Mitigar riscos empresariais: Como se defender de mensagens SMS fraudulentas

Por Luis Catarino, Head of Offensive Security Iberia, S21sec

A tecnologia é uma área em constante evolução onde a cibersegurança não é exceção, e enquanto novas capacidades de defesa são desenvolvidas, também os cibercriminosos desenvolvem novas abordagens para as contornar.

Nos dias de hoje, o risco relacionado com a manipulação ou comprometimento de dispositivos móveis voltou a tornar-se uma séria preocupação nas empresas e organizações, assim como de muitos indivíduos.

Este risco deve-se ao facto destes sistemas disporem de mecanismos de proteção mais limitados, enquanto são frequentemente utilizados como ferramentas de autenticação de dois fatores, ou como meio de acesso e recuperação de contas em sistemas corporativos ou aplicações.

Isto significa que, se um atacante consegue comprometer um telefone, poderá obter acesso a contas do utilizador em diferentes serviços e aplicações, sejam estes corporativos ou pessoais, e que variam desde o e-mail até à gestão de documentos, o que poderá naturalmente causar danos significativos.

Apesar do crescente aumento na cibercriminalidade, historicamente o foco em sistemas telefónicos não é algo novo. Os inícios do “hacking” remontam ao chamado “phreaking”, tendo esta sido uma das suas primeiras formas conhecidas.

O “phreaking” era uma prática que se tornou bastante popular nas décadas de 60 e 70 entre entusiastas da tecnologia e cibercriminosos durante esta época, utilizada para manipular ou “hackear” sistemas telefónicos, tipicamente com o objetivo de obter acesso gratuito ilimitado a serviços telefónicos. Esta prática perdeu progressivamente popularidade ao longo do tempo, devido ao aumento da segurança e às melhorias nos sistemas telefónicos.

Nos dias de hoje, e no que toca aos SMS (short message services, ou mensagens de texto), devemos salientar que os principais riscos estão relacionados, não apenas com limitações técnicas que colocam em causa a privacidade e segurança das mesmas, mas também com uma vertente da engenharia social, denomidada de “smishing”.

O “smishing”, combinação de SMS e “phishing”, faz uso de mensagens de texto para induzir a vítima a revelar informações sensíveis.

Ainda que os SMS tenham caído em desuso como forma de comunicação pessoal, como forma de engenharia social, o recurso a mensagens de texto tem vindo a mostrar-se cada vez mais eficaz.

Desde logo, no que toca à garantia da origem da mensagem de texto, existem fortes limitações técnicas, visto que um atacante pode falsificar ou manipular as mesmas para parecer que vêm de alguém que não é quem diz ser, sendo esta prática conhecida como “SMS spoofing”.

Quanto às suas limitações técnicas, podemos ainda destacar que as mensagens de texto não são encriptadas e podem, portanto, ser intercetadas através de ataques de redireccionamento de SMS, podendo ser subsequentemente lidas, sem consentimento do utilizador.

Assim, no que toca a algumas medidas para cada um de nós se proteger de mensagens fraudulentas por SMS, podemos recomendar que os utilizadores evitem clicar em links suspeitos, mesmo quando a fonte pareça confiável. A verificação do número do remetente é também importante, e devemos sempre desconfiar de mensagens não solicitadas.  Adicionalmente, o favorecimento de plataformas alternativas que garantam a segurança e privacidade das comunicações, garantindo nomeadamente, “end-to-end encryption” é fortemente recomendável.

Finalmente, e sempre que possível, devemos procurar reportar este tipo de mensagens às entidades competentes, como a equipa de resposta a incidentes de cibersegurança do Centro Nacional de Cibersegurança.

Já relativamente às empresas e organizações, é imperativo que procuremos consciencializar e formar os colaboradores e utilizadores de uma forma continua, não apenas para saberem lidar com as ameaças do smishing e mesmo do phishing, mas com as mais variadas formas de engenharia social.

Sendo a engenharia social uma componente chave na fase de recolha de informação e acesso inicial às organizações, visto explorar uma das vertentes mais complexas de proteger, as pessoas, para além das necessidades acima referidas, e posteriormente às mesmas, uma possível abordagem para as organizações passa pela execução de exercícios de Red Team.

O exercício de Red Team visa ajudar as organizações ao emular ameaças e identificar estas vulnerabilidades antes que estas sejam identificadas pelos atacantes. Este tipo de exercício caracteriza-se pela simulação de ataques realistas a uma organização, e poderá incluir a vertente humana, pelo recurso à engenharia social. Ao realizar este tipo de testes, que incluem diferentes técnicas, táticas e procedimentos (TTPs) utilizadas por potenciais atacantes, o exercício de Red Team permite adicionalmente avaliar e melhorar as capacidades de deteção e resposta das equipas de segurança das organizações.

Em conclusão, à medida que as ameaças evoluem, também as empresas, organizações, e mesmo indivíduos devem adotar, de forma continua, medidas de proteção. Para tal, para os indivíduos é recomendável que sigam um conjunto de boas práticas, e que sempre que possível façam uso de plataformas alternativas que garantam a segurança e privacidade das comunicações, e para as organizações, que as estratégias a definir passem não apenas pelos sistemas, mas por três pilares fundamentais: tecnologia, processos e pessoas.