Habilidades interpessoais para infraestrutura maliciosa e resposta a phishing

Caso de uso

Em quase todo caso de intervenção ou apoio, profissionais estarão trabalhando diretamente com pessoas afetadas por um ataque ou tentativa de ataque. Essa pode ser uma experiência estressante, e que induz ansiedade às pessoas alvo, e tode profissional deve saber como mitigar tais pressões.

Objetivos

Após completar este módulo, profissionais serão capazes de apoiar pessoas que podem ter recebido ou clicado em e-mails maliciosos ou links, de maneira responsável, empática, e com foco na redução de danos a partir da modelagem de ameaças fornecida.

Conhecimento fundamental

A Security Education Companion contém conselhos atenciosos e cuidadosos, junto a maneiras de reduzir danos na intervenção como auxiliar de tecnologia. Caso ainda não tenha familiaridade com este tipo de conteúdo, recomendamos fortemente que o revise em Educação em segurança 101 (em inglês).

Após a leitura, você deve ser capaz de:

• Entender como a análise de riscos é importante em toda e qualquer interação;
• Compreender os riscos de manusear dispositivos ou obter acesso às contas de outras pessoas;
• Entender que, no compartilhamento de informações sobre o caso/ataque com colegas ou outras pessoas da comunidade, o consentimento explícito da pessoa afetada é exigido. Além disso, isso significa explicitar quais informações serão compartilhadas, como elas serão trabalhadas, e que possíveis riscos podem surgir;
• Considerar os riscos de se envolver em discursos que instiguem medo;
• Reconhecer suas próprias limitações, tanto em termos técnicos quanto no apoio mais adequado possível à determinada pessoa ou comunidade, e quaisquer riscos inerentes a tal;
• Evitar estabelecer preferências por plataformas, tecnologias, código aberto vs. fechado, etc., nas interações de ajuda e apoio.

Conhecimento específico da trilha

Assim que você se familiarizar com os conhecimentos básicos citados acima, tome um tempo para considerar habilidades interpessoais particulares que possam ser necessárias para esta trilha de aprendizagem. Cada trilha de aprendizagem e intervenção são levemente distintas, e podem trazer narrativas ou preocupações variadas por parte de estudantes/profissionais.

Você deve:

• Entender como se comunicar sobre phishing e infraestruturas maliciosas da forma mais empática possível. Qualquer pessoa pode acabar clicando em um link ou confundindo URLs. Certifique-se de não envergonhar ninguém. Ao discutir casos de estudo publicamente, faça-o com cuidado e com empatia para não culpar alguém especificamente, nem identificar quem prefere se manter no anonimato;
• Ter preparo para discutir sobre as diferenças entre as análises passiva e ativa da infraestrutura de tolerância a riscos;
• Ser capaz de explicar como o mesmo método de análise às vezes pode render grande quantidade de dados, às vezes muito pouca, e de gerenciar as expectativas de acordo.

Note que as habilidades dispostas no fim dessa trilha de aprendizagem também contêm recomendações de desenvolvimento de habilidades interpessoais para fornecer apoio atento e que reduza danos.

Para entender: redução de danos & segurança operacional

No momento em que um e-mail de phishing é compartilhado com você, é possível que o alvo planejado já tenha sofrido danos: pode ser que já tenham clicado no e-mail e fornecido dados, ou pode ser que tenham sofrido impacto psicossocial por se sentirem em ameaça ou monitoramento. É importante apoiar a pessoa alvo e, ao mesmo tempo, evitar causar mais dano durante a interação ativa com o conteúdo malicioso.

A redução de danos à pessoa alvo deve começar com a coleta de informações sobre as ações tomadas e circunstâncias ao redor do e-mail recebido. Pode-se fazer diversas perguntas para pessoas que você conhece bem, como colegas, e aquelas beneficiárias que você conhece menos. Algumas perguntas úteis são: qual a sua modelagem de ameaças? Você é uma pessoa blogueira anônima? Ou uma pessoa dissidente em exílio querendo ocultar sua localização? Estava usando VPN? O navegador e sistema operacional estão atualizados? Com que gerenciador de e-mail você recebeu e abriu a mensagem? Houve interação com links, formulários, ou anexos? O e-mail foi respondido, ou encaminhado para alguém? Outras pessoas na mesma organização ou comunidade receberam o mesmo e-mail, ou um parecido?

As respostas a essas perguntas ajudarão no apoio de redução de danos e nas investigações. Conforme for progredindo na análise e entendimento do conteúdo malicioso, mantenha a pessoa alvo atualizada, especialmente no que for relevante para a redução de danos.

Para que haja segurança operacional durante o trabalho com e-mails maliciosos, consulte o próximo módulo.

Atividade prática

Reflita e responda às perguntas a seguir/discuta com pares, colegas, amizades ou mentores. Se houver disponibilidade e for apropriado, converse com uma pessoa “cliente” com quem tenha trabalhado anteriormente para pedir sua opinião e experiências.

• Descreva possíveis riscos, incluindo imprevistos, de se manusear e obter acesso ao dispositivo de alguém.
• Imagine que você esteja lidando com dados sensíveis ao prestar assistência a alguém. Como você abordaria a discussão com esta pessoa, em termos de modelagem de ameaças?
• De que forma a compreensão de uma modelagem de ameaças específica impacta os esforços de redução de danos, por exemplo, se são pessoas anônimas blogueiras ou dissidentes em exílio?
• Como você forneceria evidência técnica de acordo com sua capacidade, sem demonstrar falsa confiança e alimentar a paranoia?
• Descreva suas habilidades e limitações em conduzir trabalho de análise de infraestrutura. Após uma primeira tentativa, tente acrescentar mais nuances e acurácia na descrição.
• Quais podem ser os riscos de se prosseguir sem reconhecimento destas limitações?

Checagem de habilidades

Faça um exercício de simulação com colegas ou quem está te mentorando: seu papel será o de alguém responsável pela proteção online, enquanto a outra pessoa simulará alguém que recebeu um e-mail de phishing que continua na caixa de entrada. O e-mail foi recebido há algumas horas, e a pessoa não se lembra de ter clicado nele, e somente suspeitou e pensou que deveria avisar outras pessoas agora. Ela está bastante perturbada, preocupada de ter colocado colegas e a organização em risco. Alguns dos tópicos pertinentes à conversa incluem:

• Uma explicação sobre o que é uma mensagem de phishing e possíveis objetivos de atacantes;
• Os riscos de se interagir com um e-mail de phishing, e o que pode acontecer a partir de um clique;
• Uma explicação sobre potenciais partes adversárias, e como muitos ataques não são direcionados a um alvo específico;
• Discussões sobre próximos passos que a pessoa-alvo e a organização podem tomar para aumentar a sua segurança.

Recursos de aprendizagem