As universidades devem proteger identidades diante do aumento de ataques de engenharia social

O novo Relatório Global de Ameaças da CrowdStrike revela que ataques de phishing por voz aumentaram, China e Coreia do Norte estão avançando na nuvem, entre outros dados.

Os ataques de engenharia social estão em ascensão. Isso significa que as universidades devem investir em ferramentas como automação de cibersegurança e governança de identidade para ajudar a proteger identidades e estabelecer visibilidade entre domínios.

Os ataques de phishing por voz, em particular, aumentaram 442% entre o primeiro e o segundo semestre de 2024, em parte porque as salvaguardas e a preparação levaram mais agentes de ameaça a abandonar os ciberataques tradicionais (como a disseminação de malware por meio de documentos maliciosos) em favor de alvos como os help desks, de acordo com o Relatório Global de Ameaças da CrowdStrike de 2025.

A atividade cibernética da China aumentou em média 150% ano após ano em todos os setores, e de 200% a 300% nos setores de serviços financeiros, mídia e manufatura. Décadas de investimento levaram o Estado-nação a desenvolver capacidades ofensivas cibernéticas totalmente funcionais, equiparadas às de outras potências mundiais e impulsionadas pelo objetivo de se tornar a hegemonia global.

“À medida que vemos o cenário geopolítico mudar, vemos a China se tornando mais beligerante em relação a Taiwan”, disse Adam Meyers, vice-presidente sênior e chefe de operações de combate a adversários da CrowdStrike, durante uma coletiva de imprensa sobre o relatório no final de fevereiro. “Isso vai atingir um ponto crítico nos próximos 12 a 24 meses.”

A ascensão dos ataques de engenharia social

A China adotou um modelo de base de retransmissão operacional que depende de botnets de roteadores infectados nos EUA. Isso ocorre porque os ataques “vindos de dentro de casa” são mais fáceis de passar como atividade normal de rede.

O Salt Typhoon, um ator de ameaça persistente avançada chinês, tornou-se hábil em atacar empresas de telecomunicações dos EUA, segundo Meyers.

Os ataques “mãos no teclado”, nos quais o invasor abre mão de comandos programados em favor da condução manual da operação, representaram 79% de todos os ciberataques em 2024, de acordo com o relatório.

Os invasores que utilizam esse método fazem login na rede com credenciais de usuário comprometidas e depois se movimentam por ela por meio de um aplicativo ou navegador. Frequentemente, eles obtêm essas credenciais fingindo ser o usuário e ligando para o help desk para redefinir a senha ou, alternativamente, sobrecarregam o usuário com spam e, em seguida, se passam pelo help desk para enviar um link que contorna a autenticação.

Embora traga inúmeros benefícios, a inteligência artificial generativa também está facilitando a obtenção de credenciais. E-mails de phishing escritos por IA generativa tiveram uma taxa de cliques de 54%, em comparação com 12% daqueles redigidos manualmente, segundo o relatório.

Em um caso, uma empresa fez uma transferência bancária de US$ 25,6 milhões em resposta a um vídeo deepfake enviado por e-mail. Empresas também estão contratando, sem saber, atacantes norte-coreanos que criam perfis falsos no LinkedIn com IA generativa, depois usam vídeos deepfake durante entrevistas respondendo a perguntas — também com IA generativa.

“Esses adversários não apenas usam técnicas e capacidades diferentes, como também fazem isso mais rapidamente”, disse Meyers.

O tempo médio de invasão lateral — o tempo que um invasor leva para se movimentar dentro da rede — foi de 48 minutos em 2024, abaixo dos 62 minutos do ano anterior. O tempo mais rápido registrado foi de apenas 51 segundos, segundo o relatório.

Alguns agentes de ameaça, conhecidos como corretores de acesso, obtêm acesso ao alvo e depois o vendem para o maior lance. Essa atividade aumentou 50% em 2024, segundo o relatório.

Não subestime adversários conscientes da nuvem

A CrowdStrike também identificou um aumento de 26% nas invasões à nuvem, e o uso indevido de contas válidas tornou-se o principal método utilizado por atacantes para acessar esses ambientes, representando 35% dos incidentes em nuvem no primeiro semestre de 2024. Isso sinaliza que os adversários estão aprimorando sua capacidade de atacar e operar nesses ambientes.

Uma vez dentro da nuvem, os adversários estão mirando modelos de IA generativa — uma das razões pelas quais China e Coreia do Norte estão intensificando suas coletas em nuvem, disse Meyers.

O Salt Typhoon frequentemente acessa a nuvem encontrando vulnerabilidades em dispositivos estudantis.

“Você pode acessar um concentrador de VPN antigo ou um roteador de rede e, a partir daí, avançar mais profundamente no ambiente”, disse Meyers. “E como esses dispositivos não rodam ferramentas modernas de segurança, são alvos mais frágeis.”

As organizações precisam desenvolver estratégias sobre o que corrigir com base em avaliações de inteligência sobre o que os adversários estão explorando, especialmente à medida que os atacantes combinam cada vez mais vulnerabilidades, segundo Meyers.

Muitos adversários fazem sua lição de casa, vasculhando pesquisas públicas, divulgações e blogs em busca de novas brechas que explorem partes específicas das identidades.

“Se você não estiver observando todos esses domínios, vai acabar deixando passar muitos desses ataques”, alertou Meyers.