Muitas pessoas esquecem como é fácil para os cibercriminosos obter acesso aos seus dados. A fadiga da violação é uma realidade, mas os cibercriminosos são incansáveis em sua busca para obter acesso a todos os tipos de informações confidenciais, incluindo nomes de usuário e senhas. Essas senhas, especialmente se usadas em vários sites, podem comprometer várias contas online. As senhas expostas são um alvo fácil para os cibercriminosos e colocam seus dados críticos e também as redes corporativas em risco. Este é apenas mais um lembrete do risco constante que enfrentamos todos os dias à medida que os cibercriminosos continuam com suas campanhas de ciberataque.
Aamir Lakhani e Jonas Walker, do FortiGuard Labs da Fortinet, discutem a higiene da segurança cibernética à medida que o trabalho e a aprendizagem híbridos se tornam a norma e muitas organizações começam a trazer trabalhadores ou alunos de volta pessoalmente. Proteger informações online enquanto trabalha, bem como em trânsito, com mais frequência, não será o mesmo que era antes da pandemia. É um bom momento para revisar alguns fundamentos. Aqui estão algumas dicas para uma boa higiene cibernética.
Como a reutilização de uma senha é um risco à segurança?
Jonas – Ainda é uma questão muito importante que ainda precisa de atenção. Muitas pessoas reutilizam uma senha para diferentes aplicativos ou apresentam variações e padrões semelhantes, por exemplo: alterando o número no final da senha de 1 para 2 dessa senha quando precisam atualizá-la. O padrão pode ter mudado, mas a senha ainda é essencialmente a mesma. Eles não são realmente únicos e, na minha opinião, este é um grande problema, pois as violações de dados continuam e as senhas reutilizáveis são algo muito fácil para os invasores abusarem, pois não precisam ter detalhes de segurança e podem apenas usar credenciais para fazer login nos sistemas. O layout do teclado é um grande indicador de como esses padrões podem ser comuns. Muitas vezes, se um site solicitar uma senha com um caractere ou número especial, esse caractere especial provavelmente será um ponto de exclamação, porque está logo acima da tecla 1. Os invasores estão bem cientes desses padrões comuns e podem usar a tecnologia para correlacionar esses tipos de dados para descobrir que tipo de estruturas as pessoas estão usando. Este é um ótimo exemplo de tecnologias de machine learing usadas por invasores atualmente.
Aamir – Não vamos esquecer, há milhões de senhas que vazaram, algumas das quais são senhas muito antigas. Essas senhas estão sendo usadas continuamente por pessoas em novos sites. Às vezes, eles mudam um número ou adicionam ou removem algo dele, substituem um zero por um O e assim por diante. Existem programas e ferramentas que os invasores usam que procuram essas substituições comuns e encontram pontos de acesso fáceis. Os programas podem criar novas listas de senhas e, a partir dessas centenas de milhões de senhas, podem gerar milhões de novas senhas com combinações e testá-las automaticamente até obterem sucesso. Sempre incentivo as pessoas a usarem nomes de usuário exclusivos para cada site. Alguns sites exigem que você use um endereço de e-mail como nome de usuário, mas é aconselhável criar um novo endereço de e-mail, se possível nesta situação. Pessoalmente, crio endereços de e-mail exclusivos para identificar se um site está vendendo meus dados.
Quais recomendações você daria sobre como proteger senhas e nomes de usuário exclusivos em um ambiente de trabalho home office?
Jonas – Sou um grande fã de gerenciadores de senhas. Esses gerenciadores de senhas tornam a vida muito conveniente porque sempre que nos inscrevemos em uma plataforma diferente, ela irá gerar automaticamente uma nova senha única e armazená-la em seus formulários.
Aamir – A autenticação de dois ou vários fatores costuma ser implementada nesses gerenciadores de senhas, mas às vezes eles podem fornecer aos usuários uma falsa sensação de segurança. Muitas pessoas usarão a autenticação multifatorial com verificação de texto ou SMS, mas nem sempre são tão seguras quanto alguns podem pensar. Atualmente, a maioria dos sistemas operacionais de telefonia móvel fornece pop-ups que perguntam “tem certeza de que deseja compartilhar dados de SMS com este aplicativo” ou “tem certeza de que essas são as permissões que deseja conceder a esses aplicativos” nos termos e acordos, mas nem todo mundo está lendo isso. Eles geralmente apenas clicam em “sim” e fornecem ao aplicativo mais dados do que o planejado originalmente. Agora, todos os aplicativos não precisam necessariamente de todas as permissões, mas eles podem desejá-las por vários motivos, como mineração de dados para anúncios. Aplicativos maliciosos solicitarão a capacidade de acessar suas mensagens SMS e roubar os códigos enviados durante o processo de autenticação multifator. Os usuários realmente devem considerar quais permissões estão concedendo aos aplicativos que baixam e o que está sendo feito com as informações compartilhadas.
Conforme os funcionários voltam ao escritório, como as organizações podem manter suas redes seguras?
Jonas – Trazer dispositivos de trabalho remotos de volta para a rede corporativa precisa ser tratado com muito cuidado, porque se você violou dispositivos fora de sua rede e agora os traz como um funcionário interno, isso pode ser muito crítico. Lembre-se de que as redes domésticas foram fortemente atacadas enquanto as pessoas trabalhavam em casa nos últimos 18 meses. Trazer esses dispositivos para dentro da rede corporativa pode ser algo para os invasores aproveitarem. Os cibercriminosos estão sempre antecipando o próximo passo e não tenho dúvidas de que eles já pensaram nisso. Dito isso, educar os funcionários e fornecer treinamento é essencial à medida que mais dispositivos acessam a rede corporativa.
Aamir – Concordo, treinar funcionários e orientar sobre como se tornar cibernéticos é essencial para essa mudança no trabalho e no aprendizado. Os ataques de phishing, por exemplo, permanecerão comuns e abundantes como sempre foram, mas existem muitas outras táticas que os cibercriminosos usarão para tentar acessar a rede. O treinamento e a conscientização sobre a segurança são muito importantes para retornar ao trabalho com segurança. Às vezes, saber como filtrar e-mails recebidos pode ser uma maneira muito fácil de evitar ataques de phishing. Eu recomendo ter duas caixas, uma para e-mail interno e outra para externo, e usar assinaturas digitais para identificar facilmente a confiabilidade de um e-mail que pode se passar por executivo ou colega de trabalho.
REFERÊNCIAS:
https://www.fortinet.com/blog/industry-trends/tips-for-good-cyber-hygiene-during-hybrid-work
https://www.fortinet.com/fortiguard/labs?utm_source=blog&utm_campaign=fortiguard-labs