Roubo de credenciais: Fácil como atirar Phish em um barril

Imagine o seu melhor cenário: Você conduziu treinamento de conscientização de segurança para seus usuários e os educou sobre todas as ameaças que se aplicam a eles. Você cultivou uma cultura de segurança em que todos conhecem as táticas dos phishers e como evitar ser comprometido por um e-mail de phishing. Você tem antivírus instalado em todos os seus endpoints para combater downloads automáticos. Seus usuários são avançados o suficiente para usar um gerenciador de senhas porque conhecem e se preocupam com os perigos de senhas fracas e da reutilização de senhas.

Agora, volte à realidade. Usamos tecnologia porque os humanos são propensos a erros. Claro, educar seus usuários é muito importante porque isso reduzirá drasticamente a frequência de incidentes relacionados a phishing. Mas não importa o quanto você eduque seus usuários, sempre haverá alguns que cometerão um erro. De acordo com o Relatório de Investigações de Violação de Dados da Verizon (DBIR) de 2016, 13% das pessoas testadas para phishing clicam no anexo do e-mail de phishing. Então, não se iluda pensando que nenhum dos seus usuários se enquadraria nesses 13%. Deixando os erros de lado, 20% dos funcionários estão dispostos a vender suas senhas e 44% desses funcionários fariam isso por menos de US$ 1.000 ! Se você está olhando para essas estatísticas e pensando "Isso não aconteceria na minha organização", então você é quem está cometendo o erro se não antecipar e se preparar para a ocorrência de incidentes de phishing.

Uma motivação óbvia para o phishing é roubar credenciais do usuário para então lançar um ataque mais profundo. O Verizon DBIR de 2016 registrou 1.429 incidentes que envolveram o uso de credenciais comprometidas. Como isso é possível? A fadiga da senha do usuário é um grande fator contribuinte. Pense em todas as senhas que você monitora para suas necessidades pessoais – seu aplicativo de banco móvel, sua conta do Gmail, sua conta do Facebook, seu Amazon Prime… a lista é infinita. Agora, aplique a mesma situação aos negócios, onde 80% das empresas estão entregando aplicativos (Office 365, Salesforce, Concur, etc.) da nuvem. Os dados mais sensíveis das empresas residem em seus aplicativos, e esses aplicativos podem ter os seguintes requisitos típicos de complexidade de senha:

• Mínimo 8 caracteres
• Uso de pelo menos 1 caractere especial (!,@,#,$, etc)
• Uso de pelo menos 1 letra maiúscula (A-Z)
• Uso de pelo menos 1 número (0-9)

As melhores práticas nos dizem que você deve usar uma senha única para cada uma dessas contas e, para muitos desses aplicativos, você precisa alterar sua senha a cada 90-180 dias. Boa sorte para lembrar de todas essas senhas!

Como a realidade reflete esses requisitos de senha? O que a maioria dos usuários realmente faz é usar uma ou duas, talvez três senhas, geralmente únicas, possivelmente com uma pequena variação (adicionar um “1” no final) para nossos aplicativos mais importantes. Isso significa que uma senha comprometida é um ótimo começo para um invasor comprometer vários conjuntos de credenciais. Como podemos impedir isso?

Implementar segurança é sempre encontrar o equilíbrio entre segurança e conveniência para o usuário. Eliminar completamente os ataques gerados por phishing pode ser uma tarefa hercúlea – e possivelmente impossível – em nossos ambientes de trabalho acelerados. Então, o que devemos fazer? 

Uma ótima solução para interromper ou, pelo menos, reduzir significativamente os danos causados por credenciais comprometidas resultantes de phishing é a autenticação multifator (MFA). O MFA consiste em algo que você sabe (uma senha), algo que você tem (um token) e até mesmo algo que você é (biometria). Ao inserir seu nome de usuário, senha e fornecer algum tipo de token único ou verificação física, você garante que somente usuários aprovados possam acessar seus aplicativos.

Se por acaso você trabalhar com um grupo de unicórnios, como descrito no primeiro parágrafo, ainda há muitas evidências de que você ainda deve implementar uma solução de MFA. Embora os navegadores da web e os gerenciadores de senhas sejam certamente úteis porque ajudam os usuários a cumprir as melhores práticas, os invasores também estão de olho neles. Quando os usuários selecionam o recurso de preenchimento automático, os invasores podem ocultar campos confidenciais, como endereço, data de nascimento, número de telefone e até mesmo senhas, exibindo apenas caixas de entrada básicas, como nome e e-mail. Isso significa que as senhas dos usuários e outras informações confidenciais são inseridas involuntariamente em campos de texto que o usuário não pode ver. Mas há maneiras de ofuscar o texto inserido e criptografá-lo para que ele não possa ser lido.

Seus usuários querem se conectar a aplicativos de qualquer lugar, com qualquer dispositivo, então cabe a você ajudá-los a fazer isso com segurança. As soluções de acesso a aplicativos da F5 oferecem fácil integração com vários fornecedores de MFA para que você possa oferecer opções de autenticação de segundo ou até terceiro fator ou superior para seus usuários (por exemplo, senha de uso único [OTP], notificações push de celular por meio de aplicativos autenticadores, Yubikey e muitos outros). Além disso, quando implantado em conjunto com as soluções antifraude da F5, como o F5 WebSafe , o texto inserido em formulários on-line, incluindo nomes de usuário e senhas, pode ser ofuscado e criptografado para proteção adicional.

A autenticação segura em seus aplicativos combinada com uma experiência simples, mas aprimorada para seus usuários é uma vitória segura para todos.