Telecom

Celulares corporativos viram isca para fraudes e spam

Os celulares corporativos são agora o novo alvo de cibercriminosos que realizam ataques por meio da engenharia de redes sociais e ataques spear-phishing em contas de e-mails corporativos, revela pesquisa feita pela Trend Micro. Segundo o relatório, os funcionários que costumam divulgar seu número de telefone corporativo em redes sociais, podem facilmente se tornar vítimas de fraudadores que coletam números a partir de fontes facilmente disponíveis. Estes mesmos cibercriminosos realizam ataques usando engenharia social, ignorando assim os mecanismos de proteção normais em tráfego de rede e de e-mails.

A equipe de Pesquisa de Ameaças Futuras da Trend Micro em colaboração com a New York University, a Singapore Management University e o Georgia Institute of Technology, destacou as questões atuais relacionadas à telefonia móvel e os riscos que representam para as organizações no mundo inteiro. Foram analisados os ataques mais sofisticados realizados através de celulares, e implantado um celular-isca para investigar de perto as ameaças e o ecossistema desse tipo de cibercrime. O objetivo principal da Trend Micro era não só aprender como esses ataques totalmente sem fio são realizados, mas também como os cibercriminosos estão organizados.

O celular-isca foi configurado com cartões SIM controlados pelos pesquisadores para o registro de ataques ocorridos por meio de ligações e mensagens. Os números destes cartões foram propositalmente espalhados para potenciais criminosos através de várias técnicas, incluindo a execução de malwares que ‘vazavam’ os números armazenados na lista de contatos do telefone usado no teste. Ao longo de sete meses, os pesquisadores coletaram 1.021 mensagens de 215 emissores e 634 ligações de voz de 413 autores. Mais de 80% destas mensagens e ligações não foram solicitadas e incluíam ameaças de golpes, fraude, phishing de voz e ataques direcionados.

A maior parte destas ligações e mensagens de textos foram realizadas no horário comercial. Isto confirma que os cibercriminosos usam o tráfego normal do telefone como disfarce para que pareçam legítimos. Os fraudadores também usaram tecnologias de proxies GSM e VoIP para se disfarçar e encobrir seus números de origem. Como resultado, a Trend Micro verificou que técnicas tradicionais de detecção em blacklists são menos eficazes e por isso, a necessidade de novas técnicas que levem em conta a informação contextual.

Usando ligações e mensagens de textos automatizadas, golpes e spam representaram 65% do tráfego não solicitado. O celular-isca foi alvo de mensagens oferecendo ring-tones, planos de celular, serviços online e jogos, e outros tipos de propagandas e anúncios. Alguns exemplos interessantes incluem:


·Detetives particulares que oferecem serviços de observação e vigilância;

·Serviços de hacking para acessar e-mails pessoais e espionar usuários;

·Comércio de bens ilícitos, como cartões de crédito roubados, contas de pagamentos sequestradas, PayPal com saldos verificados e faturas de diferentes quantidades e formatos;

·Propaganda política.

As fraudes eram geralmente iniciadas manualmente pelos fraudadores, que usavam engenharia social para atrair suas vítimas e fazer com que realizassem transferências de dinheiro. Ataques com diversas etapas foram muitas vezes praticados, com os cibercriminosos entrando em contato várias vezes com a mesma vítima primeiro através de um telefonema e depois por mensagem de texto. Essas ligações e mensagens perguntavam a (possível) vítima se o pagamento já havia sido feito. Os fraudadores que fizeram essas ligações fingiam ser funcionários de bancos ou ONG’s.

Alguns dos fraudadores fingiram até mesmo ser funcionários da operadora de celular dos cartões SIM implantados. Eles “informavam” que o contrato seria suspenso, pois a conta não havia sido paga e as informações para pagamento eram enviadas no mesmo dia. Várias campanhas foram realizadas pelo mesmo atacante o que demonstra as conexões entre pequenos círculos. Resolver este problema exige foco tanto no aspecto humano do problema, quanto nos aspectos técnicos.

Funcionários, em particular aqueles em cargos críticos da empresa, devem estar conscientes com relação aos riscos na divulgação de seus números nas redes sociais. Em alguns outros casos, é melhor separar totalmente os dispositivos para uso pessoal e os dispositivos para uso profissional. Uma medida é certeira: colaboradores devem sempre devem ser treinados para lidar com ligações não solicitadas. Um bom treinamento de segurança inclui formas de lidar com e-mails não solicitados: ou seja, a identidade do remetente deve ser confirmada, todas as instruções contidas nos e-mails devem ser verificadas.

Estas práticas já fazem parte da defesa contra esquemas que usam Falhas de Segurança em E-mails Corporativos (Business Email Compromise – BEC). A mesma lógica pode (e deve) ser aplicada às ligações e mensagens de texto. Se necessário, essas decisões podem fazer parte das políticas de uma organização. Acesse aqui a íntegra da pesquisa.

Botão Voltar ao topo