Essa semana li um artigo publicado na SC Magazine chamado The psycology of ransomware (A psicologia do ransomware), escrito por Nir Gaist fundador e CTO da Nyotron.
O artigo me chamou a atenção porque Nir, aponta como os criminosos têm se aproveitado de aspectos psicológicos para fazer com que suas vítimas paguem os resgates, mesmo no caso onde as empresas têm investido muito em treinamento para suas equipes.
Como o ramsonware e a engenharia social estão envolvidos nesse contexto?
Ransomware
Com o objetivo de estarmos todos na mesma página, vamos falar um poco sobre o Ransomware.
Ransonware, de acordo com a tradução do site do CERT do governo americano, é um tipo de software maliciosos ou malware, desenhado para impedir o acesso a sistemas e computadores ou dados até que um resgate seja pago.
Ransonware, tipicamente se propaga por meio de e-mails ou, visitando sites que estão infectados.
Os ataques de ransomware tem crescido muito nos últimos anos e a perspectiva para 2020 é que continue crescendo.
Em geral os ataques são simples, pode ser encontrado todo um arsenal pronto para isso na Deep Web incluindo o chamado Ransomware as a service .
O sequestro de dados tem dado resultados positivos para os criminosos que geralmente se beneficiam da utilização de criptomoedas para receber seus resgates e a característica de não ser tão facilmente rastreável.
Engenharia Social
Se o ransoware tem ganhado força nesses últimos anos a engenharia social tem estado em velocidade de cruzeiro a décadas.
Engenharia social de acordo com a definição do Wikipedia consiste na manipulação psicológica das pessoas, dentro do contexto da segurança da informação com o objetivo de obter informações ou fazer com que as pessoas executem uma ação desejada qualquer.
Se houvesse uma faculdade para criminosos digitais a engenharia social certamente faria parte do curso básico para quase todo tipo de atividade ilícita.
A parte mais frágil de todo o contexto de segurança da informação está no usuário, no indivíduo por assim dizer e os criminosos sabem disso e por meio das técnicas de engenharia social procuram atacar justamente esse elo da corrente.
As técnicas para isso são muitas e certamente cabem um post exclusivo para isso, no entanto vale a pena destacar os 6 princípios chave da personalidade que geralmente são explorados pela Engenharia Social.
- Reciprocidade: As pessoas tendem a retornar um favor quando recebem por alguma coisa.
- Comprometimento: As pessoas tendem a honrar seus compromissos quando concordam com ele de maneira consistente.
- Prova social: Pessoas costumam fazer sem pensar o que outras pessoas estão fazendo.
- Autoridade: As pessoas geralmente não questionam figuras de autoridade e tendem a obedecê-las de maneira cega.
- Relacionamentos: As pessoas tendem a ser facilmente persuadidas por pessoas que das quais elas gostam
- Escassez: Pessoas tendem a reagir sem pensar quando variáveis de escassez são incluídas no contexto.
Esses 6 princípios são exatamente os mesmos utilizados nas campanhas de marketing como técnicas de persuasão e com êxito absoluto, o que comprova sua eficiência tanto para levar os prospects até os produtos como para fazer com que as vítimas façam aquilo que os criminosos querem.
Como engenharia social e Ransomware tem se combinado?
Em princípio muito se comentava a respeito de como os criminosos convenciam os usuários a executar as ações necessárias para que o ransomware fosse instalado e colocado em funcionamento.
Como as formas mais comuns de propagação estão no e-mail e em sites infectados, o truque estava em fazer com que o usuário pudesse abrir os e-mails e provavelmente os arquivos que se encontram anexados a eles ou visitarem os sites onde os malwares possam ser baixados nos computadores.
As técnicas utilizadas para isso se baseiam nos 6 princípios acima, no caso dos e-mails, podemos citar os phishings (e-mails falsos) que comentam a respeito de uma promoção imperdível por tempo limitado (escassez).
Técnicas mais sofisticadas como as que mencionei no artigo sobre Ataques de compromisso de correio eletrônico empresarial vem ganhando corpo cada vez mais e consistem em e-mails fraudulentos onde o criminoso se faz passar por um alto executivo da companhia, pedindo com urgência algo que geralmente não se enquadra nos procedimentos da empresa em função de alguma emergência qualquer (autoridade).
E por ultimo para não me estender mais em uma lista quase infinita, a famosa síndrome da fila de balada (prova social), faço porque todo mundo está fazendo, se todo mundo tem visitado um site ou baixado um joguinho qualquer, vou fazer também.
Exemplo recente aquele que deixa a foto das pessoas mais velhas e misteriosamente foi bloqueado em alguns celulares por razões de segurança, além de muitas vezes o próprio individuo acabar sendo o vetor de propagação do malware justamente porque compartilha com sua cadeia de relacionamento a suposta vantagem que está recebendo sem saber que trata-se de uma bomba relógio.
Qual a novidade?
Com os recentes ataques realizados nos últimos anos, as empresas e os usuários têm se tornado um pouco mais atentos aos problemas que podem ser gerados pelo ransomware, mas por outro lado os criminosos têm explorado outras fragilidades humanas que vão além dos aspectos dos 6 princípios mencionados anteriormente.
Nesse caso, além de usar a engenharia social para fazer com que o usuário instale o malware no seu computador, paralisando suas atividades e em inúmeros casos de toda a empresa também.
Os criminosos estão desenvolvendo técnicas psicológicas para fazer com que as pessoas paguem os resgates.
Em muitos casos, uma empresa que está bem preparada e tem seus backups em dia, simplesmente, elimina a extorsão com a restauração dos dados criptografados.
No entanto, utilizando argumentos como compaixão, abandono, humilhação e responsabilidade. Tem afetado diretamente o psicológico dos usuários e os convencendo a pagar por resgates na esperança de que seus dados sejam recuperados, o que não acontece em muitos casos.
Os pontos mencionados acima foram descritos por Nir da seguinte forma:
- Compaixão: alguns sequestros têm informado que o dinheiro será destinado para obras de caridade, quando de verdade nunca ocorre.
- Abandono: apesar de algumas empresas terem investido em estrutura de backups, falta orientar os usuários quanto a quem recorrer em casos como esses. Por eles não saberem acabam pagando o resgate quando a solução poderia facilmente ser contornada pela equipe de Tecnologia ou de Segurança
- Humilhação: alguns usuários se sentem humilhados por terem sido enganados e serem os responsáveis indiretos pelos danos causados a companhia e dessa forma acabam pagando os resgates com o objetivo de se livrarem do peso dos seus atos.
- Responsabilidade: Algumas empresas encaram o pagamento ou não do resgate como uma decisão de negócios pesando o valor que está sendo pedido frente aos prejuízos causados pela paralização de suas atividades. A decisão por pagar além de não ser a recomendada pelas autoridades não garante que os dados serão recuperados e ainda por cima acaba incentivando a prática do ransomware utilizando valores de menor porte. Em outras palavras, os ataques acabam sendo mais numerosos com valores menores e portanto, mais lucrativos, porque por essa ótica compensaria muito mais pagar ao delinquente para ter seus arquivos de volta do que a paralização e o comprometimento da imagem da empresa em função do ocorrido.
Recomendações
O Ransomware assim como qualquer outra praga virtual é um ponto de atenção constante.
As perspectivas para o ano de 2020 apontam um incremento nesse tipo de ataque e a equipe de segurança tem que estar atenta.
Manter backups atualizados e constantes podem ser o diferencial entre uma recuperação rápida das operações ou ceder a extorsão de um criminoso sem qualquer garantia de que seus dados serão recuperados.
Um trabalho sério e constante de conscientização pode evitar muita dor de cabeça já que o elo mais fraco da cadeia também é o mais exposto e como vimos não basta apenas orientar, mas ter uma estrutura onde os usuários possam recorrer em casos como esses e outras dúvidas é fundamental, em uma palavra: amparo.
E por fim, apoiar o corpo diretivo para que as decisões sejam tomadas de maneira consciente e da melhor forma possível, ceder a chantagem não é garantia de recuperação e pior incentiva uma prática funesta que deve ser combatida a qualquer custo.
Esses e outros textos sobre segurança podem ser encontrados aqui no meu BLOG ou no meu Medium.
Se quiser saber um pouco mais sobre mim, poderá encontrar mais informações no meu Linkedin.