{"id":22289,"date":"2024-03-06T15:41:28","date_gmt":"2024-03-06T18:41:28","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22289"},"modified":"2024-03-06T15:42:26","modified_gmt":"2024-03-06T18:42:26","slug":"cyberattacks-on-your-marketing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cyberattacks-on-your-marketing\/22289\/","title":{"rendered":"Cinco ciberataques a departamentos de marketing"},"content":{"rendered":"

Quando se trata de ataques a empresas, o foco geralmente est\u00e1 em quatro setores: finan\u00e7as, propriedade intelectual, dados pessoais e infraestrutura de TI. Mas, n\u00e3o devemos esquecer que os cibercriminosos tamb\u00e9m podem ter como alvo os ativos da empresa gerenciados por rela\u00e7\u00f5es p\u00fablicas e marketing, incluindo envios por e-mail, plataformas de publicidade, canais de m\u00eddia social e sites promocionais. \u00c0 primeira vista, essa \u00e1rea pode parecer pouco atraente para os criminosos (\u201conde est\u00e1 o dinheiro?\u201d), mas, na pr\u00e1tica, cada uma dessas \u201catividades de marketing\u201d pode ser vantajosa para eles.<\/p>\n

Malvertising<\/h2>\n

Para a grande surpresa de muitos (at\u00e9 mesmo especialistas de InfoSec), os cibercriminosos t\u00eam feito uso ativo de publicidade paga leg\u00edtima<\/a> h\u00e1 v\u00e1rios anos. De uma forma ou de outra, as empresas pagam por banners e canais de pesquisa e empregam ferramentas de promo\u00e7\u00e3o corporativa. H\u00e1 muitos exemplos desse fen\u00f4meno, conhecido pelo nome de malvertising (publicidade maliciosa). Normalmente, os cibercriminosos anunciam p\u00e1ginas falsas<\/a> de aplicativos populares, campanhas promocionais falsas de marcas famosas e outros esquemas fraudulentos destinados a um p\u00fablico amplo. \u00c0s vezes, os agentes de amea\u00e7as criam uma conta de publicidade pr\u00f3pria e pagam pela publicidade, mas esse m\u00e9todo deixa muitos rastros (como dados de pagamento). Por isso, h\u00e1 um m\u00e9todo mais atraente para eles: roubar credenciais de login e invadir a conta de publicidade de uma empresa para depois promover seus sites atrav\u00e9s dela. Isso gera uma dupla recompensa para os cibercriminosos: eles podem gastar o dinheiro dos outros sem deixar rastros em excesso. Mas a empresa v\u00edtima, al\u00e9m de uma conta de publicidade destru\u00edda, tem um problema ap\u00f3s o outro, incluindo potencialmente ser bloqueada pela plataforma de publicidade, devido \u00e0 distribui\u00e7\u00e3o de conte\u00fado malicioso.<\/p>\n

Rebaixamento de popularidade e perda de seguidores<\/h2>\n

Uma varia\u00e7\u00e3o do esquema acima \u00e9 a aquisi\u00e7\u00e3o de contas de publicidade paga<\/a> das redes sociais. As especificidades das plataformas de redes sociais criam problemas adicionais para a empresa alvo.<\/p>\n

Em primeiro lugar, o acesso \u00e0s contas de redes sociais corporativas geralmente est\u00e1 vinculado \u00e0s contas pessoais dos funcion\u00e1rios<\/a>. Muitas vezes, os invasores comprometem o computador pessoal de uma pessoa do marketing ou roubam a senha de rede social para obter acesso n\u00e3o apenas a curtidas e fotos de gatos, mas tamb\u00e9m ao escopo de a\u00e7\u00e3o concedido pela empresa para a qual trabalham. Isso inclui postar na p\u00e1gina da rede social da empresa, enviar e-mails aos clientes atrav\u00e9s do mecanismo de comunica\u00e7\u00e3o integrado e comprar publicidade paga. Revogar essas fun\u00e7\u00f5es de um funcion\u00e1rio comprometido \u00e9 f\u00e1cil, desde que essa pessoa n\u00e3o seja o administrador principal da p\u00e1gina corporativa. Nesse caso, restaurar o acesso exigir\u00e1 muito trabalho.<\/p>\n

Em segundo lugar, a maior parte da publicidade nas redes sociais assume a forma de \u201cpostagens promovidas\u201d criadas em nome de uma determinada empresa. Se um invasor publicar e promover uma oferta fraudulenta, o p\u00fablico ver\u00e1 imediatamente quem publicou e poder\u00e1 expressar suas reclama\u00e7\u00f5es diretamente na publica\u00e7\u00e3o. Nesse caso, a empresa sofrer\u00e1 danos n\u00e3o apenas financeiros, mas nitidamente \u00e0 sua reputa\u00e7\u00e3o.<\/p>\n

Terceiro, nas redes sociais muitas empresas salvam \u201cp\u00fablicos personalizados\u201d \u2014 cole\u00e7\u00f5es prontas de clientes interessados em v\u00e1rios produtos e servi\u00e7os ou que j\u00e1 visitaram o site da empresa. Embora eles geralmente n\u00e3o possam ser retirados (roubados) de uma rede social, infelizmente \u00e9 poss\u00edvel criar malvertising com base nessas listas adaptadas a um p\u00fablico espec\u00edfico \u2013 uma estrat\u00e9gia bem eficaz.<\/p>\n

Newsletter n\u00e3o agendada<\/h2>\n

Outra forma eficaz para os cibercriminosos obterem publicidade gratuita \u00e9 sequestrar uma conta em um provedor de servi\u00e7os de e-mail<\/a> . Se a empresa atacada for grande o suficiente, poder\u00e1 ter milh\u00f5es de assinantes na sua lista de e-mails.<\/p>\n

Esse acesso pode ser explorado de v\u00e1rias maneiras: enviando uma oferta falsa irresist\u00edvel para endere\u00e7os de e-mail no banco de dados de assinantes; substituindo secretamente links em e-mails de publicidade planejados; ou simplesmente baixando o banco de dados de assinantes para enviar e-mails de phishing de outras formas posteriormente.<\/p>\n

Novamente, o dano sofrido \u00e9 financeiro, reputacional e t\u00e9cnico. Por \u201ct\u00e9cnico\u201d, nos referimos ao bloqueio de futuras mensagens recebidas por servidores de e-mail. Em outras palavras, ap\u00f3s o envio dos e-mails maliciosos, a empresa v\u00edtima ter\u00e1 que lidar com problemas n\u00e3o apenas com a plataforma de e-mail, mas tamb\u00e9m potencialmente com provedores de e-mail espec\u00edficos que bloquearam voc\u00ea como uma fonte de correspondentes fraudulentos.<\/p>\n

Um efeito colateral muito desagrad\u00e1vel desse tipo de ataque \u00e9 o vazamento de dados pessoais dos clientes. Este \u00e9 um incidente por si s\u00f3, capaz de causar n\u00e3o apenas danos \u00e0 reputa\u00e7\u00e3o, mas tamb\u00e9m gerar multas, aplicadas pelos reguladores de prote\u00e7\u00e3o de dados.<\/p>\n

Cinquenta tons de sites<\/h2>\n

Um hack de site pode passar despercebido por muito tempo, especialmente para uma pequena empresa que faz neg\u00f3cios principalmente atrav\u00e9s de redes sociais ou offline. Do ponto de vista dos cibercriminosos, os objetivos por tr\u00e1s de uma invas\u00e3o de site variam, dependendo do tipo de site e da natureza dos neg\u00f3cios da empresa<\/a>. Deixando de lado os casos em que o comprometimento do site faz parte de um ciberataque mais sofisticado<\/a>, geralmente podemos delinear as seguintes variedades.<\/p>\n

Primeiro, os agentes de amea\u00e7as podem instalar um web skimmer<\/a> em um site de com\u00e9rcio eletr\u00f4nico. Este \u00e9 um pequeno e bem disfar\u00e7ado JavaScript incorporado diretamente no c\u00f3digo do site que rouba dados do cart\u00e3o quando os clientes pagam por uma compra. O cliente n\u00e3o precisa baixar ou executar nada, basta pagar por bens ou servi\u00e7os no site, e os invasores roubam o dinheiro.<\/p>\n

Em segundo lugar, os invasores podem criar subse\u00e7\u00f5es ocultas no site e preench\u00ea-las com conte\u00fado malicioso de sua escolha. Essas p\u00e1ginas podem ser usadas para uma ampla variedade de atividades criminosas, sejam brindes falsos, vendas falsas ou distribui\u00e7\u00e3o de software com trojan. Usar um site leg\u00edtimo para esses fins \u00e9 o ideal, desde que os propriet\u00e1rios n\u00e3o percebam que eles t\u00eam \u201cvisitantes\u201d. Existe, de fato, toda uma ind\u00fastria centrada em torno dessa pr\u00e1tica<\/a>. Os sites aut\u00f4nomos<\/a> s\u00e3o especialmente populares, sendo criados para alguma campanha de marketing ou evento \u00fanico e depois esquecidos.<\/p>\n

Os danos causados a uma empresa, resultantes de uma invas\u00e3o de site s\u00e3o amplos e incluem: aumento de custos relacionados ao site devido ao tr\u00e1fego malicioso; uma diminui\u00e7\u00e3o no n\u00famero de visitantes reais devido a uma queda na classifica\u00e7\u00e3o de SEO do site; poss\u00edveis disputas com clientes ou autoridades policiais sobre cobran\u00e7as inesperadas nos cart\u00f5es dos clientes.<\/p>\n

Formul\u00e1rios da web conectados<\/h2>\n

Mesmo sem invadir o site de uma empresa, os agentes de amea\u00e7as podem us\u00e1-lo para seus pr\u00f3prios fins. Tudo o que eles precisam \u00e9 de uma fun\u00e7\u00e3o do site que gere um e-mail de confirma\u00e7\u00e3o: um formul\u00e1rio de feedback, um formul\u00e1rio de compromisso e assim por diante. Os cibercriminosos usam sistemas automatizados para explorar esses formul\u00e1rios para spam ou phishing.<\/p>\n

A din\u00e2mica \u00e9 simples: o endere\u00e7o do alvo \u00e9 inserido no formul\u00e1rio como um e-mail de contato, enquanto o texto do e-mail fraudulento \u00e9 colocado no campo Nome ou Assunto, por exemplo, \u201cSua transfer\u00eancia de dinheiro est\u00e1 pronta para emiss\u00e3o (link)\u201d. Como resultado, a v\u00edtima recebe um e-mail malicioso que diz algo como: \u201cCaro(a) XXX, sua transfer\u00eancia de dinheiro est\u00e1 pronta para ser emitida (link). Obrigado por entrar em contato. Entraremos em contato em breve\u201d. Claro que as plataformas antispam eventualmente param de permitir a passagem desses e-mails, e o formul\u00e1rio da empresa v\u00edtima perde parte de sua funcionalidade. Al\u00e9m disso, todos os destinat\u00e1rios desse e-mail suspeitam menos de uma empresa, considerando apenas um spammer.<\/p>\n

Como proteger os materiais de rela\u00e7\u00f5es p\u00fablicas e marketing contra ciberataques<\/h2>\n

Como os ataques descritos s\u00e3o bastante diversos, \u00e9 necess\u00e1ria uma prote\u00e7\u00e3o profunda. Aqui est\u00e1 um passo a passo:<\/p>\n