Devido à actual situação de isolamento social, originada pelo COVID-19, surgiu a necessidade de teletrabalho, teleconferências, videoconferências e videochamadas, entre outras alternativas de comunicação com colegas, clientes e parceiros.
Porém, este tipo de acção implica uma maior superfície de vulnerabilidades em termos de segurança de informação e a mesma está a ser explorada por elementos mal intencionados.
Como era esperado, uma grande parte da atividade criminosa envolve campanhas de phishing e engenharia social, nas quais o COVID-19 é usado como uma atração temática para levar as pessoas a clicar em anexos e links maliciosos em emails ou a descarregar malware em dispositivos móveis e outros. Também há relatos sobre atividades de aquisição de controle de contas e comprometimento de emails, crescimento de domínios com malware drive-by e tentativas de explorar redes privadas virtuais (VPNs) e outras ferramentas de acesso remoto, (https://www.dn.pt/pais/isolamento-e-teletrabalho-abrem-porta-a-intrusoes-e-malware-portugal-tem-8400-ligacoes-vulneraveis-11991591.html).
O perigo representado por essas ameaças tem sido acrescido pelos novos requisitos de “distanciamento social” e pelo impulso resultante de muitas organizações para ampliar ou implementar os recursos de teletrabalho para sua força de trabalho de forma não planeada. O súbito aumento, relacionado com COVID-19, no uso de videoconferência, acesso remoto e serviços de VPN – especialmente em organizações que não os utilizaram antes – está a dar aos atacantes mais alvos para perseguir e aos defensores muito mais terreno para proteger.
A utilização de “nuvem” vai aumentar ainda mais essa superfície, passando serviços e aplicações criticas para locais onde o controlo é nulo, pois estando fora do ambiente controlado fisicamente e logicamente pela organização, não existe absoluta garantia do tipo e qualidade de serviço associado e dos intervenientes do processo.
Riscos de VPN e Teletrabalho
Os ataques que procuram aproveitar a inexperiência do utilizador com relação ao trabalho remoto são das principais preocupações, pois para a grande maioria dasempresas e colaboradores é uma experiência nova e amplamente alargada (originando configurações e definições de má qualidade).
As preocupações com a segurança da VPN corporativa eram altas mesmo antes da crise do COVID-19. Pesquisadores de segurança relataram inúmeras vulnerabilidades críticas em produtos VPN amplamente utilizados nos últimos meses e com executáveis remotamente. As entidades que poderiam estar perto de abordar essas questões de vulnerabilidades, provavelmente ficarão para trás, mais uma vez, na nova corrida para possibilitar o teletrabalho em muitas organizações devido à implementação urgente.
Anteriormente as estruturas estavam protegidas devido ao controle de sistemas de segurança de informação (quando existe), com a deslocalização de postos de trabalho para casa vai possibilitar que existam condições para tirar proveito das falhas, devido às condutas de comportamento doméstico. Ou seja, todas as barreiras tecnológicas e politicas criadas estão em risco ou ultrapassadas.
Explorando uma crise
Enquanto isso, os actores de ameaças, que têm tendência a explorar uma situação de crise, estão lançando uma enxurrada de spam, phishing e outras campanhas maliciosas para levar os utilizadores a participar com credenciais e outros dados confidenciais.
De acordo com o KnowBe4 (empresa de segurança de informação), houve uma epidemia virtual de e-mails de phishing com o tema COVID-19 nas últimas semanas. Muitos destes emails pretendem indicar pertencer aos Centros dos EUA para Controle de Doenças (CDC), Organização Mundial da Saúde (OMS), Departamento de Saúde e Serviços Humanos dos EUA (HHS) e departamentos de RH de empresas. Apenas nesta semana, por exemplo, a IBM relatou uma nova campanha em que um keylogger conhecido anteriormente, chamado HawkEye, estava sendo distribuído em e-mails falsificando o director geral da OMS.
Embora a maioria dos e-mails de phishing tenha falsificado organizações governamentais, os invasores também estão falsificando os privados. Uma campanha que o KnowBe4 acompanhou, por exemplo, envolveu um e-mail de phishing com uma conta falsa pela cobertura de seguro COVID-19 da Cigna.
E como exemplos…
Um mapa interativo da Universidade Johns Hopkins que rastreia a disseminação do COVID-19 globalmente tem sido um alvo de falsificação especialmente popular. Inúmeros invasores começaram a hospedar rastreadores de aparência quase idêntica em sites carregados de malware e estão usando e-mails de phishing para atrair as pessoas para esses sites. De modo similar, foram encontradas aplicações em dispositivos móveis com o mesmo objectivo, exemplo: o rasonware Covid19Tracker que fez vitimas em Portugal (com pagamento em bitcoin) nas ultimas semanas.
Actualmente, em Portugal, desde o dia 13 do corrente mês, está a decorrer (segundo a PGR) uma campanha de piratas informáticos que atacam clientes do Millennium BCP, Crédito Agrícola e da EDP, utilizando emails de phishing.
Alguns estão utilizando uma versão do rastreador para fazer com que os utilizadores carreguem malware em dispositivos móveis. Pesquisadores da Lookout (empresa de segurança de informação),descobriram recentemente uma versão “troianizada” de uma aplicação de rastreamento COVID-19, usado para descarregar software de vigilância em telefones móveis.
E em resposta…
Embora muitas das novas e emergentes ameaças relacionadas ao COVID-19 sejam direccionadas principalmente a indivíduos, elas impactam as organizações igualmente. Portanto, as empresas precisam de atenção especial aos fundamentos de segurança.
Isso inclui manter o software atualizado adequadamente para evitar a exposição a novas ameaças, redefinir e aplicar senhas fortes para trabalhadores remotos e garantir que as senhas sejam alteradas periodicamente (evitam conhecimento prévio), políticas e procedimentos adequados e arquitectura segura, (https://defenselifecycle.com/seguranca-informacao/).
As VPNs são outra maneira de proteger dados entre funcionários remotos e sistemas principais, porém, a mesma deve ser implementada em termos de arquitectura global, com protocolos fortes (IPSEC) e sempre em túnel.
Os recursos de gestão de dispositivos móveis são outro requisito fundamental para as organizações no momento, onde, por norma, “não existe norma”. As organizações precisam ter controle de dispositivos móveis que acedem aos seus ambientes e possuem recursos como limpeza remota e configuração de políticas corporativas de proteção de dados.
O que fazer?
Iniciar uma verificação do actual estado do sistema de gestão de segurança (ou implementar um) é um bom inicio.
De seguida, deve ser avaliada a nova arquitectura de comunicações, processos e políticas necessárias à nova realidade.
Por fim, mitigar cada uma das vulnerabilidades, administrativas, tecnológicas ou naturais.
Ou ainda, contactar uma empresa independente especializada em Segurança de Informação.