seus alvos. “A suposição comum é que se um hacker não interceptar informações altamente confidenciais, como seu número de seguro social ou um número de cartão de crédito, e em vez disso obtiver outras informações de identificação pessoal, você provavelmente ficará bem. Essa suposição é simplesmente falsa", diz Trevor Morgan, gerente de produto da comforte AG, uma empresa de desidentificação de dados". Começando com uma única peça de PII, seja sensível ou não, um ator de ameaça pode começar a montar o quebra-cabeça. A jornada para o roubo de identidade começa com essa única etapa”.

O agente da ameaça pode usar tipos de dados menos confidenciais, como nomes de usuário, endereços físicos e e-mail como informações iniciais para extrair mais dados e construir um perfil de identidade mais completo. "O risco geral é que sua identidade completa, incluindo informações pessoais e transacionais altamente confidenciais, possa ser roubada a tempo e usada para criar novas contas em seu nome", diz Morgan. "Se nada mais acontecer, um hacker pode vender suas informações menos confidenciais para organizações de marketing questionáveis, o que pode aumentar a quantidade de exposição frustrante que você tem a produtos e serviços não solicitados".

O mesmo risco se aplica à empresa, segundo Morgan. "Com essa única informação e talvez o conhecimento de que você é funcionário de uma determinada empresa, pode se tornar alvo de sofisticados golpes de phishing que podem resultar no roubo de propriedade intelectual ou outras informações prejudiciais".

Snippets HTML5 default Intervenções CW

Este anúncio desaparecerá em:

Fechar anúncio

15