BLOG

Como os maus atores exploram aplicativos com ataques

Miniatura de Frank Kyei-Manu
Frank Kyei-Manu
Publicado em 11 de outubro de 2022

Muitos dos aplicativos atuais são criados em clusters de contêineres de tamanho reduzido e implantados em muitos locais diferentes. Essa abordagem distribuída contribui tanto para o desempenho quanto para a resiliência. No entanto, isso também torna a proteção de aplicativos difícil e complexa.

Enquanto isso, ataques a aplicativos e seus ecossistemas são mais prevalentes e sofisticados.

Os cibercriminosos exploram regularmente vulnerabilidades de aplicativos e contornam facilmente muitos controles de segurança. À medida que as organizações buscam se tornar mais vigilantes e aumentar sua resiliência às ameaças em evolução, é necessário entender como os cibercriminosos pensam, operam e exploram aplicativos.

Os cibercriminosos seguem o dinheiro

Observe que os invasores em si não precisam ser tecnicamente sofisticados, pois há muitas ferramentas e serviços gratuitos que eles usam e compartilham rotineiramente entre si.

A psicologia deles, geralmente, é seguir o dinheiro. Em uma economia digital, isso significa mirar em aplicativos da web e móveis para explorar quaisquer vulnerabilidades e abusar da lógica do aplicativo para obter acesso.

Os cibercriminosos examinam continuamente as vulnerabilidades dos aplicativos e procuram por gateways de aplicativos abertos ou fracos. Aqui estão três tipos típicos de ataques (em ordem crescente de sofisticação e valor potencial do alvo):

  • Ataques comuns têm como alvo vulnerabilidades conhecidas, como aquelas indicadas no OWASP Top 10 .
  • Ataques de dia zero têm como alvo vulnerabilidades que não são conhecidas ou previstas.
  • Ataques persistentes avançados são campanhas sofisticadas que podem até ser patrocinadas pelo estado.

Também vale a pena notar que os ataques cibernéticos não têm como alvo apenas aplicativos da web e móveis, mas também infraestrutura de servidores, dados e dispositivos. Neste blog, estamos nos concentrando na aplicação e agora vamos nos aprofundar um pouco mais em alguns dos ataques mais comuns.

As aplicações são ricas em alvos

Os invasores exploram aplicativos porque eles são pontos de entrada para grandes quantidades de dados valiosos que os criminosos cibernéticos podem aproveitar para se tornarem armas e lucrarem.

As áreas que os hackers têm como alvo incluem o código do aplicativo em si, a infraestrutura do servidor na qual o aplicativo reside e complementos (como bibliotecas de código ou plug-ins) que trazem funcionalidades adicionais ao aplicativo.

De acordo com o Relatório de Proteção de Aplicativos de 2022 da F5 Labs, violações relacionadas ao acesso, incluindo phishing, preenchimento de credenciais e ataques de injeção, são os principais vetores de ataque, respondendo por aproximadamente 25% de todas as violações de aplicativos da web. Em segundo lugar vem o malware, que é responsável por 24% das violações de aplicativos da web. Como mencionado, o objetivo desses ataques a aplicativos é obter acesso aos seus dados mais valiosos da maneira mais fácil possível.

Os efeitos devastadores dos ataques de aplicativos

Vamos analisar rapidamente um cenário comum de um ataque de injeção básico. Tudo começa com o invasor lançando um conjunto de varreduras de reconhecimento automatizadas, aproveitando bots para ganhar escala enquanto procura por vulnerabilidades:

  1. O invasor identifica uma abertura, normalmente um portão ou ponto de acesso desprotegido em um aplicativo.
  2. Eles então exploram essa vulnerabilidade para injetar código malicioso (malware), estabelecendo uma presença a partir da qual podem executar comandos remotamente.
  3. Uma vez que o código malicioso esteja em execução, o invasor provavelmente buscará opções para obter mais acesso para fins de penetração mais profunda, comando e controle, reconhecimento ou espionagem, ou roubo.
  4. O aplicativo e os dados subjacentes agora estão comprometidos.

O cenário acima é notavelmente simples. Frequentemente, os ataques de injeção são muito mais sofisticados e ameaçadores. Imagine um invasor injetando um comando para excluir todos os dados do aplicativo, fazendo com que um produto ou serviço digital fique completamente inativo. Ou imagine se um comando expusesse uma tabela de banco de dados de cartão de crédito.

Esses tipos de ataques podem levar a resultados devastadores. Interrupções de aplicativos podem causar perda de receita e reputação, além de custar milhões de dólares em remediação. Para os consumidores, isso pode significar uma experiência ruim para o usuário ou pior: roubo de suas informações pessoais.

Compreendendo outros tipos comuns de ataque

Depois que um invasor viola um aplicativo, ele geralmente explora vulnerabilidades do navegador por meio de aplicativos da web. O objetivo pode ser roubar credenciais de usuários para posterior aquisição de conta, ou adquirir diretamente sessões de usuários em tempo real.

Eles também podem executar códigos maliciosos no navegador da vítima (geralmente chamado de formjacking) para enviar solicitações falsas que parecem vir do usuário genuíno. Isso pode ter implicações sérias tanto para indivíduos (cujas identidades são usadas para aberturas de contas ou solicitações de crédito fraudulentas) quanto para organizações (que muitas vezes são deixadas para absorver as perdas). Portanto, é fundamental que todos se protejam contra tentativas de phishing e nunca reutilizem senhas, seja para uso pessoal ou no trabalho.

Outro ataque amplamente utilizado é o de Negação de Serviço (DoS) , que inunda um aplicativo com solicitações automatizadas enviadas por bots para causar estresse e tornar o aplicativo lento ou, pior ainda, ineficaz. Ataques de negação de serviço distribuída (DDoS) originados de vários computadores (conhecidos como botnet) geralmente são ainda mais eficazes. Frequentemente, os nós (ou computadores) em uma botnet são dispositivos de consumidores infectados com malware. Isso só ressalta a importância de proteger os dispositivos contra malware e outros ataques cibernéticos.

Embora as motivações e abordagens de ataque dos cibercriminosos variem, uma compreensão básica desses tipos comuns de ataque e métodos de prevenção pode ser útil.

Todos têm um papel a desempenhar na defesa cibernética. No vídeo abaixo, compartilhamos algumas dicas de alto nível sobre como se proteger contra phishing, smishing e táticas gerais de engenharia social que criminosos costumam usar para explorar aplicativos.
 

A seguir, nesta série de quatro partes para o Mês de Conscientização sobre Segurança Cibernética, exploraremos mais a fundo como a F5 protege suas contas contra fraudes.

Parte 1: Como os aplicativos modernos são criados e implantados

Parte 2: (visualizando no momento)