Os mediáticos ataques informáticos a empresas como a British Airways e a Marriott são apenas um pequeno excerto de uma longa lista de ataques de roubo de dados de milhões de utilizadores nos últimos anos.
A rápida evolução da tecnologia, especialmente no domínio da Web, não se traduz apenas em competitividade, mas também num aumento de risco. Em 2018, os ataques de roubo de dados cresceram 424% e análises recentes demonstram que 92% das aplicações Web contém fraquezas de cibersegurança que podem ser exploradas por atacantes. Para melhor compreendermos este panorama e as tendências da indústria, é útil dissecarmos as principais ameaças e potenciais soluções.
Ataques à Cadeia de Valor da Web
Atualmente, 67% do código das aplicações Web provém de entidades terceiras. Pensemos em scripts para ferramentas como Google Analytics ou serviços de chat ao vivo. Grande parte destes não provém de empresas da dimensão da Google mas sim de pequenas empresas ou programadores individuais, que geralmente não têm bons sistemas de cibersegurança. Isto permite que atacantes infiltrem estes fornecedores de software e injetem código malicioso em scripts que são fornecidos a diversas empresas. Assim que este código malicioso é injetado, percorre a cadeia de valor desde o fornecedor até milhares de empresas, não sendo detetado por sistemas de segurança como firewalls por provir de uma fonte confiável.
Foi este o caso do ataque à Ticketmaster, em Junho de 2018, que resultou no roubo de 40,000 cartões de crédito através de um ataque à cadeia de valor denominado de Magecart. Desde então, contam-se milhares de vítimas deste tipo de ataque, entre as quais empresas como a Forbes.
A prevalência e crescimento destes ataques à cadeia de valor na Web provém em grande medida da imaturidade da segurança client-side. Tipicamente, as empresas associam roubo de dados à necessidade de investir na segurança do servidor, mas estes ataques não seguem esta abordagem. É crucial, assim, que as empresas protejam o código das suas aplicações Web e usem soluções de monitorização, para que possam detetar estes ataques em tempo real e prevenir o roubo de dados em massa.
Ataques Man-in-the-Browser na Banca
Tal como o seu nome indicia, estes ataques baseiam-se na capacidade de os atacantes intercetarem as ações de um utilizador que ocorrem num browser. Embora esta ameaça já remonte a 2007, com o trojan ZeuS, que causou 100 milhões de dólares em danos, têm recentemente surgido diversas variações destes trojans, que procuram especialmente roubar credenciais a utilizadores de plataformas bancárias na Internet.
Os utilizadores infetados por um destes trojans não têm qualquer visibilidade sobre a infeção. Deste modo, quando acedem à plataforma Web do seu banco, o ataque Man-in-the-Browser é capaz de capturar os códigos de acesso, bem como modificar o IBAN de destino numa transferência bancária – escondendo tudo isto do utilizador, pois a interface não revela estas alterações.
Novas investigações sobre este vetor de ataque denotam que uma nova geração de trojans Man-in-the-Browser é capaz de explorar fraquezas no client-side de aplicações Web. Nomeadamente, extensões de browsers infetadas são capazes de aceder, capturar e modificar os dados de qualquer página web que o utilizador visite.
Ataques de Cryptojacking
Com a explosão do mercado das criptomoedas, abriu-se a porta a valiosos ataques informáticos, nomeadamente o cryptojacking, que é hoje um dos mais prevalentes. Estes ataques consistem em ganhar acesso não autorizado aos computadores dos utilizadores, de modo a usar o seu poder de processamento para minerar criptomoedas a favor dos atacantes.
O maior ataque de criptojacking até à data usou ilicitamente a tecnologia Coinhive para minerar criptomoedas no valor de 260 milhões de euros, no espaço de um mês. Recentemente, variações desta ameaça exploraram ataques à cadeia de valor, inserindo o código malicioso em milhares de websites e usando o poder computacional dos seus utilizadores. Como estes ataques tipicamente exploram o ponto fraco de cibersegurança das empresas – o client-side – podem permanecer ativos e indetetados durante meses.
No final de contas, hoje é esta a grande ameaça de cibersegurança para empresas com aplicações Web – a falta de visibilidade e preparação face a ataques client-side. O rápido crescimento de serviços como streaming, E-Banking e E-Commerce traduz-se em novas oportunidades para os atacantes, tornando-se assim vital um investimento em proteção de código JavaScript e monitorização de páginas Web.
