A proteção de segurança cibernética impede ataques sofisticados; salvaguardas adicionais estão sendo consideradas | Virginia Tech News #ÚltimasNotícias

Em julho, uma onda de e-mails de phishing direcionados a funcionários da Virginia Tech tentou — e quase conseguiu — desviar depósitos diretos, incluindo salários, de seu destino legítimo.

Eis o que aconteceu:

• Os funcionários receberam e-mails de phishing pedindo que eles fizessem login em uma tela de login falsa bem disfarçada. Se um usuário respondesse, os hackers tinham o nome de usuário e a senha desse funcionário.
• Os hackers então tentaram fazer login no e-mail do usuário da Virginia Tech, solicitando uma solicitação de autenticação Duo. Se o usuário inicialmente negasse essa solicitação, os hackers continuavam tentando até que o usuário aprovasse uma, uma tática conhecida como “fadiga de 2 fatores”.
• Depois que os hackers obtiveram as credenciais do usuário, eles acessaram o e-mail do usuário e criaram um filtro de e-mail para excluir mensagens relacionadas a notificações de alteração de depósito direto, que são mensagens importantes que protegem os ativos pessoais dos usuários.
• Em seguida, o hacker entrou no portal de funcionários da universidade, o que levou a outra rodada de solicitações fraudulentas do Duo. Depois que o usuário aprovou essa solicitação, os hackers entraram e puderam alterar as informações de depósito direto.
• O usuário permaneceu sem saber, porque a verificação por e-mail que a Virginia Tech envia quando uma alteração de depósito direto é feita foi excluída pelos filtros de e-mail recém-definidos.

Felizmente, proteções de segurança cibernética recentemente implantadas na Divisão de Tecnologia da Informação detectaram a atividade de login incomum, bem como outras ações de ameaça e deram um fim ao hack. No final, nenhum funcionário perdeu dinheiro com esse ataque em particular e nenhuma informação bancária foi comprometida.

A cibersegurança é um esforço de grupo

Este golpe é um exemplo de um número crescente de ataques cibernéticos sofisticados que têm afetado a universidade. Esses golpes recentes refletem uma dura verdade: os hackers estão ficando melhores no que fazem e estão estudando nossos processos de negócios para encontrar vulnerabilidades. Está claro que o que funcionou para proteger os usuários de serem vítimas de phishing há apenas alguns anos não é mais suficiente.

Cada membro da comunidade universitária tem um papel a desempenhar para permanecer seguro online. É uma responsabilidade compartilhada. A conscientização e a vigilância do usuário são essenciais para a postura de segurança da Virginia Tech porque as melhores ferramentas e salvaguardas ainda falharão se os usuários fornecerem suas credenciais de login.

“O ataque ao nosso processo de depósito direto poderia ter levado a perdas financeiras imediatas para funcionários individuais, alunos e a universidade”, disse Sharon P. Pitt, vice-presidente de tecnologia da informação e diretora de informação. “Estamos trabalhando diretamente com nossos colegas na Divisão de Finanças para identificar e interromper esses tipos de ataques, e precisamos continuar a encontrar maneiras de reforçar as defesas cibernéticas, para incluir uma comunidade mais informada e consciente da segurança.”

Autenticação aprimorada de dois fatores

Considere fazer login com autenticação de 2 fatores como entrar na sede de uma sociedade secreta da qual você tem o privilégio de ser membro. Seu nome de usuário e senha são a “batida secreta” na porta, específica apenas para você. Esse é o primeiro fator.

O segundo fator é quando o mordomo espia pelo olho mágico e se certifica de que é realmente você, não apenas alguém que aprendeu aquela batida especial. Em nosso mundo mediado por tecnologia, ganhamos essa garantia usando um dispositivo ao qual somente você deve ter acesso, como seu smartphone ou um token digital. Um hacker não conseguirá concluir a segunda etapa sem aquele dispositivo pessoal em mãos — ou sua aprovação concedida por engano.

Cada um dos portais em que entramos todos os dias existe para proteger uma parte de nossas informações pessoais ou profissionais: recursos financeiros, informações de saúde, dados de pesquisa, notas e acesso a cursos e todas as outras formas de comunicação privilegiada. Sem essa proteção, há dezenas de maneiras pelas quais cada um de nós, e a universidade como um todo, pode ser prejudicado. Dinheiro pode ser desviado; informações privadas sobre saúde, circunstâncias de vida ou notas podem ser expostas; serviços essenciais como Canvas ou Zoom podem ser desviados ou interrompidos; e dados de pesquisa podem ser corrompidos, apagados ou roubados.

A Virginia Tech já se defende contra milhares e milhares desses ataques a cada ano, a maioria dos quais você nunca ouve falar. As proteções de login atuais têm sido eficazes, mas inovação e vigilância constantes são necessárias para acompanhar as táticas em evolução.

“Quando implementamos a autenticação de dois fatores pela primeira vez em 2016, vimos uma redução significativa nas contas comprometidas, mas os ataques evoluíram e o número de contas comprometidas está aumentando novamente”, disse Kevin Rooney, diretor executivo interino da unidade de Serviços de Identidade Segura da Divisão de Tecnologia da Informação.

A divisão está trabalhando para introduzir um nível mais robusto de autenticação de 2 fatores na Virginia Tech, conhecido como 2FA aprimorado. Essa forma de autenticação verifica se a pessoa que solicita acesso é de fato a pessoa que deveria estar no controle dessa conta usando um item como um smartphone ou token digital para provar sua identidade.

Combatendo a fadiga de 2 fatores

A autenticação de 2 fatores funciona muito bem — desde que os usuários aprovem apenas as solicitações que eles realmente acionaram. Os criminosos desenvolveram uma maneira de contornar essa proteção, no entanto, por meio de uma técnica conhecida como incitação da fadiga de 2 fatores.

Basicamente, os hackers obtêm o nome de usuário e a senha por meio de uma tela ou formulário de login falso durante uma tentativa de phishing e, em seguida, trabalham para irritar ou confundir o usuário para aprovar uma segunda solicitação de autenticação de 2 fatores. Eles iniciarão o processo de login repetidamente, sabendo que muitos usuários eventualmente aceitarão a solicitação de autenticação fraudulenta apenas para fazer as notificações pararem. Em outros casos, os usuários podem inadvertidamente aceitar uma solicitação fraudulenta que acontece ao mesmo tempo em que estão tentando fazer login de verdade.

A autenticação de 2 fatores aprimorada resolve essas armadilhas ao exigir uma verificação adicional. Em vez de apenas tocar em “sim” em uma solicitação do Duo, os usuários devem inserir um número exclusivo e sensível ao tempo, que é gerado no login, no aplicativo móvel do Duo. Dessa forma, os usuários devem ser intencionais sobre em qual serviço estão fazendo login. Se receberem uma solicitação que não iniciaram, eles não saberão qual número inserir e entenderão que outra pessoa está tentando acessar sua conta.

A equipe de Rooney, em colaboração com o IT Security Office e o Collaborative Computing Solutions, está liderando o esforço para implementar a autenticação aprimorada de dois fatores na universidade.

“Os hackers sabem que é muito fácil para nós apertar um botão quando estamos com pressa ou às vezes até por acidente. O 2FA aprimorado torna muito mais difícil para os usuários aprovarem acidentalmente um login que eles não iniciaram, enquanto adiciona apenas um ou dois segundos extras ao processo de login”, disse Rooney.

Eliminando opções de segundo fator menos seguras

Embora receber um código por texto ou autenticar por meio de uma chamada telefônica tenha sido uma opção popular de segundo fator no passado, esses métodos agora são conhecidos por serem muito menos seguros. Chamadas e textos se tornaram mais fáceis de interceptar ou falsificar.

A autenticação aprimorada de 2 fatores remove essas opções de segundo fator. Os usuários devem autenticar usando o aplicativo móvel Duo, um token de software ou um dispositivo externo, como um token YubiKey ou Duo D-100, que está disponível por meio do Software Service Center.

“Você pode ter ouvido falar de ‘SIM swapping’ e outras técnicas que hackers podem usar para falsificar seu número de celular. O fato é que mensagens de texto e chamadas telefônicas são muito menos seguras do que tokens de hardware ou notificações push verificadas baseadas em aplicativo como fatores secundários”, disse Rooney.

Uma pequena mudança que produz benefícios mensuráveis

A Virginia Tech lançou a autenticação de 2 fatores aprimorada para seus quase 400 funcionários em julho. Ao adotar o serviço, a divisão está demonstrando como ele pode resultar em melhorias de segurança mensuráveis ​​com interrupção mínima para os usuários.

“Temos que manter um equilíbrio entre segurança e usabilidade”, disse Pitt. “Ao adotar autenticação aprimorada dentro da Divisão de TI primeiro, adquirimos experiência prática que nos ajudará a entender o impacto nos usuários e efetivamente implementar isso em outros departamentos.”

O que você pode fazer agora

O serviço de autenticação de 2 fatores aprimorado está disponível mediante solicitação para qualquer funcionário, departamento ou unidade da Virginia Tech, sem custo. Para optar, visite a página de solicitação do IT Service Catalog, faça login com seu nome de usuário e senha da Virginia Tech e preencha o formulário de solicitação.

Além disso, se você receber uma solicitação de autenticação do Duo que não foi iniciada por você, recuse essa solicitação escolhendo “negar” ou “Não estou fazendo login”. Se você receber solicitações adicionais que não vieram de você, certifique-se de denunciá-las pelo aplicativo e, em seguida, vá em frente e altere sua senha. Sempre recuse qualquer solicitação de autenticação de dois fatores que não tenha sido iniciada por você.