Do LinkedIn ao Office 365: como hackers podem acessar suas informações

Os cibercriminosos utilizam diversas técnicas para invadir redes corporativas, mas há uma maneira comprovada e eficaz para descobrir quem trabalha para uma empresa e, em seguida, direcionar ataques de phishing para esses colaboradores.

Atualmente, todos têm acesso a um enorme banco de dados que expõe inúmeras informações: o LinkedIn. A rede social é, frequentemente, o ponto de partida para determinar quem é um bom alvo de uma organização, bem como uma excelente fonte para a obtenção de nomes de usuário e endereços de e-mail.

Conforme observado no OSINT framework, há diferentes ferramentas sendo utilizadas pelos invasores para coletar informações no LinkedIn. Plataformas como ScrapeIn e Inspy permitem que o hacker enumere endereços de e-mail. Com isso em mãos, existem várias formas para a infiltração na rede organizacional.

Uma ferramenta que visa especificamente o Office 365, o office365userenum permite que um invasor acesse uma lista com possíveis nomes de usuário. Como grande parte começa com o e-mail do usuário, o hacker pode determinar primeiro os endereços dos alvos e utilizá-los para verificar se há contas válidas. A ferramenta envia um comando para o activesync, que responde com códigos que podem ser utilizados para determinar se o nome de usuário existe ou não.

Dessa forma, os hackers podem tentar violar diretamente a conta, adivinhando a senha do usuário, ou podem usar os pares de endereço de e-mail e nome de usuário em ataques de phishing. O office365userenum expõe ao invasor quais usuários têm autenticação multifator ativada e quais são alvos mais fáceis. Correios eletrônicos compartilhados, que são utilizadas para diversos processos e têm menor probabilidade de serem monitoradas, geralmente não possuem senhas fortes e não têm autenticação multifator, tornando-se alvos fáceis para que os cibercriminosos tenham acesso à rede.

Para a Microsoft, esses ataques não são uma vulnerabilidade do Office 365, mas sim um recurso do activesync. Dessa forma, não há como a companhia interferir ou desabilitar o serviço. No entanto, os usuários podem definir alertas para saberem se um usuário tentou efetuar muitos logins sem sucesso em um curto período de tempo, um sinal de que invasores estão tentando acessar a rede.

Visando garantir a segurança dos usuários, a Microsoft orienta que as empresas monitorem os seus sistemas e implementem soluções para evitar invasões. Uma das sugestões é habilitar a autenticação multifator e desativação da autenticação básica.