BLOG

Defesa contra o crime cibernético durante a Euro 2020

Miniatura de David Warburton
David Warburton
Publicado em 14 de junho de 2021

O adiado Campeonato Euro 2020 finalmente começou, marcando o início de um dos maiores eventos esportivos realizados em mais de um ano.

E, como em qualquer evento desse porte, podemos esperar que os cibercriminosos estejam preparados e prontos para atacar. Os serviços de jogos online, apostas e comércio eletrônico, em particular, provavelmente serão alvos à medida que a agitação do evento aumenta e a atividade online associada aumenta.

Aqui estão algumas das ameaças que as empresas que oferecem serviços centrados na Euro 2020 devem observar durante o torneio (e depois):

Defesa contra DDoS

Embora um ataque DDoS possa ter um impacto enorme em qualquer negócio, os sites de jogos online são especialmente vulneráveis. À medida que as partidas se aproximam, podemos esperar que o número de pessoas apostando no resultado aumente e, por meio de uma variedade quase infinita de opções à sua disposição, continue durante todo o jogo. Os invasores sabem disso e geralmente ajustam seus tempos de acordo.

A atividade DDoS já está aumentando. Dados coletados pelo F5 Silverline Security Operations Center (SOC) e pela F5 Security Incident Response Team (SIRT) descobriram recentemente que os ataques DDoS aumentaram 55% entre janeiro de 2020 e março de 2021 . A maioria desses incidentes (54%) utilizou múltiplos vetores de ataque, sugerindo uma sofisticação crescente de invasores cada vez mais determinados.

Notavelmente, o maior ataque observado pelo SOC teve como alvo uma empresa que fornecia serviços de segurança de informações para organizações de jogos e apostas.  Neste exemplo, a empresa foi ameaçada de ataque se não pagasse. Quando eles se recusaram, um ataque multivetorial foi lançado, durando mais de um mês.

Há vários motivos pelos quais os criminosos cibernéticos escolhem esse tipo de empresa como alvo. O mais óbvio é o ganho financeiro, usando a ameaça de um ataque DDoS para exigir resgate. Outras motivações podem incluir ataques em nome de concorrentes, agentes de ameaças que buscam usar um ataque DDoS como distração ou simplesmente hackers que buscam fazer seu nome.

A boa notícia é que existem várias maneiras de reforçar suas defesas. Cada vez mais, isso envolve impedir que ataques cheguem à rede corporativa aproveitando serviços gerenciados baseados em nuvem.

Uma solução como o F5 Silverline DDoS Protection é um bom exemplo.  Entregue por meio de uma plataforma baseada em nuvem, ele pode detectar e mitigar em tempo real, impedindo até mesmo os maiores ataques DDoS volumétricos de chegarem à rede.  O serviço conta com acesso 24 horas por dia, 7 dias por semana, a uma equipe de especialistas em SOC para manter as empresas on-line durante ataques DDoS por meio de proteção abrangente e multicamadas L3–L7.

Os seguintes controles de segurança técnicos/preventivos também são recomendados para proteção contra ataques DDoS:

  • Use firewalls de rede e de aplicativos da web.
  • Use um sistema de detecção de intrusão baseado em rede.
  • Aplique patches imediatamente para evitar que seus sistemas sejam usados para lançar ataques.
  • Bloqueie o tráfego com endereços IP de origem falsificados.
  • Use a limitação de taxa para restringir o volume de tráfego de entrada.

Mostrando o formjacking com o cartão vermelho

Outras táticas oportunistas de criminosos cibernéticos que vale a pena ficar de olho incluem o formjacking . Atualmente, uma das táticas de ataque mais comuns na web envolve desviar dados do navegador de uma organização para um local controlado pelo invasor.

À medida que mais aplicativos da web se conectam a componentes críticos, como carrinhos de compras, pagamentos com cartão, publicidade e análises, os fornecedores se tornam um alvo descomunal. O código pode ser entregue de uma ampla variedade de fontes – quase todas elas estão além dos limites dos controles usuais de segurança empresarial, como proxies e firewalls de aplicativos da web. Como muitos sites usam os mesmos recursos de terceiros, os invasores sabem que só precisam comprometer um único componente para roubar dados de um enorme grupo de vítimas em potencial.

As medidas de segurança típicas que podem ajudar as organizações a permanecerem seguras incluem:

  • Criando uma lista de ativos de aplicativos web. Isso deve envolver uma auditoria completa do conteúdo de terceiros. O processo é complicado porque terceiros geralmente fazem links para ainda mais sites e há uma tendência a controles de segurança abaixo do padrão.
  • Corrigindo seu ambiente .  Embora a aplicação de patches não necessariamente conserte as falhas no conteúdo de terceiros, ela dificulta a evolução de uma posição inicial para um comprometimento substancial. Como a injeção na web é uma técnica tão versátil, aplicar patches em aplicativos executados em seu próprio ambiente ainda é essencial para evitar danos causados por um ativo de terceiros comprometido.
  • Verificação de vulnerabilidades. Durante anos, os CISOs reconheceram a importância de executar varreduras externas para obter uma visão da situação a partir do ponto de vista de um hacker. Isso se torna ainda mais importante quando grandes quantidades de conteúdo são reunidas de última hora no lado do cliente.
  • Monitoramento de alterações de código. Independentemente de onde o código esteja hospedado, é importante obter um grau adicional de visibilidade, independentemente de novas vulnerabilidades estarem surgindo. Isso significa monitorar os buckets do GitHub e do AWS S3, bem como os repositórios de código nativo.
  • Autenticação multifator . Considerando que a injeção é frequentemente usada para ignorar a autenticação para acessar o código do servidor web, a autenticação multifator deve ser implementada em qualquer sistema que se conecte a ativos de alto impacto. O ideal é que a criptografia na camada de aplicação também possa complementar o TLS/SSL criptografando credenciais e detalhes do cartão de pagamento conforme o usuário os insere no navegador.  Alguns produtos de firewall de aplicativo da Web (WAF) bem conhecidos têm esse recurso. No entanto, um WAF avançado pode oferecer níveis aprimorados de visibilidade e controle da camada de aplicação para ajudar a mitigar riscos de injeção distribuída e polimórfica.
  • Explore o potencial dos cabeçalhos de segurança de aplicativos da web . Por exemplo, é possível configurar uma Política de Segurança de Conteúdo (CSP) para bloquear injeções de código não autorizadas em um site ou aplicativo. Além disso, os métodos da web SubResource Integrity (SRI) podem verificar se aplicativos de terceiros não foram alterados.  Ambas as ferramentas exigem trabalho para se adaptarem adequadamente a um aplicativo web. É aqui que entra um WAF robusto e flexível.
  • Monitore novos domínios e certificados registrados . Eles geralmente são usados para hospedar scripts maliciosos, mas parecem genuínos para os usuários finais.

Enfrentando o flagelo do phishing

Phishing é outro favorito de todos os tempos. Os invasores não precisam se preocupar em invadir um firewall, encontrar um exploit de dia zero, decifrar criptografia ou descer de rapel por um poço de elevador com um conjunto de gazuas nos dentes. É muito mais fácil enganar alguém para que ele entregue suas credenciais. A parte mais difícil é criar um e-mail convincente para fazer as pessoas clicarem e um site falso para acessar. Espere uma abundância deles durante todo o torneio.

De acordo com o último relatório de Phishing e Fraude do F5 Labs , 52% dos sites de phishing usaram nomes de marcas e identidades comuns em seus endereços de sites. Os phishers também intensificaram os esforços para fazer com que sites fraudulentos pareçam o mais genuínos possível: Dados do F5 SOC citados no relatório descobriram que a maioria dos sites de phishing utilizava criptografia, com 72% deles usando certificados HTTPS válidos para enganar as vítimas. Isso significa que simplesmente procurar o cadeado (ou um endereço que comece com https://) não é mais suficiente. Na verdade, é realmente perigoso aconselhar isso, pois isso implica que os sites são inerentemente confiáveis simplesmente por terem um certificado digital.

Toda organização será alvo de ataques de phishing em algum momento, sejam eles direcionados ou indiscriminados. Infelizmente, nem todas as organizações implementam estruturas robustas de gerenciamento de segurança da informação.

As Cinco Funções do NIST fornecem uma maneira útil de pensar sobre qualquer ameaça cibernética, mas, independentemente de quanto as empresas façam para proteger suas marcas e seus clientes, os ataques de phishing continuarão a ser bem-sucedidos enquanto houver um ser humano que possa ser manipulado psicologicamente de alguma forma. É por isso que os controles de segurança e os navegadores da web devem se tornar mais eficientes em destacar sites fraudulentos para os usuários. Indivíduos e organizações também precisam ser treinados continuamente sobre as técnicas mais recentes usadas por fraudadores, desde URLs enganosas até o abuso de certificados HTTPS.

Mantendo-se na bola

As ameaças detalhadas acima não são uma lista exaustiva. Há outros. Lembre-se de que os cibercriminosos são extremamente hábeis em tirar vantagem das reviravoltas relacionadas a eventos como a Euro 2020. Fique alerta, busque as soluções de segurança certas e sempre tente acompanhar as mudanças de mentalidade e capacidades dos invasores.