A IKEA, multinacional sueca de móveis e artigos para casa, está enfrentando uma campanha de phishing complexa em andamento, onde os cibercriminosos estão utilizando emails internos da empresa, para enviar mais mensagens falsas para outros colaboradores. O BleepingComputer, que teve acesso a emails internos da empresa, informa que funcionários estão sendo alertados do ataque.
- Apple processa NSO Group por infectar usuários de iPhone com spyware Pegasus
- Monitoramento da dark web: especialista explica sua importância e como é feito
- Empresas devem voltar da pandemia mais preocupadas com cibersegurança, revela ESET
O comunicado detalha que cibercriminosos estão utilizando os emails internos da IKEA para enviar mensagens falsas para outros funcionários, organizações parceiras e até mesmo fornecedores.
"Há um ataque cibernético em andamento que tem como alvo os emails internos da IKEA. Outras organizações, fornecedores e parceiros comerciais da IKEA são comprometidos pelo mesmo ataque e estão espalhando emails maliciosos para pessoas na IKEA. Isso significa que o ataque pode vir por email de alguém com quem você trabalha, de uma organização externa, e como resposta a uma conversa já existente. Portanto, é difícil de detectar. Pedimos que seja extremamente cauteloso. Se você se sentir inseguro, envie um email para o suporte com uma cópia do email suspeito em anexo, para podermos agir", escreve o comunicado.
Para conter o caso, a IKEA informou que desabilitou a possibilidade dos colaboradores removerem emails suspeitos da quarentena. "Nossos filtros de email podem identificar alguns dos emails maliciosos e colocá-los em quarentena. Como o email pode ser uma resposta a uma conversa em andamento, é fácil pensar que o filtro de email cometeu um erro e liberá-lo da quarentena. Portanto, estamos, até novo aviso, desabilitando a possibilidade de todos liberarem emails da quarentena", escreve o mesmo comunicado.
Neste email falso enviado aos funcionários da IKEA, os cibercriminosos anexaram uma planilha de Excel maliciosa, disfarçada de uma planilha legítima, mas que instala malwares na máquina da vítima. O ataque afeta diretamente a comunicação por email da empresa, que é uma ferramenta que não pode ser interrompida. Por conta disso, a IKEA está tratando o caso como um incidente de segurança grave, que pode ser escalado para um ataque com prejuízos ainda mais graves.
Conscientização
A redação da The Hack entrou em contato com Priscila Meyer, fundadora e CEO da Eskive, uma plataforma de segurança da informação, que fornece e metrifica programas de conscientização, para entender como cibercriminosos convencem vítimas e fazer o que eles querem e como empresas podem prevenir que seus colaboradores sejam as vítimas.
Segundo Meyer, a maioria dos incidentes de segurança (cerca de 90%), são causados pelo fator humano de maneira direta ou indireta. "Phishing é uma das maiores ameaças corporativas no momento, principalmente quando falamos dos riscos associados ao fator humano. Não faltam dados para afirmarmos que a quantidade de casos de phishing aumenta a cada dia", explica.
Esse cenário se tornou ainda pior com a pandemia da COVID-19, que forçou o trabalho remoto, acelerando a transformação digital com pouco planejamento e prioridade em segurança. "Uma das causas desse aumento no número de casos de phishing é que os cibercriminosos perceberam que é mais fácil atacar o usuário do que um sistema informático. O criminoso não vai tentar burlar a tecnologia. A porta de entrada é quase sempre o fator humano."
Embora a maioria das empresas esteja utilizando tecnologias automáticas de detecção de spam e phishings, ainda não podemos confiar nelas. Se configurarmos muitos parâmetros, os colaboradores acabam não recebendo os emails que deveriam e se configurarmos poucos parâmetros, emails maliciosos passam pelo filtro.
"Existem várias opções de tecnologias que conseguem identificar, com base em critérios, se aquele email é um phishing ou não. O problema dessas tecnologias é restringir muito. Se você restringe demais, muitas vezes a gente tem falsos positivos e emails que deveriam chegar não chegam. Hoje a tecnologia funciona muito bem, mas não podemos confiar 100% nela, sempre vai passar um email malicioso".
Anatomia do phishing
Meyer explica que é comum ataques cibernéticos começarem com campanhas de phishing, por ser fácil e bastante efetivo para os cibercriminosos. Assim que as vítimas caem no golpe, os cibercriminosos migram para as tecnologias, como infecção por malware, trojan ou coleta de credenciais de acesso, para se movimentar lateralmente no sistema da vítima.
O ponto crítico desses ataques é a informação. Se o cibercriminoso possui informações internas, é mais fácil convencer as vítimas a fazer o que ele quer. Mensagens genéricas tendem a ser menos efetivas que campanhas direcionadas. "Há várias técnicas de persuasão e engenharia social que os cibercriminosos utilizam para enganar suas vítimas. Fica mais fácil convencer a alguém quando o ataque é direcionado, quando possui informações internas, que passam mais credibilidade, o que chamamos de ‘spear phishing’, um ataque de phishing mais direcionado."
Por isso, empresas que buscam minimizar os riscos ligados ao fator humano, precisam que seus colaboradores consigam identificar campanhas criminosas na internet. Isso é feito com educação e conscientização, explica Meyer. "A gente primeiro leva informações para as pessoas, para elas terem um comportamento adequado e sabedoria para agir quando sujeitas a ameaças [...] Além de conscientizar, é necessário medir. Não é só passar informação. É necessário medir se a conscientização dos colaboradores está se tornando um hábito".
Os programas de conscientização começam com uma avaliação, para saber o nível de maturidade de uma empresa com relação à conscientização de segurança. Após a definição do escopo e da estratégia, há a entrega das informações e treinamentos, passando pelos testes e simulações, até chegar ao relatório, que vai indicar os pontos fracos a serem trabalhados. "O trabalho de conscientização tem como principal objetivo minimizar os riscos do fator humano. Fazemos isso através da educação e da conscientização."
Meyer acredita que as empresas não estão mais preocupadas em porque conscientizar seus colaboradores, mas em como fazer isso. "Hoje as empresas já passaram do 'porque fazer conscientização' e, agora, estão se perguntando como fazer isso. Elas estão realmente querendo melhorar sua segurança, treinando colaboradores e investindo em comportamentos mais adequados", conclui.