Em 2016, milhões de e-mails foram violados na Deloitte, depois de os hackers terem obtido acesso à conta de um administrador que lhes deu acesso sem restrições ao sistema de e-mail baseado na nuvem da Deloitte. As investigações do incidente revelaram que a conta do administrador tinha apenas um nível de protecção - uma palavra-passe - sem quaisquer outros métodos de identificação.
Isto poderia ter facilmente evitado se a autenticação de dois factores (2FA) tivesse sido activada para a conta administrativa. Além de utilizar uma palavra-passe, 2FA exige que os utilizadores forneçam um elemento de prova adicional que confirme a sua identidade. Isto pode ser algo que só o utilizador possui - tal como um smartphone, ou um biométrico - tal como uma impressão digital.
De facto, a Microsoft estima a eficácia da autenticação multi-factor em mais de 99,9 por cento, bloqueando praticamente todos os ataques de compromisso de contas. Isto é extremamente importante tendo em conta que a "autenticação quebrada" tem sido consistentemente uma das principais vulnerabilidades no Top Ten do OWASP.
Os hackers utilizam tipicamente uma das seguintes técnicas para obterem as credenciais dos utilizadores:
- O phishing de base ampla implica um actor malicioso que envia um e-mail genérico a partir de um endereço de e-mail falso, o que encoraja os destinatários a entrar numa página de Internet falsa usando as suas credenciais reais. As razões apresentadas no e-mail de phishing podem variar entre 'aceder a uma nova ferramenta', 'redefinir uma palavra-passe' ou, ironicamente, 'confirmar uma actividade de conta suspeita'.
- O Spear phishing segue o mesmo modelo do phishing de base ampla, mas os e-mails são específicos para cada alvo. Isto significa que o correio electrónico se dirige ao utilizador pelo seu nome real, ou aplicações que este utiliza regularmente. Os e-mails de phishing da Spear parecem mais credíveis do que os seus equivalentes, o que aumenta a sua taxa de sucesso.
- Ataques de recheio de credenciais, onde um actor malicioso que descobre ou compra com sucesso uma palavra-passe do alvo pode aceder a todas as contas que partilham essa palavra-passe. Isto é particularmente problemático quando se considera a consciência pessoal dos utilizadores em matéria de cibersegurança. A partir de 2020, mais de 50% das pessoas admitem utilizar a mesma palavra-passe para múltiplas contas. Isto deixa tanto os seus dados pessoais como os seus dados de trabalho vulneráveis a este tipo de ataque.
- A pulverização de palavras-passe permite aos atacantes obterem acesso experimentando palavras-passe comuns ou por defeito. Os exemplos mais genéricos são senhas tais como '123456' e 'password'.
Porque é importante a autenticação de dois factores?
Como podemos ver, a invasão de uma senha não é missão impossível e não exige que os atacantes vasculhem o lixo do alvo na esperança de encontrar uma folha de papel com as suas credenciais anotadas.
Entre estes três tipos de ataques - phishing, recheio de credenciais, e pulverização de palavras-passe - é fácil imaginar que de mil empregados, pelo menos um deles poderia ser comprometido. E isso coloca toda a organização em risco.
No entanto, quando se lança outro modo de autenticação na mistura, o risco de compromisso aproxima-se de zero. Embora uma palavra-passe possa ser pirateada, as hipóteses do atacante também aceder remotamente ao dispositivo de autenticação ou biométrica do alvo são quase nulas. É desta forma que 99,9% dos compromissos de conta podem ser evitados.
A Formação de Sensibilização para a Segurança é Crítica para o Sucesso da Autenticação de Dois Factores
A implementação de dois factores de autenticação na sua organização tem duas considerações.
Em primeiro lugar, a tecnologia. Para implementar a autenticação de dois factores, é necessário escolher um método que autentique os utilizadores. O método mais comum hoje em dia é a utilização de um smartphone. Produtos como o Office 365 têm funções de AMF incorporadas e gestão de políticas que podem facilmente configurar aplicações móveis dos utilizadores como prova de identidade.
Em segundo lugar, e talvez o mais desafiador, as pessoas. Os utilizadores terão de passar por um passo adicional de login cada vez que acedem a uma ferramenta que tenha o AMF activado. É aqui que a Formação de Sensibilização para a Segurança é indispensável. Sem uma campanha de formação de funcionários que descreva a importância da autenticação de dois factores, alguns utilizadores poderão sentir-se incomodados com a etapa adicional de autenticação e poderão recorrer à utilização de aplicações não autorizadas - como a WhatsApp - para partilhar ficheiros e mensagens. Esta utilização não autorizada de aplicações é apelidada de shadow IT e é uma prática de alto risco, uma vez que ultrapassa toda a segurança da empresa.
A consciência da segurança cibernética do utilizador é ainda mais importante quando reconsideramos o ataque de enchimento de credenciais. Se mais de 50% dos utilizadores utilizarem a mesma palavra-passe para múltiplas contas, é também muito provável que partilhem palavras-passe entre contas pessoais e de trabalho.
Criação de uma Firewall Humana com Autenticação de Dois Factores
Por este motivo, recomendamos a extensão das campanhas de Formação de Sensibilização para a Segurança aos hábitos de segurança pessoal do empregado. A activação do 2FA em serviços de correio electrónico pessoal como o Gmail é fácil de configurar e conveniente de utilizar. Esta acção única tem um benefício duplo, directamente para o utilizador e indirectamente para a organização, uma vez que minimiza o risco de violação de dados.
Para além de promover a importância da autenticação de dois factores para uso pessoal, a formação em gestão de incidentes pode também ajudar os utilizadores que tenham sido comprometidos a seguir um procedimento que possa evitar danos adicionais, incluindo a comunicação de violações às equipas de TI relevantes e a mudança de palavras-passe sempre que necessário.
Campanhas de educação para promover uma boa consciência pessoal da segurança cibernética são a única forma de obter a adesão voluntária dos utilizadores. Quando os empregados compreenderem a importância de manter seguros tanto o seu trabalho como os serviços informáticos e de comunicação domésticos, formarão uma base sólida para toda a empresa.