✨ O que é abuseware e como você pode combatê-lo?

Um problema subestimado

Como Chief Hacker Officer na plataforma de recompensas por bugs e divulgação de vulnerabilidades, Intigriti – e membro fundador do Hacking Policy Council – Inti De Ceukelaire está em uma posição privilegiada para testemunhar o que os cibercriminosos estão fazendo. Ele vê o abuseware como a questão mais subestimada na fraude online.

“Claro, as pessoas estão sempre encontrando vulnerabilidades reais, erros de software que, por exemplo, permitem que você converse com um computador e o convença a te dar todos os registros de dados que ele possui. Mas então também existem cenários em que algo não seria realmente classificado como uma vulnerabilidade. É um comportamento de um sistema, ou você pode talvez ajustar um comportamento de uma certa maneira, mas isso não afeta realmente a integridade ou a confidencialidade daquele sistema. No entanto, se você colocar o chapéu de um golpista ou de alguém com más intenções, você pode realmente fazer algo malicioso com isso.”

Temos um arquivo sobre você

Talvez o exemplo mais conhecido de abuseware atualmente seja o uso inadequado de uploads de arquivos. Muitas empresas têm algum tipo de funcionalidade de upload de arquivos como parte de sua presença online. Às vezes é apenas para enviar sua foto pessoal para o seu perfil. Em outros casos, você pode realmente hospedar arquivos. No entanto, às vezes um golpista pode encontrar uma maneira de contornar os limites de tamanho de arquivo e fazer upload de arquivos maiores.

“Agora você pode dizer, ok, além de apenas talvez ocupar um espaço extra, por que deveríamos nos importar?” comenta Inti. “Mas então muitas pessoas começaram a abusar disso para, por exemplo, hospedar sites de phishing maliciosos ou conteúdo que se você estiver hospedando, como empresa, pode realmente te colocar em apuros. Portanto, mesmo que seja uma funcionalidade intencionada, se as pessoas conseguirem abusar dela, isso pode causar muito dano à sua empresa.”

Usando o Uber como carona

Outro uso de aplicativos legítimos para fins nefastos é a lavagem de dinheiro. Um exemplo famoso explorou o bem conhecido aplicativo de carona Uber. O golpe envolveu a simulação de sinais de GPS para dois telefones separados (representando o motorista e o passageiro) para fazê-los pensar que estavam viajando por rotas legítimas, embora muito longas. De fato, ambos os telefones estavam em cima da mesa de um golpista. O autor do golpe então usaria um cartão de crédito roubado para pagar a 'tarifa' via Uber, com o dinheiro sendo recebido na conta do 'motorista'.

“Claro, o Uber implementou desde então medidas muito boas para prevenir isso, e é algo que qualquer empresa pode encontrar”, diz Inti. Mas é apenas mais um exemplo de como empresas legítimas se envolvem em fraudes. E não é fácil implementar algo como uma matriz de avaliação de risco ou um sistema de pontuação de severidade de vulnerabilidades.”

Reserva dupla.com

Um terceiro exemplo comum que recentemente assumiu uma nova forma é a exploração de marketplaces online. Você provavelmente conhece alguém que teve a experiência de comprar algo online que nunca chegou. No entanto, Inti destaca um fenômeno crescente em que golpistas hackeiam as credenciais de login de um hotel em um site como booking.com e se fazem passar por esse negócio legítimo para ganho ilegal. Por exemplo, os golpistas enviam uma mensagem através da conta do hotel para usuários que reservaram estadia na propriedade, explicando que precisam pagar a taxa de turismo – e fornecendo um código QR para fazer isso!

“É algo que para a maioria das empresas realmente não estava no radar. Eles sabem que contas de usuários podem ser hackeadas e pensam sobre o impacto individual”, comenta Inti. “Mas eles raramente pensam sobre o ecossistema mais amplo, onde a interação entre seus usuários está sendo essencialmente utilizada para conduzir um esquema de phishing. Isso é certamente algo que vimos aumentar nos últimos anos.”

As principais dicas de Inti

Como alguém que está em contato diário com o comportamento e vulnerabilidades de indivíduos e empresas online, Inti tem alguns conselhos sábios que vão além das dicas mais comuns.

Separe seu perfil profissional e pessoal online: Muitos de nós agora operamos em um ambiente de trabalho remoto híbrido onde pode ser difícil manter a linha divisória entre suas vidas profissional e privada. Pode parecer uma extensão natural ter uma foto de seus filhos na sua mesa e adicionar uma como papel de parede no seu laptop de trabalho. Você pode até se sentir confortável em acessar uma ampla gama de arquivos pessoais através do computador da sua empresa. No entanto, se sua empresa se tornar vítima de um ataque de ransomware, suas fotos de família ou informações financeiras pessoais também podem ser sequestradas, e o problema da empresa se torna seu problema pessoal.

Descarte endereços de e-mail legados adequadamente: A maioria das pessoas muda de emprego ao longo do tempo, enquanto as empresas muitas vezes mudam seus nomes ou se fundem com outros negócios. Como resultado, endereços de e-mail da empresa muitas vezes se tornam redundantes, no entanto, nem sempre são adequadamente aposentados ou excluídos. Muitas vezes esses endereços são usados para se registrar em serviços de terceiros, como Dropbox ou Jira, sem autenticação de dois fatores protegendo-os. Com o tempo, o domínio de e-mail se torna disponível, permitindo que um golpista compre seu endereço de e-mail, configure um link de redefinição de senha e acesse tudo que você configurou por meio daquela conta de e-mail. Os CISOs, em particular, precisam estar cientes desse problema e garantir que os protocolos necessários estejam em vigor para evitar que endereços de e-mail redundantes sejam explorados dessa maneira.