O Dia da Privacidade é de extrema importância este ano por causa de um aumento dramático em ataques projetados para contornar medidas que tornam os logins de contas mais seguros e, portanto, protegem nossa privacidade.
Por exemplo, em meados-Setembro, A Uber relatou uma violação de rede que levou ao desligamento de algumas de suas comunicações internas e ao bloqueio de sua base de código para evitar novas alterações de código. O invasor teria como alvo um contratado enviando repetidamente mensagens de login de autenticação multifator até que o contratado aceitasse e desse acesso ao invasor, de acordo com o Uber. Vários dias depois, a fabricante de videogames Rockstar Games anunciou que também havia sofrido uma invasão de rede de um terceiro não autorizado Festa. A empresa diz que o invasor conseguiu obter informações confidenciais, incluindo filmagens iniciais do desenvolvimento de seu próximo e muito aguardado jogo, Grand Theft Auto VI.
Ataques de engenharia social, quando tentados por alguém competente, são extremamente difíceis de se defender enquanto eles visam nossas vulnerabilidades humanas em vez de tentar contornar a segurança da tecnologia.
Em um alvo documento do SANS Software Security Institute, as vulnerabilidades mais comuns na época, que ainda são relevantes agora, incluem:
Compromisso de e-mail comercial–É um formulário de ataque de phishing em que um criminoso tenta enganar um executivo sênior (ou titular do orçamento) para que ele transfira fundos ou revele informações confidenciais. As contas que são protegidas apenas com uma senha são alvos fáceis.Protocolos legados –Pode ser a causa de uma grande vulnerabilidade em seu ambiente porque alguns aplicativos que usam protocolos básicos, como SMTP, nunca foram projetados para gerenciar a autenticação multifator (MFA). Os hackers procurarão oportunidades para usar navegadores desatualizados ou aplicativos de e-mail para forçar o uso desses protocolos menos seguros.Reutilização de senha–É aqui que entram em ação os ataques de pulverização de senhas e preenchimento de credenciais. Senhas e credenciais comuns comprometidas por invasores em violações públicas são usadas contra contas corporativas para tentar obter acesso. Em um ataque de pulverização de senha, o invasor contorna contramedidas comuns (por exemplo, bloqueio de conta)”spray”a mesma senha em várias contas antes de tentar outra senha. O preenchimento de credenciais é onde o invasor coleta credenciais de contas roubadas, geralmente consistindo em listas de nomes de usuários e/ou endereços de e-mail e as senhas correspondentes (geralmente de uma violação de dados) e, em seguida, usa as credenciais para obter acesso não autorizado a contas de usuários em outros sistemas por meio de solicitações de login automatizadas em grande escala direcionadas a um aplicativo da web.
Para manter seus dados e os de sua empresa seguros, é de vital importância usar senhas fortes. A BlueVoyant continua a observar grandes volumes de credenciais comprometidas sendo vendidas em fóruns da dark web, que por sua vez são usadas para violar organizações de vítimas. As organizações devem garantir o monitoramento para detectar quando suas credenciais estão comprometidas e potencialmente vendidas por criminosos cibernéticos.
Além da higiene de senha, o MFA deve ser ativado por padrão em todas as organizações. A autenticação multifator (MFA) adiciona outro nível de proteção ao simples uso de uma senha. A MFA exige que os usuários forneçam pelo menos dois fatores de verificação para acessar um dispositivo ou conta. A BlueVoyant viu os agentes de ameaças passarem de possíveis organizações de vítimas depois de determinarem que o MFA está em vigor e passarem para uma organização que não o possui.
No entanto, dado o aumento nas organizações que usam o MFA em seus defesa cibernética, houve um aumento recente nos ataques de desvio de MFA. Esses ataques dependem de técnicas de engenharia social para atrair e induzir os usuários a aceitar solicitações MFA falsas. Alguns métodos específicos de ataques incluem enviar uma grande quantidade de solicitações MFA (fadiga MFA) e esperar que o alvo finalmente aceite uma para fazer o ruído parar, ou enviar um ou dois prompts por dia, o que atrai menos atenção, mas ainda tem uma boa chance o alvo aceitará a solicitação. Os invasores também usarão engenharia social mais agressiva, como Vishing (phishing de voz), que requer ligar para o alvo, fingir fazer parte da empresa e dizer ao alvo que ele precisa enviar uma solicitação de MFA como parte de um processo da empresa. Às vezes, os invasores até usam bots para ligar, em vez de uma pessoa real.
Apesar dos ataques recentes, MFA continua sendo uma parte importante da estratégia de defesa cibernética para empresas e indivíduos. Para ajudar a tornar o MFA o mais seguro possível, procure oportunidades de usar um código de um aplicativo em vez de um enviado por mensagem de texto.
Você pode dar um salto adicional e ficar sem senha. Protocolos como WebAuthn e CTAP2, que foram ratificados em 2018, possibilitaram a eliminação total das senhas da equação. Esses padrões, conhecidos coletivamente como padrão FIDO2, garantem que as credenciais do usuário sejam protegidas. O uso da biometria tornou-se mais popular depois de ser popularizado em dispositivos móveis e laptops, tornando-a uma tecnologia familiar e frequentemente preferida para muitos usuários.
As tecnologias de autenticação sem senha não são apenas mais convenientes para as pessoas, mas também são extremamente difícil e caro para os hackers comprometerem, que é essencialmente o que você está tentando realizar com o invasor. Uma boa solução de privacidade faz com que o retorno do investimento para ataques seja tão alto que os invasores irão para alvos muito mais fáceis. Portanto, para ajudar a proteger seus dados, lembre-se; as defesas que garantem a privacidade de seus dados devem ter muitas camadas de proteção. Não dê ao atacante apenas um obstáculo para superar, tente torná-lo o mais difícil possível. Fique seguro e feliz Dia da Privacidade!
Crédito da imagem: jianghongyan/depositphotos.com
Tom Huckle é Diretor de Segurança e Conformidade da Informação, EMEA em BlueVoyant.