Como organização, você pode se proteger de forma eficaz contra o tipo mais comum de fraude, o ataque de tomada de controle de conta (ATO), implementando alguns princípios fundamentais de forma correta.
A tarde de 30 de agosto de 2019 foi um tanto peculiar para os seguidores de Jack Dorsey no Twitter (agora X). “Ele” estava em uma sequência irresponsável, que durou aproximadamente 20 minutos, publicando insultos raciais e outras mensagens ofensivas.
Seus admiradores podem ter interpretado isso como um raro colapso mental do CEO da principal plataforma de microblog. No entanto, o grupo conhecido como Chuckling Squad, responsável por essa “brincadeira”, deixou links para seu canal no Discord nas publicações enganosas da conta de Jack.
Posteriormente, o Twitter (agora X) confirmou o ocorrido.
Estamos cientes de que @Jack teve sua conta comprometida e estamos investigando o que aconteceu.
– Comunicações do Twitter (@TwitterComms) 30 de agosto de 2019
Este foi um típico ataque de tomada de controle de conta (ATO), especificamente um ataque de troca de SIM, no qual os invasores assumiram o controle remoto do número de telefone de Jack e publicaram tweets usando um serviço de terceiros, o Cloudhopper.
Quais são as chances de um usuário comum se proteger, se até mesmo o CEO de uma gigante da tecnologia pode ser vítima?
Então, convido você a discutir as diversas formas de ATO e como manter sua organização segura.
O que é um ataque ATO?
Um ataque de tomada de controle de conta (ATO), como o nome sugere, emprega diferentes táticas (que serão abordadas mais adiante) para invadir a conta online de uma vítima com diversos propósitos ilegais, como fraudes financeiras, acesso a informações confidenciais, fraudes a terceiros, entre outros.
Como funciona o ATO?
O ponto central de um ataque ATO é o roubo de credenciais de contas. Os criminosos fazem isso de várias maneiras, como:
- Engenharia Social: É a prática de manipular ou persuadir psicologicamente alguém a revelar suas informações de login. Isso pode ser feito sob o pretexto de suporte técnico ou inventando uma situação de emergência, dando pouco tempo para a vítima pensar racionalmente.
- Credential Stuffing: Um tipo de ataque de força bruta, o credential stuffing envolve um criminoso tentando usar informações de login aleatórias, geralmente obtidas de vazamentos de dados ou adquiridas na dark web.
- Malware: Programas perigosos e indesejados podem realizar diversas ações em seu computador. Uma delas é roubar informações de contas conectadas e enviá-las ao criminoso cibernético.
- Phishing: A forma mais comum de ataque cibernético, o phishing, geralmente começa com um simples clique. Essa ação aparentemente inofensiva leva o usuário a uma página falsa, onde a futura vítima insere suas credenciais de login, facilitando um ataque ATO posterior.
- MITM: O ataque man-in-the-middle ocorre quando um invasor qualificado “intercepta” o tráfego de rede. Tudo, incluindo nomes de usuário e senhas inseridas, fica visível para terceiros mal-intencionados.
Estas são as formas comuns que os criminosos cibernéticos utilizam para obter credenciais de login de forma ilícita. O que se segue é o controle das contas, atividades ilegais e uma tentativa de manter o acesso “ativo” pelo maior tempo possível para prejudicar ainda mais o usuário ou realizar ataques a terceiros.
Em muitos casos, os criminosos tentam bloquear o usuário por tempo indeterminado ou configurar backdoors para um ataque futuro.
Embora ninguém queira passar por isso (nem mesmo Jack!), é muito útil se pudermos tomar medidas antecipadamente para evitar danos.
Detectando um ataque ATO
Como proprietário de uma empresa, existem algumas maneiras de detectar um ataque ATO contra seus usuários ou funcionários.
#1. Login Incomum
Pode ser tentativas repetidas de login de diferentes endereços IP, especialmente de locais geograficamente distantes. Da mesma forma, pode haver logins de vários dispositivos ou navegadores.
Além disso, atividades de login fora do horário normal de funcionamento podem indicar um possível ataque ATO.
#2. Falhas no 2FA
Falhas repetidas na autenticação de dois fatores ou na autenticação multifator também sinalizam um problema. Na maioria das vezes, é um criminoso tentando fazer login depois de obter um nome de usuário e senha vazados ou roubados.
#3. Atividade Anormal
Em alguns casos, não é necessário ser um especialista para notar uma anomalia. Qualquer coisa muito diferente do comportamento normal do usuário pode ser sinalizada como possível tomada de controle de conta.
Pode ser algo simples como uma foto de perfil inadequada ou o envio de e-mails em massa para seus clientes.
Detectar esses ataques manualmente não é fácil, e ferramentas como Sucuri ou Acronis podem ajudar na automatização do processo.
A seguir, vamos verificar como evitar esses ataques.
Prevenindo um ataque ATO
Além de assinar ferramentas de segurança cibernética, há algumas práticas recomendadas que você pode adotar.
#1. Senhas Fortes
Ninguém gosta de senhas complexas, mas elas são uma necessidade absoluta no cenário atual de ameaças. Portanto, não permita que seus usuários ou funcionários usem senhas simples e estabeleça alguns requisitos mínimos de complexidade para o registro de contas.
Especialmente para organizações, 1Password Business é uma opção robusta para um gerenciador de senhas que pode realizar essa tarefa para sua equipe. Além de armazenar senhas, ferramentas de ponta também monitoram a dark web e alertam você caso alguma credencial seja vazada. Isso ajuda a enviar solicitações de redefinição de senha para usuários ou funcionários afetados.
#2. Autenticação Multifator (MFA)
Para aqueles que não sabem, a autenticação multifator significa que o site solicitará um código adicional (enviado para o e-mail ou telefone do usuário) além da combinação de nome de usuário e senha para fazer login.
Geralmente, esse é um método eficaz para evitar acesso não autorizado. No entanto, os golpistas podem contornar rapidamente o MFA por meio de engenharia social ou ataques MITM. Portanto, embora seja uma excelente primeira (ou segunda) linha de defesa, há mais a considerar.
#3. Implementar CAPTCHA
A maioria dos ataques ATO começa com bots tentando usar credenciais de login aleatórias. Portanto, é muito útil ter um desafio de login como o CAPTCHA.
Mas, se você acha que esta é a arma definitiva, pense novamente, pois existem serviços de resolução de CAPTCHA que um criminoso pode utilizar. Mesmo assim, é bom usar CAPTCHAs e protegê-los de ATOs em muitos casos.
#4. Gerenciamento de Sessão
O logout automático para sessões inativas pode ser uma salvação para invasões de contas em geral, já que alguns usuários fazem login em vários dispositivos e passam para outros sem sair dos anteriores.
Além disso, permitir apenas uma sessão ativa por usuário também pode ser útil.
Finalmente, seria melhor se os usuários pudessem sair remotamente de dispositivos ativos e se houvesse opções de gerenciamento de sessão na própria interface.
#5. Sistemas de Monitoramento
Cobrir todos os vetores de ataque como uma organização iniciante ou de nível médio não é tão fácil, especialmente se você não tiver um departamento de segurança cibernética dedicado.
Nesse caso, você pode contar com soluções de terceiros como Cloudflare e Imperva, além dos já mencionados Acronis e Sucuri. Essas empresas de segurança cibernética são algumas das melhores para lidar com esses problemas e podem prevenir ou mitigar ataques ATO de forma eficaz.
#6. Geofencing
O geofencing é a aplicação de políticas de acesso baseadas em localização para seu projeto web. Por exemplo, uma empresa 100% sediada nos EUA tem pouca ou nenhuma razão para permitir usuários chineses. Embora esta não seja uma solução infalível para prevenir ataques ATO, ela aumenta a segurança geral.
Indo um pouco mais longe, uma empresa online pode ser configurada para permitir apenas determinados endereços IP atribuídos aos seus funcionários.
Em outras palavras, você pode usar uma VPN corporativa para acabar com os ataques de tomada de controle de contas. Além disso, uma VPN também criptografará o tráfego de entrada e saída, protegendo os recursos da sua empresa contra ataques man-in-the-middle.
#7. Atualizações
Como uma empresa baseada na internet, você provavelmente usa diversos aplicativos de software, como sistemas operacionais, navegadores, plugins, etc. Todos eles ficam desatualizados e precisam ser atualizados para a melhor segurança possível. Embora isso não esteja diretamente relacionado a ataques ATO, um código desatualizado pode ser uma porta de entrada fácil para um criminoso cibernético causar danos em seus negócios.
Resumindo: envie atualizações de segurança regulares para dispositivos corporativos. Para os usuários, tentar educá-los a manter os aplicativos nas versões mais recentes pode ser um bom passo.
Depois de tudo isso e muito mais, não há especialista em segurança que possa garantir 100% de segurança. Consequentemente, você deve ter um plano de ação eficaz para o dia fatídico.
Combatendo o ataque ATO
O ideal é ter um especialista em segurança cibernética, pois cada caso é único. No entanto, aqui estão algumas etapas para orientá-lo em um cenário comum de ataque pós-ATO.
Conter
Depois de detectar um ataque ATO em algumas contas, a primeira coisa a fazer é desativar temporariamente os perfis afetados. Em seguida, enviar uma solicitação de redefinição de senha e MFA para todas as contas pode ser útil para limitar os danos.
Informar
Comunique-se com os usuários-alvo sobre o evento e a atividade maliciosa da conta. Em seguida, informe-os sobre o banimento momentâneo e as etapas de restauração da conta para um acesso seguro.
Investigar
Este processo é melhor conduzido por um especialista experiente ou por uma equipe de profissionais de segurança cibernética. O objetivo é identificar as contas afetadas e garantir que o invasor não esteja mais ativo com a ajuda de mecanismos alimentados por IA, como a análise comportamental.
Além disso, a extensão de uma possível violação de dados deve ser investigada.
Recuperar
Uma verificação completa de malware do sistema deve ser o primeiro passo em um plano de recuperação detalhado, pois, na maioria das vezes, os criminosos instalam rootkits para infectar o sistema ou para manter o acesso para ataques futuros.
Nessa etapa, é possível implementar a autenticação biométrica, se disponível, ou MFA, se ainda não estiver em uso.
Relatório
Com base nas leis locais, pode ser necessário denunciar o ocorrido às autoridades governamentais. Isso o ajudará a manter a conformidade e a entrar com uma ação judicial contra os invasores, se necessário.
Plano
Até agora, você já sabe de algumas lacunas que existiam sem seu conhecimento. É hora de abordá-las em seu futuro pacote de segurança.
Além disso, aproveite esta oportunidade para educar os usuários sobre este incidente e solicitar que pratiquem uma higiene saudável na internet para evitar problemas futuros.
No Futuro
A segurança cibernética é um domínio em constante evolução. Coisas consideradas seguras há uma década podem ser um convite aberto para criminosos atualmente. Portanto, ficar atualizado sobre os avanços e atualizar periodicamente os protocolos de segurança da sua empresa é o melhor caminho a seguir.
Se você estiver interessado, a seção de segurança do etechpt.com é uma biblioteca útil com artigos voltados para startups e pequenas e médias empresas, que são atualizados regularmente. Continue acompanhando para garantir que você esteja sempre atualizado em relação ao seu planejamento de segurança.
Mantenha-se seguro e não permita que eles assumam o controle dessas contas.