Em um alerta aos órgãos federais, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov) destacou a importância da prevenção de phishing e recomendou a adoção de uma série de medidas para evitar o roubo e o uso indevido de credenciais. A recomendação foi feita após o ataque baseado em credenciais que afetou o Siafi (Sistema Integrado de Administração Financeira), do governo federal, no início de abril.

No alerta publicado no site da instituição no dia 19 de abril, o CTIR Gov destaca que tem verificado o aumento do número de credenciais válidas sendo vendidas no mercado negro, possibilitando o acesso indevido a sistemas do governo. A nota ressalta ainda que os atacantes usam diferentes técnicas para obter as credenciais, incluindo phishing, engenharia social, keyloggers e monitoramento de tráfego de rede.

Para mitigar os riscos, o CITR Gov recomendou que os órgãos federais adotem uma série de medidas. A primeira é orientar usuários dos sistemas do governo a identificar tentativas de phishing e suas variantes (smishing e vishing), que podem incluir a utilização de e-mails, mensagens de texto e chamadas telefônicas. 

Outra recomendação é implementar o princípio de privilégio mínimo, garantindo que usuários tenham apenas o nível de acesso necessário para cumprir suas tarefas, e exigir a adoção de Múltiplo Fato de Autenticação (MFA) para todos os logins. Por fim, os órgãos devem combinar o uso de Certificados de Governo e MFA, garantindo proteção sucessiva ao acesso a sistemas críticos.

Phishing: principal vetor de ameaças

Embora o ataque específico ao Siafi ainda esteja sob investigação, o phishing de fato é a porta de entrada para até 95% dos ataques, segundo relatório da Comcast Business. Portanto, para o especialista em cibersegurança e CEO da HSC Labs, Romulo Boschetti, faz sentido que o CITR Gov destaque o treinamento de usuários como primeira orientação.

“Nós temos sempre que pensar que o usuário é nossa última barreira de proteção. Desta forma, ensiná-lo como identificar uma possível ameaça e saber como reagir a ela ainda é o método mais eficaz de proteção”, afirma Boschetti. Isso é especialmente importante para ameaças que são direcionadas ao usuário, como ataques baseados em engenharia social. 

Além disso, o ideal é que a conscientização do usuário também esteja alinhada com o investimento em ferramentas adequadas de segurança. “A melhor forma de eliminar os riscos de phishing é atuar nas duas frentes, combinando tecnologia e conscientização de forma integrada. Nós adotamos essa abordagem com diversos clientes e observamos na prática o reforço de segurança que ela proporciona”, diz Boschetti.

O especialista destaca três pontos principais que os gestores de TI e segurança devem considerar nessa abordagem. O primeiro é a adoção de uma solução antiphishing baseada em IA para bloquear os ataques antes que eles cheguem à caixa de entrada. “É importante também que a solução consiga remover uma ameaça direto da mailbox, caso o e-mail já tenha sido entregue”, afirma.

Um segundo ponto é o monitoramento de senhas vazadas na deepweb, com uma solução que identifica se as senhas dos usuários estão entre as que foram comprometidas em algum vazamento. O monitoramento ajuda a reduzir o risco do uso indevido de credenciais, e deve ser adotado junto com medidas de autenticação e privilégio mínimo, como as recomendadas pelo CITR Gov.

Por fim, o treinamento e a conscientização de usuários, que devem incluir testes contínuos, ataques simulados e conteúdos de aprendizado. Dessa forma, os usuários vão aprender a reconhecer as ameaças, que chegam não apenas por e-mail, mas também via redes sociais, ligações e mensagens.

Nesse sentido, as ferramentas oferecidas pela HSC incluem o MailInspector, um antiphishing de última geração, e o MindAware, uma plataforma de conscientização e treinamento em cibersegurança, que promove ataques simulados de phishing e oferece conteúdos educativos para os usuários. Além disso, o MindAware inclui um módulo avançado de monitoramento de senhas, que se integra ao Active Directory da organização e alerta para senhas comprometidas.

Mais informações no site hsclabs.com.