Afinal, por que os bancos sofrem com os ataques APT?

Autor: Telium Networks
Publicação: 14/09/2018 às 02:21

O termo APT, ou advanced persistent threat, foi cunhado pelo Coronel da força aérea dos Estados Unidos Greg Rattray em 2006 para descrever os ataques sofisticados que órgãos governamentais norte-americanos receberam a partir do fim dos anos 90. Em português, APT pode ser traduzido como Ameaças Avançadas Persistentes.

Os APTs são usualmente utilizados para espionagem e coleta de informações e dados. São ataques direcionados, ou seja, que visam uma entidade ou pessoa específica e por isso costumam ser mais complexos do que outras ameaças digitais.

Normalmente, os alvos de ataques APT são governamentais ou grandes companhias, já que o objetivo da operação costuma envolver informações confidenciais. Mas o APT também é utilizado para ameaçar e roubar bancos, como foi o caso do Carbanak, operação APT descoberta em 2014.

Neste artigo, vamos falar mais sobre os ataques APT e explicar por que bancos são alvos desse tipo de ameaça sofisticada. Boa leitura!

Como funciona um ataque APT?

Um ataque APT é especialmente perigoso por ser direcionado e bem planejado. Diferentemente de malwares comuns, que buscam infectar o máximo de pessoas, um ataque APT tem um alvo e objetivo específico.

Normalmente, para atingir esse objetivo o APT progride com muita cautela e inteligência. Se a missão de um APT é conseguir acesso aos e-mails de um CEO de uma empresa, por exemplo, é improvável que o ataque comece por esse alvo, que estará mais protegido.

O mais usual é que os invasores identifiquem pessoas vulneráveis do ponto de vista da segurança digital, como subalternos diretos ou até familiares. Uma vez que esses alvos secundários estejam contaminados, fica mais fácil conseguir acesso ao objetivo principal.

Eles são considerados persistentes porque são compostos de etapas progressivas de contaminação e usualmente tem como objetivo um acesso de longa duração. Alguns ataques APT duraram mais de uma década, sugando informações e dados relevantes de vítimas por todo esse período.

Por que os bancos são alvos deste tipo de ataque?

O ataque APT mais famoso direcionado a bancos foi o Carbanak, descoberto pela Kaspersky Lab em 2014. Por meio de um malware introduzido nas vítimas com técnicas de phishing, o grupo hacker por trás dessa ameaça conseguiu subtrair mais de 500 milhões de dólares de pelo menos 100 bancos em 30 países, incluindo o Brasil, apesar dos alvos primários terem sido Rússia, Estados Unidos, Alemanha, China e Ucrânia.

Um banco chegou a perder US$ 7,3 milhões apenas nos seus caixas automáticos, que foram programados para liberar todo seu dinheiro em horários determinados pelos hackers, que iam pessoalmente às agências buscar os recursos.

E é justamente essa a razão pela qual um banco pode ser alvo de um APT: dinheiro. Ainda que a maior parte dessas ameaças mire dados e informações confidenciais, é possível realizar um ataque com um objetivo financeiro, já que o APT pode ser discreto e roubar muitos recursos em um período extenso de atuação.

Quais são as técnicas usadas em um ataque APT?

Como normalmente são realizados por grupos, os ataques APT se valem de uma larga estrutura de recursos e técnicas para alcançar seus objetivos, como a injeção de SQL e o drive-by download.

Mas a vulnerabilidade que costuma ser explorada com mais frequência nas Ameaças Avançadas Persistentes é o elemento humano, e não alguma estrutura de tecnologia e segurança.

Logo, o phishing costuma estar presente em boa parte dos APTs. Nesse tipo de técnica, os criminosos enviam e-mails e outros tipos de mensagens fraudulentas em que eles se passam por alguma organização reconhecida ou contato pessoal do usuário, induzindo a vítima a fornecer dados pessoais como senhas, números de cartão de crédito e outras informações sensíveis, ou a simplesmente baixar um malware.

Em um contexto usual, o phishing é feito de maneira pouco personalizada: o objetivo da maior parte dos criminosos virtuais é atingir muitas pessoas para roubar o máximo de volume de dados.

Mas como os ataques APT são direcionados, o phishing utilizado aqui costuma ser bem mais sofisticado, com mensagens totalmente personalizadas e com um potencial maior de convencimento da vítima. Para piorar, muitas vezes a mensagem vai partir de um contato real e confiável, que já estava previamente contaminado pelos invasores.

Ou seja, mesmo se o gerente de um banco estiver treinado a não abrir e-mails de fontes duvidosas, a probabilidade de cair em um golpe desse tipo é maior, porque as mensagens vão partir de pessoas próximas como subalternos ou superiores imediatos e, em alguns casos, da própria família da pessoa.

Além do phishing, é comum que ataques do tipo APT se utilizem de outras técnicas de engenharia social, que são todos os métodos de ataque em que o golpista usa a ingenuidade ou excesso de confiança de uma pessoa para persuadi-la. Assim, ele obtém acesso não autorizado a sistemas ou informações úteis.

Como se proteger de Ameaças Avançadas Persistentes?

A proteção para Ameaças Avançadas Persistentes precisa ser bem abrangente e meticulosa. Esse tipo de ataque é direcionado, o que significa que os invasores estão tomando medidas ativas e bem personalizadas para atingir uma organização sem serem detectados.

Na segurança digital, é comum fazer uma metáfora entre um sistema de proteção e o casco de um navio. Mesmo se estiver em boas condições por quase toda a sua extensão, um único furo no casco de um navio, por menor que seja, pode deixar a água entrar e colocar toda a embarcação em risco.

O mesmo vale para as medidas de segurança de uma empresa: é importante que elas não tenham nenhuma vulnerabilidade, pois se alguma existir, por menor que seja, será explorada por criminosos digitais.

O primeiro passo para se proteger das Ameaças Avançadas Persistentes é contar com um sistema eficaz de softwares de segurança que detectem e combatam malwares na rede e nos computadores da empresa. Além disso, vale a pena investir em boas ferramentas de controle de acesso.

Outras técnicas, como a segmentação da rede, também funcionam bem como parte de um sistema de segurança abrangente, mas como os ataques APT costumam explorar mais as falhas no elemento humano, o principal investimento em proteção deve levar isso em conta.

Logo, é importante determinar uma política de segurança de dados eficiente que envolva treinamentos de toda a equipe e uma comunicação interna, reforçando o valor das boas práticas.

Os alvos mais prováveis em um ataque APT são aqueles que possuem mais acesso dentro dos sistemas da organização, incluindo aí o time de TI. Para se defender das Ameaças Avançadas Persistentes, é importante que todos compreendam o valor em seguir uma conduta segura no meio digital, evitando assim a eficiência dessa forma de ataque coordenado.

E agora que você já aprendeu mais sobre as Ameaças Avançadas Persistentes, que tal compartilhar esse artigo para alertar seus colegas nas redes sociais?