Como senhas simples e funcionários ruins colocam a segurança cibernética em risco

Outubro é o Mês da Conscientização sobre Segurança Cibernética e aqui em SSL.com, nosso objetivo é educar empresas, agências governamentais e o público em geral sobre como ficar mais vigilantes enquanto percorrem o terreno em constante expansão da Internet. Neste artigo, vamos discutir o aumento alarmante de ataques cibernéticos a grandes organizações. 

Os últimos dois anos foram particularmente preocupantes devido ao aumento no que diz respeito a violações de segurança cibernética, especialmente ransomware. Os primeiros meses de 2020 viram um aumento constante com ataques de ransomware e levou a um aumento acentuado durante o primeiro semestre de 2021. Em junho de 2021, 78.4 milhões de tentativas de ataques de ransomware foram registradas! 

Como em outras situações de tomada de reféns, o objetivo dos hackers de ransomware é roubar dados valiosos de uma empresa ou acessar seus sistemas de computador e exigir grandes somas de dinheiro antes de abrir mão de tais ativos. Agora você pode pensar que, com todo o software de segurança moderno desenvolvido, as gangues de ransomware gastam todo o seu tempo desenvolvendo ferramentas super sofisticadas para atacar suas vítimas. Mas, como explicaremos nas próximas seções, muitos deles reciclam suas armas de hacking e começam com a rota não técnica e periférica de invasão: erro humano. O desenvolvimento do malware em si exige habilidade técnica, mas sua execução ocorre de forma tão simples quanto um funcionário clicar em um link ou arquivo em um e-mail malicioso. É importante lembrar que os ataques de ransomware ocorrem em estágios e geralmente é nas fases mais simples que os ataques completos ganham impulso. 

 Na verdade, em um estudo realizado por IBM, a remoção do erro humano da equação faria com que 95% das violações de dados fossem impedidas de ocorrer. 

O problema com senhas altamente convidativas e funcionários tolerantes

A Pesquisa 2019 da PreciseSecurity.com identificou senhas ruins como a terceira principal causa de ataques de ransomware, por trás da falta de treinamento de segurança cibernética de funcionários e phishing. Como você pode notar por essas três principais causas de infecções por ransomware, todas elas são, de fato, originadas de erros humanos. 

Na realidade, o cérebro humano é um órgão poderoso altamente capaz de memorizar várias senhas longas para várias contas, especialmente se forem usadas regularmente. Mas, em um vistoria conduzido pelo Google e Harris Poll, 53% foram encontrados com a mesma senha para várias contas, enquanto 13% usaram a mesma senha para todas as suas contas. Combinados, esses dados sugerem que 65% das pessoas reciclam suas senhas, mesmo que tenham todas as opções para criar outras. 

A pesquisa do Google e da Harris Poll sugere a tendência na cultura cibernética moderna em que as pessoas desejam um acesso mais rápido e até mesmo um acesso mestre a suas várias contas e dispositivos. Compreensivelmente, há a monotonia de ter que digitar regularmente senhas longas ou a dificuldade razoável em gerar senhas fortes se estivermos falando de mais de uma dúzia de contas. Mas não ajuda a causa quando 23.2 milhões de vítimas de violação de dados em todo o mundo foram encontrado ter usado 123456 como senha, enquanto outros 7.8 milhões usaram 12345678. Pior, outros 3.5 milhões em vários países escolheram usar a própria palavra “senha” para ser sua barreira contra ladrões cibernéticos.  

Na próxima seção, vamos ver como senhas ruins e funcionários mal-comportados abriram caminho para que os maiores ataques de ransomware e espionagem cibernética da história ocorressem apenas nos últimos dois anos - um período de tempo em que as pessoas deveriam ter mais conhecimento e recursos de se defender de criminosos cibernéticos. 

O Ataque Colonial Pipeline Ransomware

Em maio de 2021, a gangue de ransomware DarkSide atacou o Colonial Pipeline - um importante sistema de gasodutos de gasolina e diesel no país, e causou a interrupção de 50% da cadeia de abastecimento de combustível do país. 

Os sequestradores cibernéticos roubaram quase 100 GB de informações da empresa e fizeram ameaças de divulgá-las na internet caso a empresa não pagasse o resgate. Com medo da ocorrência de ataques subsequentes, a Colonial Pipeline decidiu encerrar suas operações e pagou quase US $ 5 milhões à Darkside. Esse ataque de ransomware afetou o suprimento de combustível nos aeroportos e as mudanças nos horários dos voos, causando pânico nas compras.

Em uma audiência no Senado, o CEO Joseph Blount revelou que o ataque foi iniciado com um login de funcionário de um sistema legado de Rede Privada Virtual (VPN) que foi configurado com apenas autenticação de fator único. Isso significa que passes secundários, como códigos de segurança enviados para telefones celulares, não eram necessários para acessá-lo. 

A Mandiant, empresa de segurança cibernética consultada para analisar o ataque, teorizou que o funcionário poderia ter usado a senha de um site comprometido anteriormente. 

NOVO Ataque de ransomware cooperativo

Apenas no mês anterior, a cooperativa agrícola sediada em Iowa, NEW Cooperative, foi atacada por uma gangue russa de ransomware que se autodenominava BlackMatter - que se acredita ser uma versão rebatizada da gangue DarkSide. Os cibercriminosos exigiram o pagamento de US $ 5.9 milhões para restaurar o acesso da cooperativa a seus sistemas de computador que eles usam para alimentar 11 milhões de animais, incluindo gado, galinhas e porcos.

Tammy Kahn, COO da empresa de segurança de identidade digital FYEO, analisou que o ataque de ransomware à NEW Cooperative foi habilitado pelo uso de senhas incorretas por muitos dos funcionários. 

Quando a FYEO auditou o site da NEW Cooperative em seu banco de dados, eles descobriram que a organização tinha 653 senhas que foram comprometidas no passado. Para piorar a situação, descobriu-se que a senha mais comum usada entre 120 dos funcionários era uma combinação de um animal de fazenda muito comum e o número que vem primeiro na contagem: frango1. Uma senha tão simplista como essa está fadada ao fracasso. Esqueça as campanhas de phishing e ferramentas de hacking de força bruta. Com endereços de e-mail de funcionários e executivos sendo compartilhados publicamente online, os hackers muitas vezes só precisam adivinhar as senhas e algo como “frango1” é quase uma dádiva morta.

SolarWinds Cyber ​​Espionage

A SolarWinds, empresa de software de TI, foi infiltrada por supostos hackers russos nos primeiros meses de 2020. Um trojan foi implantado nas atualizações de seu sistema de software de monitoramento chamado Orion, que foi usado por 33,000 clientes de alto nível da empresa, incluindo milhares de governos agências aqui e no exterior, bem como as maiores corporações dos EUA. O código malicioso então permitiu que os hackers instalassem mais malware que lhes permitiu espionar as vítimas afetadas.  

Pesquisador de segurança Vinoth Kumar afirmou ter avisado a SolarWinds em 2019 que a senha da empresa para seu servidor de atualização estava acessível a qualquer pessoa. Essa senha era aparentemente: ventos solares 123

Em uma audiência no congresso, a SolarWinds argumentou que a senha fraca foi um erro cometido por seu estagiário, que também compartilhou a senha no GitHub.

A representante Katie Porter ficou tão indignada com a revelação que ela exclamou: “Tenho uma senha mais forte do que 'solarwinds123' para impedir que meus filhos assistam muito ao YouTube em seus iPads.”

Para piorar as coisas, o CEO da SolarWinds, Sudhakar Ramakrishna, admitiu que a senha comprometida era usada desde 2017, mas foi apenas com o aviso de Kumar de 2019 que a empresa agiu, que já era tarde demais. 

O ataque da SolarWinds é um dos maiores ciberespionagem da história e é considerado ter causado uma média de $ 12 milhões perda financeira por empresa infiltrada. 

 

 Como os funcionários podem fortalecer a segurança cibernética de sua empresa por meio de boas práticas de senha

Agora, mais do que nunca, as empresas devem investir em práticas fundamentais de segurança cibernética. A diferença em se conformar com uma senha repetitiva, e muito menos altamente simplista, e dedicar algum tempo para criar outras mais fortes, pode ser a proteção de centenas de milhares de ativos financeiros da empresa. Na verdade, um artigo: pela empresa de seguros cibernéticos Coalition revelou que a demanda média de resgate de criminosos cibernéticos saltou de US $ 230,000 no primeiro trimestre de 2020 para US $ 338,669 apenas no segundo trimestre do mesmo ano. Isso representa um aumento de 47% em apenas 6 meses!

As empresas e outras organizações também devem observar que os cibercriminosos conduzem operações aliadas com outras gangues, portanto, uma vez que as senhas sejam comprometidas, há uma boa chance de que elas sejam rapidamente compartilhadas em fóruns clandestinos, aumentando assim os pontos de ataque. Na verdade, pesquisa por Agari descobriu que as senhas comprometidas são rapidamente festejadas assim que são compartilhadas em sites e fóruns de phishing. Quando postaram as credenciais de contas falsas nesses portais, 20% foram infiltrados em apenas uma hora e 40% foram violados em apenas seis horas.

Abaixo estão algumas dicas práticas que até mesmo funcionários sem formação em ciência da computação podem implementar para fortalecer as defesas cibernéticas de suas empresas. 

Seja criativo com suas senhas usando substituição de caracteres e frases-senha

Como você viu nos casos de NEW Cooperative e SolarWinds, ataques cibernéticos sofisticados podem ocorrer até mesmo com pequenas marcas na parede cibernética. Então, como você pode criar senhas melhores do que chicken1 e solarwinds123?

Primeiro é verificar os requisitos de senha da conta. Hoje em dia, a maioria das plataformas exige que os usuários incluam uma letra maiúscula, uma letra minúscula, um número e um símbolo.

A substituição de caracteres e frases secretas são boas estratégias combinadas para criar uma senha forte a partir de palavras mundanas. Digamos, você tem lagartos de estimação, então pode escolher uma frase como: Lagartos são escamosos, mas eu gosto deles. Você pode então substituir algumas das letras por números ou símbolos. A letra “i” pode se tornar 1, a letra “s” pode se tornar 5 e a letra “a” pode se tornar @. Você também pode colocar um caractere como “,” após a palavra scaly. Portanto, sua frase secreta torna-se: L15 @ rd5 @ re5c @ ly, but1l1kethem. Vai ser estranho digitar isso no início, mas seu cérebro vai se adaptar rapidamente com várias repetições.

O bom das frases-senhas + substituição de caracteres é que elas tratam a propensão do cérebro humano a lembrar de coisas pessoais ou significativas não como um obstáculo, mas como uma vantagem. Você pode combinar palavras de coisas próximas a você, como seus animais de estimação, membros da família, lugares favoritos, mas certifique-se de colocá-las em frases e não apenas palavras isoladas e criar códigos exclusivos. As frases secretas são definitivamente mais fáceis de lembrar em comparação com uma confusão aleatória de caracteres. E a substituição de caracteres usando códigos pode ser repetida em outras senhas, mas só você sabe o que o código representa.

Incluir palavras estrangeiras em suas senhas

Se você tem feito aulas de línguas estrangeiras ou sabe falar uma língua estrangeira, então você deve considerar o uso de suas habilidades linguísticas para fortalecer suas senhas. 

A comunicação e as transações na Internet são feitas principalmente no idioma inglês, portanto, se você conseguir criar uma senha como: “Mam-is baw kayman nan ba-at ya ubi”, os hackers terão dificuldade em decifrá-la. Em inglês, esta frase significa “Bananas e batatas-doces são certamente deliciosas”. Se a senha foi gerada em inglês, os hackers teriam mais chances de quebrá-la porque soa como uma frase comum. Mas, como ele foi escrito em um idioma local originário do terreno montanhoso na parte norte da ilha do norte das Filipinas, os hackers teriam dificuldade em adivinhar, mesmo se tivessem seu software de hackeamento de força bruta, que provavelmente está definido em inglês. Combine essa estratégia com a substituição de caracteres e frases secretas e você aumentará ainda mais a segurança da sua conta.

Outra coisa boa em usar palavras estrangeiras é que elas mantêm seu cérebro saudável porque se torna um exercício cognitivo. Portanto, há uma boa motivação para aprender outro idioma!

Coloque espaços em suas senhas

Hacker ético, ED Skoudis, partes uma coisa simples que até os funcionários com menos experiência em TI podem fazer para fortalecer suas senhas: 

“Há uma coisa muito simples que você pode fazer para dificultar o ataque às suas senhas ... Simplesmente colocando um espaço na sua senha, agora nem todos os sistemas suportam isso, mas alguns sim, mas estou lhe dizendo como um invasor de computador, colocando um espaço em sua senha torna mais difícil para mim violá-la ou adivinhá-la. Você poderia colocá-lo no meio em algum lugar. Talvez coloque alguns espaços. O lugar mais traiçoeiro para você colocar um espaço na sua senha é no final e sabe por quê? Porque se o invasor quebrar sua senha com sucesso, ela será exibida na tela do invasor e eles não verão os espaços, certo? Então eles entrarão e bloquearão sua conta se perguntando por que sua senha não funciona porque eles não estão digitando nos espaços. E prefiro ter minha conta bloqueada do que o bandido tenha acesso a ela. ”

Use um gerenciador de senhas

Voltando à pesquisa do Google e da Harris Poll mencionada no início deste artigo, foi uma triste constatação que apenas 24% dos entrevistados usaram um gerenciador de senhas e apenas 55% conseguiram definir o termo corretamente. Portanto, isso deve levar as empresas a implementar sistemas onde seus funcionários possam usar e obter mais informações sobre os benefícios dos gerenciadores de senhas. 

Para aqueles que desejam evitar o fardo de ter que lembrar e digitar senhas longas e aleatórias para várias contas, os gerenciadores de senhas são uma ótima solução porque suas habilidades de sincronização e geração de senhas facilitam o acesso a várias contas. 

Aprenda com o infame hacker que se tornou consultor de segurança Kevin Mitnick que diz: “Um gerenciador de senhas permite que você gerencie o resto de suas credenciais, então você escolhe uma senha mestra para desbloquear o gerenciador de senhas, e o gerenciador de senhas cuida do resto. E você poderia realmente configurar esses gerenciadores de senhas para criar aleatoriamente, por exemplo, senhas de 15 caracteres.”

Última palavra

Esperamos que você tenha aprendido algo prático com este artigo e, durante este Mês de Conscientização sobre Segurança Cibernética, incentivamos você a aprender mais sobre a importância da segurança cibernética não apenas nos negócios, mas também na vida cotidiana. Fique seguro e fique vigilante!

 

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.