Triagem - Decidindo quando investigar

Caso de uso

Ao receber mensagem suspeita, ainda que encaminhada, conduza uma triagem inicial para determinar se de fato ela é mal intencionada e, no caso de ser com alvo, descobrir a maneira mais rápida de reagir, averiguando se uma investigação mais aprofundada se faz necessária. Para a maioria dessas mensagens, uma heurística básica para separar as ameaças com e sem alvo e a definição de ações de redução de danos é o suficiente.

Objetivos

Após completar este módulo, e tendo como base alguns indicadores heurísticos, a distinção entre e-mails legítimos, spam, e-mails de phishing e aqueles com alvo deve ser nítida.

Conhecimento fundamental

A pessoa profissional deve ser capaz de reconhecer técnicas comuns de e-mails de phishing e objetivos de atacantes, além de detectar indícios de mensagens de phishing. Caso seja necessário reforçar estes conhecimentos, experimente o Teste sobre phishing.

Abordagens de tecnologia de baixo custo para determinar se uma mensagem realmente foi enviada por alguém que você conhece costuma ser a forma mais simples e rápida de constatar a autenticidade da mensagem. Um bom exemplo deste tipo de abordagem é confirmar o envio e legitimidade do e-mail suspeito (considerando que tenha vindo de alguém que você conhece) em outro canal de comunicação, como aplicativos de mensagens instantâneas.

Além disso, dê uma lida nestes artigos com exemplos de táticas e técnicas enganosas de uso comum em mensagens de phishing: 6 ataques comuns de phishing e como se progeter contra eles (em inglês) e 5 técnicas comuns de phishings (vadesecure.com, em inglês).

Critérios práticos de triagem

Infelizmente, spam e phishing sem alvo são realidade recorrente na internet. A investigação de mensagens e infraestruturas maliciosas relacionadas é um exercício prático e útil em uma pequena parcela de casos. Considere os seguintes critérios para definir se vale a pena gastar tempo investigando a mensagem e a infraestrutura:

• Mira: a mensagem foi customizada (com a ajuda da engenharia social e conhecimento prévio sobre a identidade da pessoa alvo) para aumentar as chances de sucesso da ação planejada (pelo clique em um link, download de um anexo malicioso)?
• Ameaça: qual o objetivo da mensagem/campanha? Quais são os contextos de riscos/ameaça da pessoa alvo, organização, ou comunidade?
• Valor da intervenção: qual o valor de seguir investigando e intervindo? A interrupção da infraestrutura atacante teria impacto significativo na contenção de ataques atuais ou futuros? Quais as chances de que a mesma infraestrutura maliciosa seja reutilizada? A exposição/atribuição ao público dificultaria a condução de outros ataques? A exposição pública do ataque ajudaria outras pessoas alvo que poderiam ser comprometidas?
• Investimento: de quanto tempo e quantos recursos atacantes precisaram para criar a mensagem? Foi necessário criar domínios e infraestruturas?
• Singularidade: a mensagem é exclusiva? O mesmo texto pode ser encontrado a partir de citações em mecanismos de busca?

Uma regra geral é que apenas mensagens com alvo usualmente são dignas de investigação. Muitos e-mails de phishing ou spam têm qualidade baixa ou são enviados em massa, muitas vezes por adversáries que podem ter motivações financeiras, mas não miraram em organizações especificamente por conta do trabalho relacionado a direitos humanos ou sociedade civil. Sendo assim, é pouco provável que ataquem ONGs no futuro, e um registro das atividades deles não seria tão benéfico para a comunidade.

Provavelmente, atacantes que enviam mensagens em massa ou de baixa qualidade são pegos por meio de testes e regras automatizados, e simplesmente ajustam as mensagens conforme necessidade, em contraste aos ataques com alvo, que requerem investimento muito maior. Pessoas adversárias que enviam mensagens com alvo frequentemente têm motivações geopolíticas, e utilizam phishing como parte de uma campanha híbrida mais ampla, que poderia ser direcionada a outras ONGs. Investigar mensagens com alvo pode, portanto, ajudar a revelar campanhas maiores.

⚠️ Lembre-se: caso necessário, e você não se sinta confiante em responder à altura do nível de risco ou análise de uma mensagem maliciosa, busque ajuda de parcerias da CiviCERT, ou através de organizações de suporte listadas na Digital First Aid Kit (“Kit de primeiros socorros digitais”).

⚠️ Ao considerar ou conduzir de fato uma investigação, garanta um equilíbrio entre redução de danos e suporte de quaisquer alvos, como aquelas listadas na Recuperação de possível conta comprometida (securityinabox.org).

Checagem de habilidades

Dedique algum tempo ao quiz do Shira (em inglês) até que se sinta apte a passar nos testes confortavelmente, e reconhecer phishing em diversas categorias de apps.

Recursos de aprendizagem