RELATÓRIO SOBRE AMEAÇAS DE SEGURANÇA DE SITES EM 2013
PARTE 1
BEM-VINDO
Bem-vindo ao Relatório da
Symantec sobre ameaças de
segurança de sites em 2013.
A cada ano, publicamos um Relatório
sobre ameaças de segurança na
Internet ainda maior; este é um
subconjunto desse documento
que foca nas ameaças que afetam
seu site e seus negócios online.
Analisando o ano civil passado, ele
fornece uma boa visão do estado do
mundo online.
É importante saber como manter e ampliar a confiança
online, onde a reputação e o sucesso do seu negócio
muitas vezes são medidos pela confiança dos clientes
na segurança do seu site. Com essa finalidade, a
certificação SSL/TLS tem sido o segredo para a
confiança na Internet por mais de uma década, e
continuará sendo no que se refere ao fornecimento
dos mais altos níveis de proteção contra o aumento
de ameaças à segurança cibernética. E, ainda que a
tecnologia realmente seja sofisticada e de ponta, a
meta é simples: tornar a Internet mais segura para a
realização de transações comerciais para você, seus
clientes e todos aqueles com quem você interage online.
Use este documento como referência para entender o
panorama de ameaças e como você pode proteger a sua
empresa e a sua infraestrutura.
E, para obter mais informações, entre em
contato conosco pelo telefone +1 650-436-3400
ou visite o site Symantec-wss.com.
2
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
INTRODUÇÃO
A Symantec estabeleceu algumas
das mais abrangentes fontes de
dados do mundo sobre ameaças na
Internet, com a Symantec™ Global
Intelligence Network, composta por
aproximadamente 69 milhões de
sensores de ataque que registram
milhares de eventos por segundo.
Essa rede monitora a atividade de
ameaças em mais de 157 países
e territórios por meio de uma
combinação de produtos e serviços
da Symantec, como o Symantec
DeepSight™ Threat Management
System, o Symantec™ Managed
Security Services, as Symantec
Website Security Solutions e os
produtos do consumidor da Norton™,
além de outras fontes de dados de
terceiros.
3
Além disso, a Symantec mantém um dos bancos
de dados de vulnerabilidades mais abrangentes do
mundo, consistindo atualmente em mais de 51.644
vulnerabilidades registradas (cobrindo mais de duas
décadas) por mais de 16.687 fornecedores que
representam mais de 43.391 produtos.
Dados de spam, phishing e malware são capturados por
uma variedade de fontes, incluindo a Symantec Probe
Network, um sistema com mais de 5 milhões de contas
falsas; o Symantec.cloud e várias outras tecnologias
de segurança da Symantec. A Skeptic™, a tecnologia
heurística e patenteada do Symantec.cloud, é capaz
de detectar ameaças direcionadas novas e sofisticadas
antes que elas cheguem às redes dos clientes. Mais de
três bilhões de mensagens de e-mail e mais de 1,4 bilhão
de solicitações da Web são processadas a cada dia, em
14 data centers. A Symantec também coleta informações
de phishing por meio de uma ampla comunidade
antifraude composta por empresas, fornecedores de
segurança e mais de 50 milhões de consumidores.
Esses recursos oferecem aos analistas da Symantec
fontes de dados sem igual, com as quais eles podem
identificar, analisar e fornecer comentários embasados
sobre as tendências de ataques, atividades de código
mal-intencionado, phishing e spam. O resultado é o
Relatório sobre Ameaças de Segurança na Internet,
publicado pela Symantec todos os anos, que fornece
a empresas de todos os portes, e também aos
consumidores, as informações essenciais para que
protejam seus sistemas com eficácia agora e no futuro.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
RESUMO EXECUTIVO
As tendências mais importantes de 2012 foram:
As pequenas empresas são o caminho de
menor resistência para os invasores
Os dados do ano passado deixaram claro que qualquer
empresa, independentemente de seu porte, é um alvo
potencial para os invasores. Não é uma casualidade. Em
2012, 50 por cento de todos os ataques direcionados
foram voltados para empresas com menos de 2.500
funcionários. Na verdade, a maior área de crescimento
de ataques direcionados em 2012 foram empresas com
menos de 250 funcionários; 31 por cento de todos os
ataques miraram esse alvo.
Essa notícia é especialmente ruim porque, com base
em pesquisas realizadas pela Symantec, as pequenas
empresas acreditam ser imunes aos ataques de que são
alvos. No entanto, o dinheiro roubado de uma pequena
empresa é tão fácil de gastar quanto o dinheiro roubado
de uma grande empresa. E, ainda que as pequenas
empresas possam achar que não possuem nada que
um invasor direcionado possa roubar, elas esquecem
que mantêm informações do cliente, criam propriedade
intelectual e guardam dinheiro no banco. Ainda que se
possa argumentar que as recompensas por atacar uma
pequena empresa sejam menores do que pode ser obtido
de uma grande empresa, isso é mais que compensado
pelo fato de que muitas pequenas empresas
normalmente são menos cuidadosas em relação às
suas defesas cibernéticas. A atividade criminal muitas
vezes ocorre por questões de oportunidade. No caso dos
crimes cibernéticos, essa oportunidade parece ocorrer
com pequenas empresas.
Pior ainda, a falta de práticas de segurança adequadas
nas pequenas empresas ameaça a todos nós. Invasores
desencorajados pelas defesas de uma grande empresa
muitas vezes optam por violar as defesas menores de
uma pequena empresa que possua uma relação de
negócios com o alvo final do invasor, que usa a empresa
menor como trampolim para atingir a maior.
Além disso, pequenas empresas e organizações podem
se tornar joguetes em ataques mais sofisticados.
Estimuladas por toolkits de ataque, em 2012 o número
de ataques baseados na Web aumentou em um
4
terço, e muitos desses ataques se originaram de sites
comprometidos de pequenas empresas. Esses ataques
maciços aumentam o risco de infecção para todos
nós. Mas, ainda de forma mais abominável, conforme
relatado no nosso white paper sobre o Elderwood no ano
passado, os sites de pequenas empresas e organizações
estão sendo usados até em ataques direcionados.
Suplementando seus ataques de phishing, gangues de
espionagem cibernética agora sequestram esses sites,
aguardando a visita de seus alvos para poderem infectálos. Esse tipo de ataque, chamado de “watering hole”
(poço d’água), é outra maneira que os invasores têm de
usar a fraca segurança de uma entidade para destruir a
forte segurança de outra.
Autores de malware agem como Big
Brother
Se você acha que alguém está violando sua privacidade
online, provavelmente você está certo. Cinquenta por
cento dos malwares para dispositivos móveis criados em
2012 tentaram roubar nossas informações ou rastrear
nossos movimentos. Independentemente de estarem
atacando nossos computadores, nossos celulares
ou nossas redes sociais, os criminosos cibernéticos
querem lucrar nos espionando. Seu objetivo final é fazer
dinheiro. Seu método é descobrir nossas informações
bancárias, os números de telefone e os endereços de
e-mail de nossos amigos e contatos comerciais, nossas
informações pessoais e até mesmo se passarem por nós
roubando nossa identidade.
Mas o exemplo mais nefasto de os autores de malware
saberem tudo sobre nós é com ataques direcionados.
Para criar ataques direcionados bem-sucedidos,
é preciso que os invasores nos investiguem. Eles
pesquisarão nossos endereços de e-mail, nosso
emprego, nossos interesses profissionais e até as
conferências de que participamos e os sites que
frequentamos. Todas essas informações são compiladas
para iniciar um ataque direcionado bem-sucedido.
Após serem instaladas em nossos dispositivos, as
ferramentas do invasor são programadas para obter o
máximo possível de dados. Ataques direcionados não
descobertos podem coletar anos de nossos e-mails,
arquivos e informações de contato.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
RESUMO EXECUTIVO
Essas ferramentas também possuem a capacidade de
registrar nossos toques de tecla, de exibir nossas telas
de computador e ligar os microfones e câmeras dos
nossos computadores. Invasores direcionados realmente
agem como uma encarnação do Big Brother de George
Orwell.
Os alvos mais atacados em 2012 foram trabalhadores do
conhecimento que criam a propriedade intelectual que
os invasores desejam (27 por cento de todos os alvos
em 2012) e trabalhadores de vendas (24 por cento em
2012). O interesse em atingir o CEO de uma organização
diminuiu em 2012; os ataques foram reduzidos em 8 por
cento.
Vulnerabilidades de dia zero disponíveis
quando os invasores precisam delas
As vulnerabilidades de dia zero continuam crescendo;
foram relatadas 14 em 2012. Nos últimos três anos,
muito do crescimento em vulnerabilidades de dia zero
usadas em ataques pode ser atribuído a dois grupos:
os autores do Stuxnet e a Gangue Elderwood. Em 2010,
o Stuxnet foi responsável por 4 das 14 vulnerabilidade
de dia zero descobertas. A Gangue Elderwood foi
responsável por 4 das 14 descobertas em 2012. A
Gangue Elderwood também usou ameaças de dia zero
em 2010 e 2011 e usou pelo menos uma delas em 2013.
Os invasores usam tantas vulnerabilidades de dia zero
quanto precisam, e não tantas quanto possuem. E o
Stuxnet e o Elderwood contribuem para um interessante
contraste na estratégia do seu uso. O Stuxnet continua
sendo a aberração, usando várias explorações de dia
zero em um único ataque. Pelo o que sabemos hoje em
dia, foi um único ataque direcionado a um único alvo.
As várias explorações de dia zero foram usadas para
garantir o sucesso de forma que não precisassem atacar
uma segunda vez.
5
Por outro lado, a Gangue Elderwood usava uma
exploração de dia zero em cada ataque, repetindo-a até
que a exploração se tornasse conhecida. Quando isso
ocorria, eles passavam para uma nova exploração. Isso
demonstra que a Gangue Elderwood possui um estoque
sem limites de vulnerabilidades de dia zero e é capaz de
passar para uma nova exploração assim que necessário.
Esperamos que não seja esse o caso.
A atribuição de autoria nunca é fácil
Alguns ataques direcionados não tentam se manter
ocultos. Um malware chamado Shamoon foi descoberto
em agosto. Sua finalidade era limpar os discos rígidos de
computadores de empresas de energia no Oriente Médio.
Um grupo autodenominado “Cutting Sword of Justice”
assumiu a responsabilidade. Em todo o ano de 2012,
ataques de DDoS foram lançados contra instituições
financeiras. Um grupo chamado Izz ad-Din al-Qassam
Cyber Fighters assumiu a responsabilidade.
Esses ataques e outros parecem ser casos clássicos
de hacktivismo. No entanto, comprovar a autoria e o
motivo não é fácil, mesmo quando alguém assume a
responsabilidade. Há muita especulação, uma parte pela
comunidade de inteligência, de que o Cutting Sword of
Justice e o Qassam Cyber Fighters são fachadas de um
estado-nação. Complicando ainda mais o que parecia ser
simples hacktivismo, existe o alerta do FBI às instituições
financeiras de que alguns ataques de DDoS estão, na
verdade, sendo usados como “distração”. Esses ataques
foram lançados antes ou depois que os criminosos
cibernéticos se envolveram em uma transação não
autorizada e são uma tentativa de impedir a descoberta
de fraudes e evitar tentativas de interrompê-las.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
CRONOLOGIA DA
SEGURANÇA EM 2012
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
CRONOLOGIA DA SEGURANÇA EM 2012
01
Janeiro
2012
02
Fevereiro
2012
Violação de dados:
São roubados 24 milhões de identidades por violação de dados da empresa de vestuário
Zappos.
Código mal-intencionado:
É descoberto um scam envolvendo plug-ins de navegador mal-intencionados para
Firefox e Chrome.
Botnet:
O botnet Kelihos retorna, quatro meses depois de eliminado.
Mobilidade:
A Google anuncia o Google Bouncer, um aplicativo de scanner para o mercado Google Play.
Botnet:
Pesquisadores eliminam nova variante do botnet Kelihos, que reaparece em novo formato,
ainda no mesmo mês.
03
Março
2012
Invasões:
Seis indivíduos são presos como supostos membros do grupo de hacking LulzSec.
Botnet:
Pesquisadores de segurança desativam os principais servidores do botnet Zeus.
Violação de dados:
Um fornecedor de processamento de pagamentos de várias empresas de cartão de
crédito conhecidas, incluindo Visa e MasterCard, foi comprometido, expondo detalhes de
1,5 milhão de contas1.
Mobilidade:
É descoberto um scam não baseado em malware envolvendo a gangue Opfake cujo alvo
são os usuários de iPhone.
04
Abril
2012
05
Maio
2012
7
Mac:
Mais de 600.000 computadores Mac são infectados pelo Cavalo de Troia OSX.Flashback
por meio de uma exploração de Java não corrigida.
Mac:
É descoberto um segundo Cavalo de Troia para Mac, o OSX.Sabpab, que também usa
explorações de Java para comprometer um computador.
Redes sociais:
São descobertos scammers que utilizam as redes sociais Tumblr e Pinterest.
Malware:
É descoberta a ameaça de espionagem cibernética W32.Flamer.
Autoridades de certificação:
A Comodo, uma grande autoridade de certificação, autentica e emite um certificado
legítimo de assinatura de código para uma organização fictícia administrada por
criminosos cibernéticos. Isso não foi descoberto até agosto.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
CRONOLOGIA DA SEGURANÇA EM 2012
06
Junho
2012
Violação de dados:
O LinkedIn sofre violação de dados, expondo milhões de contas.
Malware:
É descoberto um Cavalo de Troia de nome Trojan.Milicenso que faz com que impressoras
em rede imprimam grandes tarefas de impressão contendo caracteres ilegíveis.
Botnet:
Pesquisadores de segurança desativam o botnet Grum.
Malware:
É descoberto um malware para Windows na App Store da Apple, incorporado em um
aplicativo.
07
Julho
2012
Mac:
Uma nova ameaça para Mac, chamada OSX.Crisis, abre uma “porta dos fundos” em
computadores comprometidos.
Botnet:
São desligados os servidores de DNS mantidos pelo FBI para proteger computadores
previamente infectados com o Cavalo de Troia DNSChanger.
Malware:
É descoberto, após dois anos em atividade, um Cavalo de Troia usado para roubar
informações do governo japonês.
Malware:
É descoberta uma segunda ameaça relacionada a impressoras, o chamado W32.Printlove,
que faz com que seja impressa uma grande quantidade de lixo.
Invasões:
O serviço de notícias Reuters sofre uma série de invasões que resultam em postagem de
noticiários falsos no site e na conta do Twitter.
08
Agosto
2012
Malware:
É descoberto o malware Crisis, cujo objetivo era atingir imagens de máquinas virtuais
VMware®.
Malware:
É descoberto o W32.Gauss. O escopo da ameaça está concentrado no Oriente Médio, de
forma similar ao W32.Flamer.
Autoridades de certificação:
O incidente de maio da Comodo é descoberto e detalhes são publicados.
8
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
CRONOLOGIA DA SEGURANÇA EM 2012
Malware:
É descoberta uma nova versão do toolkit de ataque Blackhole, o Blackhole 2.0.
09
Setembro
2012
Botnet:
Pesquisadores de segurança desativam um botnet promissor, chamado “Nitol”.
Mobilidade:
É descoberta uma vulnerabilidade na versão do Android™ da Samsung que permite que
um telefone seja apagado remotamente.
DDoS:
O FBI emite um alerta sobre possíveis ataques de DDoS contra instituições financeiras
como parte de uma técnica de “distração”2.
10
Outubro
2012
11
Novembro
2012
12
Dezembro
2012
9
Malware:
É descoberta uma ameaça de ransomware distribuída por mensagem instantânea do
Skype.
Violação de dados:
São roubados dados de clientes dos teclados para pagamento da Barnes & Noble.
São descobertos invasores usando um ataque de DDoS como distração com a finalidade
de obter informações que permitiriam que, mais tarde, eles roubassem dinheiro de
determinado banco.
Invasões:
Foram descobertos arrombadores que usavam uma exploração conhecida em uma marca
de fechaduras de hotéis para invadir os quartos.
Malware:
Foi descoberto o Cavalo de Troia Infostealer.Dexter, cujo alvo eram sistemas de ponto de
venda.
Invasões:
Invasores exploram uma vulnerabilidade do Tumblr, disseminando spam por toda a rede
social.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
2012 EM NÚMEROS
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
2012 EM NÚMEROS
42% DE AUMENTO
Ataques direcionados em 2012
604.826
NÚMERO MÉDIO DE IDENTIDADES EXPOSTAS
Por violação em 2012
NOVAS VULNERABILIDADES
6.253 4.989 5.291
2010
2011
2012
VULNERABILIDADES DE DISPOSITIVOS MÓVEIS
315
415
163
2010
11
2011
2012
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
2012 EM NÚMEROS
SPAM DE E-MAIL GLOBAL ESTIMADO POR DIA (EM BILHÕES)
TAXA GERAL DE SPAM
62
2010
89%
42
2011
30
75%
2012
% DE TODO O MALWARE
DE E-MAIL COMO URL
% DE TODO O SPAM COM
ENCONTROS E APELO SEXUAL
3%
2010
15% 55%
2011
2012
69%
24% 39% 23%
2010
2011
2012
TAXA GERAL DE VÍRUS DE E-MAIL, 1 EM:
2010
282
239
2011
2012
291
TAXA GERAL DE PHISHING DE E-MAIL, 1 EM:
2010
442
299
2011
2012
12
414
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
2012 EM NÚMEROS
BOT ZOMBIES (EM MILHÕES)
4,5
2010
2011
2012
3,1
3,4
NOVAS VULNERABILIDADES DE DIA ZERO
14
2010
ATAQUES NA WEB
BLOQUEADOS POR DIA
190.370 2011
247.350 2012
58%
8
14
2011
2012
NOVOS DOMÍNIOS
MAL-INTENCIONADOS
E EXCLUSIVOS NA WEB
2010
43.000
2011
55.000
2012
74.000
AUMENTO DAS FAMÍLIAS
DE MALWARE PARA
DISPOSITIVOS MÓVEIS
2011–2012
13
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
ATAQUES DIRECIONADOS,
HACKTIVISMO
E VIOLAÇÕES DE DADOS
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
ATAQUES DIRECIONADOS,
HACKTIVISMO E VIOLAÇÕES DE DADOS
Ataques de acordo com o porte da organização visada
Fonte: Symantec
50% 2.501+
50% 1 a 2.500
Mais de 2.501
funcionários
50%
9%
1.501 a 2.500
2%
3%
1.001 a 1.500
501 a 1.000
5%
251 a 500
13%
de aumento
31%
1 a 250
18%
em 2011
2012
Organizações com mais de 2.501 funcionários foram as
mais visadas, com 50 por cento dos ataques direcionados
destinados a organizações desse porte, quase
exatamente o mesmo percentual de 2011. O volume de
ataques direcionados contra organizações com mais de
2.501 funcionários dobrou em comparação com 2011,
ainda que seu percentual geral permaneça o mesmo, 50
por cento.
15
Ataques direcionados destinados a pequenas empresas
(1 a 250 funcionários) foram responsáveis por 31 por
cento de todos os ataques, em comparação com 18 por
cento em 2011, um aumento de 13 pontos percentuais.
O volume de ataques contra PMEs triplicou, se
comparado com 2011, resultando quase no dobro do
percentual, que variou de 18 por cento para 31 por cento.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
ATAQUES DIRECIONADOS,
HACKTIVISMO E VIOLAÇÕES DE DADOS
A grande maioria (88 por cento) das violações de dados relatadas se deveu a ataques externos. Independentemente
de serem perdas de laptops ou de pen drives, roubo premeditado de dados por funcionários ou acidentes, a ameaça
interna também continua alta. Por exemplo, o Information Commissioner’s Office do Reino Unido multou e processou
mais empresas devido a falhas internas do que devido a ataques externos. A maioria das PMEs deveria se preocupar
com o pessoal da contabilidade tanto quanto se preocupa com hackers anônimos.
SOMA DE IDENTIDADES VIOLADAS (MILHÕES)
35
MILHÕES DE VIOLAÇÕES
EM JANEIRO
35
30
30
25
25
20
20
15
15
10
10
5
5
0
JAN
JAN
FEB
FEV
MAR
MAR
APR
ABR
MAY
MAI
JUN
JUN
JUL
JUL
AUG
AGO
SEP
SET
OCT
OUT
INCIDENTES
NOV
NOV
DEC
DEZ
NÚMERO DE INCIDENTES
31
0
SOMA
Cronograma de violações de dados
Janeiro enfrentou o maior número de roubo de identidades de 2012, devido a uma violação de mais de 24 milhões de
identidades, enquanto os números do restante do ano flutuaram na maior parte do tempo entre um milhão e 12 milhões
de identidades roubadas por mês.
O número médio de violações para a primeira metade do ano foi 11, e subiu para 15 na segunda metade do ano: um
aumento de 44 por cento.
16
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
ATAQUES DIRECIONADOS,
HACKTIVISMO E VIOLAÇÕES DE DADOS
Custo médio per capita de uma
violação de dados3
Principais causas de violações de
dados em 2012
Fonte: Symantec
Fonte: Symantec
0
10
País
Custo médio per capita
EUA
US$ 194
Dinamarca
US$ 191
França
US$ 159
Austrália
US$ 145
Japão
US$ 132
Ucrânia
US$ 124
Itália
US$ 102
Indonésia
US$ 42
A US$ 194, os Estados Unidos são o país com
o custo mais alto per capita, com a Dinamarca
ocupando o segundo lugar.
Análise
Guerra cibernética, sabotagem cibernética
e espionagem industrial
Ataques direcionados se tornaram uma parte
estabelecida do panorama de ameaças, e a proteção
contra eles agora é uma das principais questões de
diretores de segurança das informações e gerentes de TI.
Ataques direcionados são usados comumente para fins
de espionagem industrial com a finalidade de ganhar
acesso às informações confidenciais de um sistema de
computador ou rede comprometido. Eles são raros, mas
potencialmente os ataques mais difíceis contra os quais
se defender.
É difícil atribuir um ataque a um grupo específico ou
a um governo sem provas suficientes. A motivação
e os recursos do invasor algumas vezes sugerem a
possibilidade de que ele seja patrocinado por um Estado,
mas descobrir uma prova concreta é difícil. Muitas vezes,
ataques que podem ser patrocinados por um Estado mas
que parecem raros em comparação ao crime cibernético
comum ganham mais notoriedade. Eles podem estar
entre os mais sofisticados e prejudiciais desses tipos
de ameaças. Os governos estão, sem dúvida, devotando
mais recursos a capacidades defensivas e ofensivas de
guerra cibernética.
17
20
30
40
50
40%
Hackers
23%
23%
8%
6%
Tornadas públicas
por acidente
Roubo ou perda
de computador
ou unidade
Roubo interno
Desconhecidas
1%
Fraude
Os hackers continuam sendo responsáveis pelo maior
número de violações de dados, o que representa
40 por cento de todas as violações.
Em 2012, ainda era improvável que a maioria das
empresas enfrentasse esse tipo de ataque, e o maior risco
vinha de ataques direcionados mais prevalentes, criados
para fins de espionagem industrial. Cada vez mais, as
pequenas e médias empresas (PMEs) encontram-se na
linha de frente desses ataques direcionados, pois elas
têm menos recursos para combater a ameaça, e um
ataque bem-sucedido aqui pode ser usado depois como
trampolim para outros ataques contra uma organização
maior da qual elas possam ser fornecedoras.
Malwares, como o Stuxnet em 2010, o Duqu em 2011
e o Flamer e o Disttrack em 2012, demonstram níveis
crescentes de sofisticação e perigo. Por exemplo, o
malware usado em ataques Shamoon em uma empresa
de petróleo na Arábia Saudita conseguiu apagar discos
rígidos4.
As mesmas técnicas usadas por criminosos cibernéticos
para espionagem industrial também podem ser usadas
por Estados e seus representantes para ataques
cibernéticos e espionagem política. Ataques sofisticados
podem sofrer engenharia reversa e ser copiados de
modo que técnicas iguais ou semelhantes sejam usadas
em ataques menos discriminados. Um outro risco é que
o malware desenvolvido por sabotagem cibernética pode
disseminar-se além do alvo pretendido e infectar outros
computadores, em uma espécie de dano colateral.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
ATAQUES DIRECIONADOS,
HACKTIVISMO E VIOLAÇÕES DE DADOS
Cronograma de ataques direcionados5
Fonte: Symantec
Ghostnet
Stuxnet
Ataques Nitro
Flamer & Gauss
• Março de 2009
• Operação de espionagem
cibernética em grande
escala
• Junho de 2010
• Julho a outubro
de 2011
• Contra o setor
químico
• Maio a agosto de 2012
• Ameaça altamente
sofisticada
• Oriente Médio como alvo
2009
Hydraq
• Janeiro de 2010
• Operação “Aurora”
2010
2011
Ataques contra o
RSA
Ataques
Sykipot/Taidoor
• Agosto de 2011
• Setor de defesa e
governos como alvo
Ameaças Persistentes Avançadas (APT)
e ataques direcionados
Os ataques direcionados combinam engenharia
social e malwares para atingir indivíduos em
empresas específicas, com o objetivo de roubar
informações confidenciais, como segredos comerciais
ou dados de clientes. Muitas vezes eles usam
malwares personalizados e algumas vezes exploram
vulnerabilidades de dia zero, o que os torna mais difíceis
de detectar e potencialmente mais infecciosos.
Os ataques direcionados usam uma variedade de
vetores como seu principal mecanismo de entrega,
como malwares transmitidos por e-mail ou downloads
não solicitados em um site infectado que costume
ser visitado por um destinatário visado, uma técnica
conhecida como ataque ”watering hole” (poço d’água).
As APTs muitas vezes são altamente sofisticadas e mais
invasivas que os ataques tradicionais, contando com
técnicas de invasão altamente personalizadas. Ainda que
os ataques direcionados estejam cada vez mais comuns,
os recursos necessários para iniciar uma campanha de
ameaça persistente avançada significam que eles estão
limitados a grupos bem capitalizados que ataquem alvos
de alto valor.
18
2012
Projeto Elderwood
• Setembro de 2012
• Alvo principal: defesa. Mesmo
grupo identificado usando
Hydraq (Aurora) em 2009
A Symantec percebeu um aumento de 42 por cento na
taxa de ataques direcionados em 2012 em comparação
com os 12 meses anteriores. Ainda que o setor de
manufatura tenha se tornado o principal alvo, com 24
por cento dos ataques, também observamos uma ampla
gama de empresas sofrendo ataques —não somente
grandes empresas, mas também cada vez mais PMEs.
Em 2011, 18 por cento dos ataques foram direcionados
a empresas com menos de 250 funcionários, mas, até o
fim de 2012, esses ataques representaram 31 por cento.
Ataques de engenharia social e ataques
indiretos
Os invasores podem estar visando empresas menores na
cadeia de suprimentos porque elas são mais vulneráveis,
têm acesso a propriedade intelectual importante e
oferecem um trampolim para organizações maiores.
Além disso, elas também são visadas por si próprias.
Elas são mais numerosas que as empresas de grande
porte, possuem dados valiosos e muitas vezes estão
menos protegidas do que as empresas maiores. Por
exemplo, um invasor pode se infiltrar em um fornecedor
menor para poder usá-lo como trampolim para uma
empresa maior. Ele pode usar informações pessoais,
e-mails e arquivos de alguém em uma empresa menor
para criar um e-mail bem elaborado cujo destinatário
esteja na empresa-alvo.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
ATAQUES DIRECIONADOS,
HACKTIVISMO E VIOLAÇÕES DE DADOS
Processo de injeção na Web usado
em ataques “watering hole”6
Fonte: Symantec
1. Definir perfil
O invasor define o perfil das vítimas e o tipo de sites que
frequentam.
2. Testar
O invasor então testa esses sites em relação a
vulnerabilidades.
3. Comprometer
Em 2012, percebemos um grande aumento nos ataques
a pessoas em funções de P&D e vendas em comparação
com o ano anterior. Isso sugere que os invasores estejam
jogando uma rede maior e almejando posições situadas
abaixo do nível executivo para obter acesso às empresas.
O aumento em ataques tem sido especialmente alto
nessas duas áreas. Ainda assim, ataques a outras áreas,
como funções de back-office, continuam sendo uma
ameaça significativa.
Os invasores continuam usando técnicas de engenharia
social em ataques direcionados. Por exemplo,
mensagens representando oficiais da União Europeia,
mensagens que parecem vir de órgãos de segurança nos
Estados Unidos e que visam a outros representantes
do governo, ou mensagens com anúncios sobre
novos planos de aquisição de potenciais clientes do
governo, como a Força Aérea Norte-Americana. Isso
mostra pesquisa extensa, compreensão sofisticada da
motivação dos destinatários e torna muito mais provável
que as vítimas abram os anexos que contêm o malware.
Quando os invasores descobrem um site que pode estar
comprometido, eles injetam JavaScript ou HTML, redirecionando Ataques “watering hole”
a vítima a um site separado (que hospeda o código de
A maior inovação em ataques direcionados foi o
exploração) em busca da vulnerabilidade escolhida.
surgimento dos ataques “watering hole” (poço d’água).
Isso envolve o comprometimento de um site legítimo
que uma determinada vítima pode visitar e utilizar
para instalar malware em seu computador. Por
exemplo, este ano vimos uma linha de código em um
script de rastreamento7 no site de uma organização
de direitos humanos que tinha a grande possibilidade
de comprometer um computador. Ela explorava uma
O site comprometido agora
nova vulnerabilidade de dia zero no Internet Explorer®
está “aguardando” para
para infectar visitantes. Nossos dados demonstraram
infectar, com uma exploração
que, em 24 horas, pessoas de 500 grandes empresas e
de dia zero, a vítima definida
organizações do governo visitaram o site e correram o
— exatamente como um
leão aguarda diante de um
risco de infecção. Os invasores desse caso, conhecidos
poço onde suas presas
como Gangue Elderwood, usaram ferramentas
bebem água.
sofisticadas e exploraram vulnerabilidades de dia zero
em seus ataques, indicando uma equipe com bons
recursos respaldada por uma grande organização
criminal ou um Estado-nação8.
4. Aguardar
19
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
RECOMENDAÇÕES
Suponha que você seja um alvo
Pequeno porte e anonimato relativo não são
defesas contra os ataques mais sofisticados.
Ataques direcionados ameaçam tanto pequenas
como grandes empresas. Os invasores também
podem usar o seu site como meio de atacar
outras pessoas. Se você se considerar um alvo
em potencial e aumentar suas defesas contra as
ameaças mais sérias, aumentará automaticamente
sua proteção contra outras ameaças.
Utilize a defesa exaustivamente
Enfatize sistemas defensivos múltiplos,
sobrepostos e com suporte mútuo para se
proteger contra falhas de ponto único em qualquer
tecnologia ou método de proteção específicos.
Isso deve incluir a implantação, em toda a rede,
de firewalls atualizados com frequência, além
de antivírus de gateway, detecção de invasões,
sistemas de proteção contra invasões e soluções
de gateways de segurança na Web. Considere
implementar o ‘Always on SSL’ (https persistente
20
do logon ao logoff) para criptografar dados
transmitidos via sites. Os pontos de extremidade
devem ser protegidos por mais que uma simples
tecnologia antivírus baseada em assinatura.
Instrua os funcionários
Conscientize melhor os funcionários sobre os
riscos da engenharia social e contra-ataque com
o treinamento da equipe. Da mesma forma, bons
treinamentos e procedimentos podem reduzir o
risco de perda acidental de dados e outros riscos
internos. Treine a equipe sobre o valor dos dados e
sobre como protegê-los.
Previna-se contra a perda de dados
Evite a perda de dados e a exfiltração com software
de proteção contra perda de dados na sua rede. Use
a criptografia para proteger os dados em trânsito,
seja online ou via armazenamento removível.
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
REFERÊNCIAS
1. http://krebsonsecurity.com/2012/03/mastercard-visa-warn-of-processor-breach/
2. http://www.ic3.gov/media/2012/FraudAlertFinancialInstitutionEmployeeCredentialsTargeted.pdf
3. http://www.symantec.com/content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-global.en-us.pdf
4.http://www.symantec.com/connect/blogs/shamoon-attacks
5. Internet Security Threat Report, abril de 2012, “Targeted Attacks”, p. 16
6. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-elderwood-project.pdf
7. http://www.symantec.com/connect/blogs/cve-2012-1875-exploited-wild-part-1-trojannaid
8. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-elderwood-project.pdf
21
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
GUIA DE REFERÊNCIA RÁPIDA DO WSS
Extended Validation SSL
• Criptografia de até 256 bits
No caso de empresas com marcas conhecidas, o uso de
Certificados Extended Validation (EV) SSL provou ser
uma defesa eficaz contra scams de phishing, sendo um
dos meios mais efetivos de criar confiança online. Para
qualquer negócio online, o uso de SSL com EV pode ter
grande impacto no resultado final.
•O Selo Norton Secured com o recurso Symantec
Seal-in-Search maximiza a taxa de cliques e as
conversões
Principais recursos dos Certificados
Symantec Extended Validation:
• Suporte 24 horas por dia, 7 dias por semana
•O Extended Validation ativa a barra de endereço verde
em navegadores da Web, confirmando que o site
passou por um processo abrangente de verificação
•A avaliação de vulnerabilidades baseada na Web
e a verificação diária de malware no site ajudam a
proteger o seu site de ataques baseados na Web
•O Symantec SSL Assistant gera CSRs e instala
certificados automaticamente
•Além disso: Verificador de instalação de SSL,
revogação e substituição gratuitas e garantia de
US$ 1.500.000,00.
Obtenha a barra de endereço verde.
https://www.imagineyoursitehere.com
Identified by Norton
A barra do status de segurança alterna entre o nome de sua
organização e a autoridade de certificação que executou a sua
autenticação Extended Validation.
Selo Norton Secured:
Transforme os visitantes em clientes leais exibindo o selo mais reconhecido e valorizado pelos consumidores online.
O Selo Norton Secured é exibido mais de 750 milhões de vezes a cada dia, em sites de mais de 170 países em todo o
mundo.
Symantec AdVantage
O Symantec AdVantage monitora seu site em tempo real e é capaz de identificar conteúdo malicioso assim que ele se
infiltra em seu site. Você não precisa mais aguardar o tráfego diminuir de repente para descobrir que entrou em uma
lista negra; você pode bloquear a rede em que o anúncio apareceu e manter a segurança dos seus clientes e de sua
reputação.
22
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
SOBRE A SYMANTEC
A Symantec, uma líder global em soluções de segurança, backup e
disponibilidade, protege informações no mundo inteiro. Nosso produtos e
serviços inovadores protegem pessoas e informações em qualquer ambiente,
do menor dispositivo móvel até data centers empresariais e sistemas
baseados em nuvem. Nossa experiência em proteção de dados, identidades
e interações, reconhecida mundialmente, fornece aos nossos clientes a
confiança em um mundo conectado.
Para obter mais informações, visite www.symantec.com/pt/br ou conectese à Symantec em go.symantec.com/socialmedia.
Mais informações
• Ameaças globais em Symantec.cloud: http://www.symanteccloud.com/en/gb/globalthreats/
• Resposta de segurança da Symantec: http://www.symantec.com/pt/br/security_response/
•Página de recursos do Relatório sobre Ameaças de Segurança na Internet:
http://www.symantec.com/threatreport/
• Norton Threat Explorer: http://us.norton.com/security_response/threatexplorer/
• Norton Cybercrime Index: http://br.norton.com/cybercrimeindex/
• Symantec Website Security Solutions: www.symantec-wss.com
23
Symantec Website Security Solutions
Relatório sobre ameaças de segurança de sites em 2013
SIGA-NOS
COMPARTILHE
Para obter informações de escritórios locais específicos
e números de contato, visite nosso site.
Para conversar com um Especialista em Produtos,
ligue para +1 650-436-3400
Symantec Brasil Headquarters
Av. Dr. Chucri Zaidan, 920 - 12o andar
Market Place Tower
São Paulo, SP, Brasil
www.symantec.com/pt/br/ssl
© 2014 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo da marca de verificação e o
logotipo do Norton Secured são marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos Estados Unidos e
em outros países. Outros nomes podem ser marcas comerciais dos respectivos proprietários.
24
Symantec Website Security Solutions
Relatório sobre ameaças
de segurança
sites em
2013
Symantec
WebsitedeSecurity
Solutions
Relatório sobre ameaças de segurança de sites em 2013