Por vezes, o risco não está no desconhecido, mas no familiar. Visita aquele blogue técnico que consulta sempre, acede ao portal da sua associação profissional ou vai ao site de uma ferramenta que utiliza todas as semanas. Tudo parece de confiança... até que, sem saber, descarrega um malware que visa especificamente o seu perfil profissional.
Este é o princípio dos ataques do tipo bebedouro (watering hole). Uma estratégia que tira partido da confiança que o utilizador deposita em determinados sítios Web para se infiltrar sem levantar suspeitas. O objetivo não é infetar o site em si, mas utilizá-lo como veículo para comprometer os visitantes.
Como funciona um bebedouro
O atacante identifica os sítios que são frequentemente visitados por membros de um grupo específico - por exemplo, profissionais do sector, funcionários da empresa ou membros de um grémio - e infecta-os com código malicioso.
Quando o alvo entra na Web como habitualmente, o seu sistema pode ser comprometido automaticamente através de vulnerabilidades do navegador, plug-ins desactualizados ou descarregamentos invisíveis.
Ao contrário do phishing, que precisa de persuadir o utilizador a clicar em algo duvidoso, aqui o utilizador vai de bom grado para o sítio de confiança. E é precisamente por isso que o ataque é tão eficaz.
Casos conhecidos que desencadeiam alertas
Vários grupos de ameaças avançadas (APT) utilizaram com êxito esta tática. Um exemplo disso foi o ataque contra membros da comunidade de segurança nacional dos EUA utilizando sítios de defesa especializados.
Mais recentemente, foram detectadas campanhas dirigidas a investigadores de criptografia através de plataformas académicas e técnicas legítimas, temporariamente comprometidas sem aviso atempado dos seus administradores.
Como detetar se um sítio fiável foi comprometido
Nem sempre é óbvio, mas pode prestar atenção a certos sinais:
- O sítio carrega mais lentamente do que o habitual ou apresenta erros estranhos nos scripts.
- O navegador lança avisos de segurança inesperados.
- O comportamento do dispositivo altera-se após o início de sessão (por exemplo, processos invulgares, lentidão, consumo anormal de memória).
- Descarregamentos automáticos sem a sua intervenção.
É claro que estes sinais não são definitivos, mas se tiver suspeitas, é melhor cortar o acesso e verificar.
Boas práticas para reduzir os riscos sem limitar a sua atividade
Sabemos que evitar todos os sítios externos não é uma opção realista. Por isso, aqui estão algumas medidas que pode tomar para se proteger sem comprometer a produtividade:
1) Utilizar programas de navegação actualizados e extensões seguras.
O seu browser é a sua primeira linha de defesa. Mantenha-o sempre atualizado e evite as extensões de que não precisa. Algumas campanhas tiram partido de plugins vulneráveis para executar ataques silenciosos.
2) Implementar a filtragem da navegação e a análise do tráfego.
As soluções de segurança do perímetro (como firewalls de nova geração ou sistemas de deteção de DNS) podem ajudá-lo a identificar domínios conhecidos que estão ligados a campanhas de infeção activas.
3. Isolar a navegação do risco
Para determinados perfis da sua equipa - como programadores, pessoal de TI ou investigadores - pode implementar navegação contida através de ambientes virtuais, ambientes de trabalho remotos ou browsers em sandbox. Isto limita a extensão dos danos se ocorrer uma infeção.
4. Estabelecer protocolos para descarregamentos
Qualquer ficheiro descarregado de sítios externos deve passar por um antivírus atualizado e, se possível, por um sistema de inspeção adicional antes de ser aberto no equipamento produtivo.
5. Sensibilizar sem semear a paranoia
Não se trata de a sua equipa deixar de investigar, de procurar soluções ou de consultar fóruns. A chave é educar para detetar riscossaber como atuar em caso de dúvida e dispor de processos para minimizar a exposição.
O invisível também pode ser direcionado
Os ataques de Watering Hole não são aleatórios. São selectivos, inteligentes e muitas vezes silenciosos. E a sua eficácia reside na exploração do hábito e da confiança.
Assim, a melhor forma de se proteger é manter-se alerta sem ficar imóvel. A segurança eficaz é a segurança que acompanha a sua equipa no seu trabalho. Sem fricção, mas com discernimento.
Na MasterBase® estamos preparados e temos a plataforma para o ajudar, de forma simples, eficaz e a baixo custo, a automatizar os seus processos de negócio com segurança desde a conceção. Além disso, pode solicitar a ajuda de um consultor para o acompanhar na implementação de processos automatizados alinhados com os seus objectivos e com foco na proteção integral.
