“Tentamos fechar a porta aos atacantes, mas ao contratarmos suppliers vulneráveis, podemos estar a abrir uma janela”

A Teresa chegou à final da DEFCON Las Vegas na categoria de vishing. Para quem não conhece: que evento é este e que técnicas avançadas viu que ainda não chegaram ao mainstream, mas que os CISO devem antecipar? Que mudanças comportamentais identifica nos agentes de ameaça em campanhas de vishing, a categoria pela qual concorreu?

Para quem não conhece, a DEFCON é uma das maiores conferências de cibersegurança do mundo. Participei na competição de Vishing, integrada na village de engenharia social, e conquistei o oitavo lugar. O objetivo era muito simples, mas deu muito trabalho: tínhamos um target real, uma multinacional, uma empresa Fortune 500, e o objetivo era fazermos investigação sobre essa empresa e depois, em direto a partir de Las Vegas, realizarmos chamadas live com o objetivo de extrair informação do outro lado da linha.

Em termos de técnicas avançadas, e começando pelo vishing e pelos comportamentos, assiste-se muito à adoção da Inteligência Artificial (IA), deepfakes. Esta é uma das técnicas que está a chegar a Portugal, posicionando o país como mainstream. Nos EUA já é uma realidade e está muito avançado; em Portugal temos alguns exemplos por chamada. Entre os mais conhecidos encontram-se as ofertas de emprego e as chamadas do TikTok. No entanto, estas chamadas ainda estão muito aquém – é utilizada inteligência artificial, mas ainda é possível ao utilizador comum distinguir que é IA e não uma voz humana.

Ao nível da engenharia social como um todo, porque a verdade é que o vhishing está por baixo desta umbrella, temos os BEC scams, business email compromisse através de phishing. Parte-se do princípio que existe o comprometimento de uma third party. O target aqui em Portugal é muitas vezes o setor financeiro ou o departamento financeiro da empresa porque, no fim, o que importa é o dinheiro. Portanto, pode ou não haver um comprometimento desta third party e depois são enviados emails, por exemplo, ‘a partir de agora nós mudámos de conta, portanto, em vez de transferirem para a conta anterior, transferem o dinheiro para a nova conta’. Ainda há muitas empresas que caem neste esquema, também dada a credibilidade do email em si. Também tenho assistido muitas vezes, mesmo em Portugal, e acredito que vai existir cada vez mais, o envio destes emails através do domínio real. Aqui é feita uma técnica spoofing, onde o atacante utiliza um mail server, por exemplo, ou um da Amazon, mas quando chega ao remetente aparece uma máscara, ou seja, parece que veio de um domínio legítimo. O que acontece aqui é que é explorada uma vulnerabilidade nos registos de autenticação de email – SPF, DKIM ou DMARC – e esta vulnerabilidade é da empresa de onde supostamente está a ser enviado o email.

A engenharia social já existe há muito tempo, pelo menos desde o século XIX, não é algo recente. Aqui estamos a falar de cibersegurança, mas também é muito aplicada em vendas e marketing. Um caso recente que observei e que acredito que possa ser uma realidade num futuro próximo ou distante: todos nós temos dispositivos IoT em casa, sejam eles impressoras, projetores, home assistants, etc. Neste caso foi utilizada engenharia social, não como nós conhecemos phishing, vishing, etc., mas sim do ponto de vista de marketing e de vendas. Portanto, induzimos a pessoa a comprar aquele dispositivo que, quando ligado pela primeira vez, estava programado pelo fabricante para se ligar a um C2. Neste caso deu certo porque estava aplicada uma técnica pelo ISP de sinkholing, portanto, quando o dispositivo iniciou, em vez de se ligar ao [IP] malicioso, ligou-se a um IP legítimo e foi redirecionado o tráfego. Acredito que se vá assistir muito mais vezes a este tipo de técnicas no futuro.

Que falhas críticas encontra entre o que os responsáveis de cibersegurança pensam que têm coberto em termos de engenharia social e a realidade dos ataques propriamente ditos?

Hoje trabalho em threat hunting, threat intelligence. Comecei como red teamer, portanto do outro lado da moeda. Participava e fazia muitos projetos de engenharia social, não só vishing e phishing, por email e por voz, mas também de engenharia social aplicada à intrusão física. Portanto, nós tínhamos de influenciar o segurança, o rececionista, quem fosse que estivesse à entrada do edifício, para ganharmos acesso e, a partir daí, explorar outro tipo de vulnerabilidades internamente. A primeira coisa que nos diziam era ‘vocês nunca vão conseguir’. E, parecendo que não, era a primeira coisa que nós conseguimos. Acho que, por parte das empresas, ainda é uma coisa um pouco descurada e talvez negligenciada. Muitas empresas têm treino, têm consciencialização, de engenharia social no geral, mas vejo muitas falhas na consciencialização do phishing. Todos nós trabalhamos em empresas, recebemos emails de phishing, testes. Muitas vezes dá para perceber à primeira vista que é phishing, não é preciso ter muita literacia em cibersegurança. Mas o que eu vejo é que não há níveis de complexidade. Recomendo muitas vezes, quando enviam esses emails de teste, que definam vários níveis de complexidade, sejam eles relacionados com o subject, com o body ou com o link de onde vem o email. Ainda há muito essa falha. E depois também há treino, há consciencialização, mas onde é que está a consciencialização sobre o vishing em si? Percebo que o budget, o tempo, e mesmo a empresa externa, com a disponibilidade de recursos, possa ser um constrangimento e possa não facilitar nesse sentido.

A utilização de vozes falsas, os chamados deepfake, são já uma realidade operacional. Que indicadores técnicos podem ser utilizados para detetar este tipo de ataques? Podem as novas tecnologias/ modelos ser um aliado nestes casos? A inteligência artificial pode ser, por exemplo, uma das tecnologias a utilizar?

Sim, pode ser utilizada tanto como aliada como inimiga. Mas isso reflete os dois lados da moeda no que toca à inteligência artificial e todas as ferramentas que existem no mercado. Nas formas de deteção eu dividia em duas grandes áreas: temos o deepfake para áudio, não incluindo aqui a imagem, mas também temos para vídeo.

Saiu há pouco tempo uma notícia sobre um estudo de uma das universidades de Londres que revelava que as pessoas já não conseguem distinguir a inteligência artificial das vozes reais. Em Portugal acho que não vai chegar num futuro próximo, talvez apenas num futuro mais distante, talvez anos. Do ponto de vista do utilizador comum, podemos estar atentos ao discurso, ao chamado lag – aquele tempo entre a pergunta e a resposta – às alucinações. Para quem tem iPhone, há uma nova funcionalidade no iOS 26, designada razão para ligar. Se o contacto não estiver na nossa lista telefónica, o que acontece é que aparece uma voz de inteligência artificial a perguntar qual é a razão pela qual nós estamos a ligar. Não olho para isto como tendo um fim malicioso. Tenho muita curiosidade, mas acredito que no futuro vão conseguir contornar e passar para a chamada diretamente para o utilizador final.

Do ponto de vista de vídeo, o deepfake por vídeo não é nada mais nada menos do que uma máscara. É necessário ter em atenção a imagem em si. Com os pixels não é tão fácil, mas às vezes passar a mão à frente da cara é uma técnica muito comum que pode revelar se se trata de um deep fake.

Quando falamos de ataques à cadeia de valor para chegar à organização principal, que visibilidade devem os CISO exigir? Que recomendação específica implementaria hoje se fosse CISO?

Vou começar por uma muito simples de dizer porque implementar é sempre mais complicado: ter uma equipa de third party risk management, e aqui o objetivo passa por realizar assessments ao vendor, ao supplier: pedir relatórios de pentest e, neste ponto, deve haver muita colaboração de outras equipas para realizar, se necessário, pentest a essa empresa que poderá vir a ser nosso vendedor ou supplier; equipa de threat intelligence, threat hunting, para investigar se a empresa esteve envolvida em breaches recentemente – se sim, quantificar o impacto em termos organizacionais. Para além disso, diria também a realização de checks regulares com a outra empresa. Também, se possível, definir pontos de contato fixo na outra empresa porque ajuda-nos a prevenir ou a identificar backscams, por exemplo. Se tivermos um ponto de contato e se o email não vier daquela pessoa, a partir daí desconfiamos logo. E mesmo que o email venha do nosso ponto de contato, por exemplo, por técnicas de spoofing, todas as pessoas têm uma forma de escrever emails. Seja como iniciam o email, seja como terminam, as palavras que utilizam, portanto também nos pode ajudar a detetar se o email é ou não falso. Para além disso, e esta recomendação não é muito fácil, mas é importante ter uma lista completa de todos os vendors e suppliers, incluindo as transações efetuadas, compras, se possível também uma SBOM list, portanto, Software Bill of Materials, incluindo todas as aplicações, tudo o que envolve aquele supplier e nós; por último, a última recomendação é não confiar cegamente em terceiros. Tal como não damos a chave de casa ao nosso jardineiro, às vezes tentamos fechar com toda a força possível a porta aos atacantes, mas ao estarmos a contratar suppliers que são vulneráveis, podemos estar a abrir uma janela. Concluiria com uma frase, que não é da minha autoria, mas que faz total sentido no atual contexto: ‘A moeda de hoje já não é o euro, é a informação’.