Caso I

Identifique, analise e detalhe detalhadamente no primeiro caso:

Como o evento poderia ter ocorrido?
Usar um ataque de phishing que é um método de enganá-lo para compartilhar senhas,
números de cartão de crédito e outras informações confidenciais se passando por uma
instituição confiável em uma mensagem de e-mail ou telefonema.
Para onde são enviados os dados comprometidos?
Uma vez que o índice e o arquivo de postagem tenham sido analisados.php nota-se que
os dados serão enviados para uma conta de e-mail
"ejercicio_modulo1@ciberinteligencia.es"; o mesmo que revive, por sua vez, os dados
de:
$message .= "E-mail: ".$_POST['username']."\n";
$message .= "Senha: ".$_POST['password']."\n";
$message .= "IP: ".$ip."\n";
Quais contas foram comprometidas?
As contas comprometidas são principalmente as da empresa por serem e-mails
corporativos entre elas no caso 1 não podemos identificar quais áreas, mas se
observarmos que as extensões corporativas tanto no Reino Unido quanto na Espanha e
que algumas de onde vieram os e-mails maliciosos que são da Alemanha poderiam ser
apenas e-mails criados para distrair a atenção. n.
Dentro dele as pessoas que receberam os e-mails
Como podemos identificá-los?
Para as extensões de e-mails corporativos
j.roman.stelso@ficticy.co.uk
m.wils.keicher@ficticy.de
l.martin.fierre@ficticy.es
Caso II

Identifique, analise e explique detalhadamente no segundo caso:

Como o evento poderia ter ocorrido?
Uma vez realizado o primeiro ataque e obtidos os dados necessários para acessar contas
de e-mail corporativas por meio de phishing, o invasor passa a abrir as contas do
departamento financeiro, além de permitir que eles revisem os pagamentos a serem
feitos e manipulem as informações.
Que método o invasor poderia usar para executar esse envio direcionado?
As redes sociais se tornaram um dos principais alvos de phishing graças às informações
gratuitas que o invasor encontrou para identificar as pessoas que trabalham dentro do
departamento financeiro
Nome: María Protector Fresco | E-mail: m.protector.fresco@ficticy.es | Cargo: Head de
Folha de Pagamento | Redes sociais utilizadas: Facebook, Twitter, Linkedin, Instagram.
Nome: Juan Philips Todobene | E-mail: j.philips.todobene@ficticy.es | Cargo:
Responsável por pagamentos e transferências | Redes sociais utilizadas: Facebook,
Linkedin, Infojobs.
Nome: Sofia Labial Guest | Email. s.labial.guest@ficticy.es | Cargo: Assistente de
Pagamento e Transferência | Redes sociais utilizadas: Facebook, Linkedin, Infojobs,
Tuenti.
Como mostra o caso, a maioria das autoridades usa redes sociais que fornecem
informações para os atacantes.
Como poderia ser usado?
Nos anos 2000, o phishing voltou sua atenção para a exploração de sistemas de
pagamento online. Tornou-se comum que os phishers visassem clientes de serviços
bancários e de pagamento online, alguns dos quais, de acordo com pesquisas
posteriores, foram corretamente identificados e associados ao banco que realmente
usavam. Da mesma forma, os sites de redes sociais se tornaram um alvo preferencial
para phishing, o que era atraente para os fraudadores porque os detalhes pessoais
registrados nesses sites são úteis para o roubo de identidade.
Uma nota relevante sobre esse tipo de ataque é "Em 2013, 110 milhões de registros de
clientes e cartões de crédito foram roubados de clientes da Target".
E o ataque que foi usado foi:
Spear phishing
Enquanto a maioria das campanhas de phishing envia e-mails em massa para o maior
número possível de pessoas, o spear phishing é um ataque direcionado. O spear
phishing tem como alvo uma pessoa ou organização específica, muitas vezes com
conteúdo personalizado para a vítima ou vítimas. Ele requer reconhecimento pré-ataque
para descobrir nomes, cargos, endereços de e-mail e afins. Os hackers pesquisam na
internet para relacionar essas informações com o que aprenderam sobre os colegas de
profissão do alvo, juntamente com os nomes e relacionamentos profissionais dos
principais funcionários de suas organizações. Com isso, o autor do phishing cria um e-
mail confiável.

Resumo do caso
A empresa é atacada por um dos ataques cibernéticos mais comuns, como o phishing,
que consiste em se passar pela identidade por meio de um e-mail, seja de uma entidade
ou pessoa, para que a vítima "pegue a isca" e entregue informações pessoais, como
senhas ou dados bancários. Neste caso, uma vez que o primeiro ataque foi feito, mais
vulnerabilidades foram quebradas, realizando o Spear phishing que sendo um ataque
direcionado conseguiu violar mais o sistema de e-mail da empresa e, assim,
conseguindo realizar o ataque ao departamento financeiro e, por sua vez, concedendo
pagamentos ou transferências para contas privadas antes que os funcionários possam
perceber que fizeram esses pagamentos para contas que não o fazem. eram de seus
fornecedores ou clientes.

Caso III

Identifique, analise e explique detalhadamente no terceiro caso:

Que tipo de ameaça foi sofrida?
A ameaça é WannaCrypt (também conhecido como WannaCry, WanaCrypt0r, WCrypt
ou WCRY) geralmente alavancar engenharia social ou e-mail como o principal vetor de
ataque, dependendo dos usuários para baixar e executar uma carga maliciosa. No
entanto, neste caso único, os autores do ransomware usaram código de exploração
disponível publicamente para a vulnerabilidade
Como o evento poderia ter ocorrido?
A ameaça chega como um Trojan conta-gotas que tem os seguintes dois componentes:
Um componente que tenta explorar a vulnerabilidade CVE-2017-0145 do SMB em
outros computadores
O ransomware conhecido como WannaCrypt
O conta-gotas tenta conectar os seguintes domínios usando a API InternetOpenUrlA():
www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com
www [.] ifferfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com
Se a conexão com os domínios for bem-sucedida, o conta-gotas não infecta mais o
sistema com ransomware ou tenta explorar outros sistemas para se espalhar; ele
simplesmente interrompe a execução. No entanto, se a conexão falhar, a ameaça
continua a remover o ransomware e cria um serviço no sistema.
Como o malware se espalha pela rede interna?
O mecanismo de propagação do WannaCrypt pega emprestado das explorações públicas
conhecidas do SMB, que armou esse ransomware regular com funcionalidades
semelhantes a worms, criando um vetor de entrada para máquinas ainda não corrigidas
mesmo depois que a correção ficou disponível.
Que vulnerabilidade pode ser explorada?
O WannaCry foi espalhado agressivamente usando a vulnerabilidade Windows
EternalBlue, ou MS17-010. "EternalBlue é um bug crítico no código do Windows da
Microsoft que é pelo menos tão antigo quanto o Windows XP. A vulnerabilidade
permite que invasores executem código remotamente criando uma solicitação para o
serviço de Compartilhamento de Arquivos e Impressoras do Windows", disse Ondrej
Vlcek, CTO da Avast, uma empresa que fornece soluções de segurança de
computadores.
Medidas de mitigação que podem ser tomadas nesses incidentes.
A maioria dos navegadores de Internet tem maneiras de verificar se um link é seguro,
mas a primeira linha de defesa contra phishing é o seu bom senso. Aprenda a reconhecer
os sinais de phishing e tente praticar computação segura sempre que verificar seu e-
mail, ler postagens do Facebook ou jogar seu jogo online favorito.
Mais uma vez, nosso Adam Kujawa propõe algumas das práticas mais importantes para
se manter seguro:
Não abra e-mails de remetentes desconhecidos.
Não clique em um link dentro de um e-mail, a menos que você saiba exatamente onde
ele o leva.
Para aplicar essa camada de proteção, se você receber um e-mail de uma fonte sobre a
qual não tem certeza, navegue manualmente até o link fornecido digitando o endereço
legítimo do site em seu navegador.
Localize o certificado digital do site.
Se você for solicitado a fornecer informações confidenciais, verifique se a URL da
página começa com "HTTPS" em vez de simplesmente "HTTP". O "S" significa
"seguro". Não é uma garantia de que um site é legítimo, mas a maioria dos sites
legítimos usa HTTPS porque é mais seguro. Sites HTTP, mesmo os legítimos, são
vulneráveis a hackers.
Se você suspeitar que um e-mail não é legítimo, selecione um nome ou parte do texto da
mensagem e leve-o a um mecanismo de pesquisa para ver se há algum ataque de
phishing conhecido usando os mesmos métodos.
Passe o mouse sobre o link para ver se ele é legítimo.
Como sempre, recomendamos o uso de alguma forma de software de segurança
antimalware. A maioria das ferramentas de segurança do computador tem a capacidade
de detectar quando um link ou anexo não é o que parece, portanto, mesmo que caia em
uma tentativa inteligente de phishing, você não acabará compartilhando suas
informações com as pessoas erradas.
Todos os produtos de segurança Malwarebytes Premium fornecem proteção robusta
contra phishing. Eles podem detectar sites fraudulentos e impedir que você os abra,
mesmo que você esteja convencido de que eles são legítimos.
Então, fique alerta e fique de olho em qualquer coisa suspeita.
Confira todos os nossos relatórios de phishing no Malwarebytes Labs.
Recomendações e plano de continuidade a serem feitos pela equipe de segurança.
Conscientizar os colaboradores para garantir que o risco de vazamento de informações
seja minimizado por meio de e-mails, videoconferências, notas internas, etc.
Lembrete semanal a todos os funcionários para atualizar os sistemas caso haja uma
atualização e verificar e atualizar o antivírus dos computadores
Verifique todas as portas abertas para a Internet e certifique-se de que as portas são
estritamente necessárias e, se possível, que os funcionários trabalham com VPNs para
proteger as comunicações. Portanto, seria bom realizar pelo menos varreduras de
vulnerabilidades de rede e verificar se há alguma vulnerabilidade no sistema
Revise o acesso do usuário e limite o acesso ao estritamente necessário
Atualizações em todos os sistemas para protegê-los de possíveis novas vulnerabilidades

EU TE AMO MEU AMOR VOCÊ É MINHA MAIS

BELA COINCIDÊNCIA E A MELHOR DA MINHA
EXISTÊNCIA