O que são ataques baseados na identidade e como os impedir?
Com o mundo virtual a depender cada vez mais da autorização baseada na identidade, os ciberataques baseados na identidade tornaram-se uma ameaça crescente. O recém-lançado relatório "2023 Trends in Securing Digital Identities" relatório pela Identity Defined Security Alliance (IDSA) revelou que um número impressionante de 90% das organizações encontrou pelo menos uma violação vinculada a identidades digitais no ano passado.
Os ataques baseados na identidade visam especificamente e comprometem as identidades digitais de indivíduos, organizações ou entidades. Abrangendo uma variedade de técnicas e métodos utilizados pelos cibercriminosos, estes ataques exploram vulnerabilidades relacionadas com a gestão da identidade e do acesso.
O que é um ataque baseado na identidade?
Os ataques baseados na identidade visam roubar, manipular ou utilizar indevidamente informações relacionadas com a identidade, tais como nomes de utilizador, nomes de domínio, endereços de correio eletrónico, palavras-passe, dados pessoais ou certificados digitais. O principal objetivo é, muitas vezes, obter acesso não autorizado a sistemas, dados ou recursos, cometer fraudes ou realizar actividades maliciosas, fazendo-se passar por utilizadores ou entidades legítimas. Estes ataques centram-se na exploração de vulnerabilidades relacionadas com a forma como as identidades são geridas, verificadas ou autenticadas num computador ou ambiente de rede.
Tipos de ataques baseados na identidade
Podem assumir várias formas e representam uma ameaça significativa para a cibersegurança, a privacidade e a integridade dos sistemas e serviços em linha. Os tipos mais comuns incluem
Ataques de phishing baseados na identidade
Os ataques de phishing envolvem frequentemente a representação de uma entidade de confiança, como uma organização ou indivíduo legítimo, para enganar os utilizadores e levá-los a revelar as suas informações sensíveis, como nomes de utilizador, palavras-passe ou informações bancárias. Os e-mails, sítios Web ou mensagens de phishing são utilizados para roubar estas credenciais.
Recheio de Credenciais
Recheio de credenciais ou phishing de credenciais tira partido da psicologia humana de utilizar o mesmo conjunto de palavras-passe para várias plataformas, uma vez que elimina a necessidade de memorizar várias palavras-passe.
Um exemplo popular deste ataque é a infame violação de dados da violação de dados da Target que se baseou neste método malicioso.
Esta violação é um dos ataques baseados em identidade mais significativos da história, uma vez que os atacantes utilizaram credenciais de início de sessão roubadas para se infiltrarem no sistema de um fornecedor ligado à rede da Target, comprometendo, em última análise, os dados pessoais e financeiros de mais de 41 milhões de consumidores. Subsequentemente, foi instalado software malicioso nos sistemas de ponto de venda (POS) da Target, resultando em perdas financeiras substanciais que incluíram o custo da investigação, melhorias de cibersegurança e acordos legais, totalizando $18.5M.
Ataques Man-in-the-Middle (MitM)
Ataques MitM interceptam a comunicação entre duas partes, permitindo que os atacantes escutem ou alterem os dados que estão a ser transmitidos. Isto pode implicar fazer-se passar por uma das partes em comunicação para obter acesso a informações sensíveis.
Engenharia social
Os ataques de engenharia social, conhecidos por levarem ao comprometimento de identidades, baseiam-se mais na manipulação da psicologia humana do que em explorações técnicas. Os engenheiros sociais utilizam meios como ataques de personificação para explorar o comportamento humano, a confiança e as normas sociais para atingir os seus objectivos maliciosos.
O controlo deste elemento humano apenas através da tecnologia pode ser um desafio formidável. Este facto torna os programas de formação e sensibilização dos funcionários cruciais, embora não sejam infalíveis.
Porque é que os ataques baseados na identidade são uma ameaça?
Os ataques baseados na identidade podem assumir várias formas e são considerados ameaças significativas por várias razões.
1. O valor das identidades roubadas
Os cibercriminosos podem lucrar com identidades roubadas através de várias actividades maliciosas, como fraude financeira, fraude fiscal ou roubo de identidade. As identidades roubadas também fornecem frequentemente acesso a dados e recursos sensíveis. Por exemplo, as identidades de funcionários comprometidas podem ser utilizadas para obter acesso não autorizado aos sistemas internos, dados confidenciais ou segredos comerciais de uma empresa.
Os indivíduos que são vítimas de ataques baseados na identidade podem sofrer perdas financeiras significativas devido a transacções fraudulentas, acesso não autorizado a contas bancárias ou utilização não autorizada de linhas de crédito. Para as organizações, uma violação que envolva identidades roubadas pode causar graves danos à sua reputação. Os clientes e parceiros podem perder a confiança na capacidade da organização para salvaguardar informações sensíveis.
Consequentemente, as empresas estão a implementar proactivamente medidas para se protegerem desta ameaça. Com base num inquérito da inquérito da IDSAde 2023, mais de 60% das empresas elevaram a gestão e a segurança das identidades digitais às suas três principais prioridades. Além disso, aproximadamente metade dessas empresas fez investimentos em seguro cibernético para se proteger contra incidentes relacionados à identidade.
A natureza evolutiva dos ataques baseados na identidade
Os ataques baseados na identidade estão a evoluir continuamente em termos de sofisticação. Os atacantes utilizam técnicas avançadas para roubar identidades, tais como e-mails de phishing que imitam comunicações legítimas ou utilizam tácticas de engenharia social para manipular as pessoas de modo a que estas divulguem as suas credenciais.
Os perpetradores envolvem-se frequentemente em ataques direccionados, concentrando-se em indivíduos ou organizações específicas. Para criar ataques mais evasivos e difíceis de detetar, investem tempo na recolha de informações, adaptando as suas tácticas aos alvos escolhidos. Estes atacantes utilizam uma série de técnicas e ferramentas para ocultar as suas actividades, incluindo o encaminhamento das suas acções através de vários servidores e a utilização de tecnologias de anonimato como o Tor. Os dados roubados são frequentemente monetizados na dark web, criando obstáculos significativos à interrupção da cadeia de distribuição e partilha, complicando assim a atribuição de ataques a indivíduos ou grupos específicos.
Mesmo depois de atenuar um ataque baseado na identidade, continua a existir o risco de ataques subsequentes. Os atacantes podem ter adquirido informações valiosas durante a violação inicial, que podem ser exploradas em ataques futuros.
Litígios devido à falta de proteção das bases de dados de clientes
Leis como o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD) e a Lei de Privacidade do Consumidor da Califórnia (CCPA) impõem requisitos rigorosos às organizações relativamente à proteção de dados pessoais. O incumprimento pode resultar em coimas e acções judiciais significativas. Para além das sanções legais, as organizações podem também enfrentar os custos associados a litígios, incluindo honorários de advogados e acordos.
Num incidente significativo, a Equifax foi obrigada a pagar até $575 milhões em restituições aos consumidores afectados e uma sanção civil de 175 milhões de dólares aos Estados devido a uma violação de dados. Esta violação resultou do facto de a empresa não ter resolvido prontamente uma vulnerabilidade conhecida nos seus sistemas.
Como evitar ataques baseados na identidade
A prevenção de ataques com base na identidade requer uma abordagem de segurança abrangente e proactiva que inclua medidas técnicas e formação dos utilizadores. Eis algumas medidas sugeridas
Práticas de palavras-passe fortes
-
Enfatizar a complexidade da palavra-passe
Incentive os utilizadores a criar palavras-passe fortes que incluam uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Evite palavras-passe fáceis de adivinhar, como "password123".
-
Utilizar gestores de palavras-passe
Incentivar a utilização de gestores de senhas respeitáveis para gerar e armazenar senhas complexas de forma segura.
Autenticação multi-fator (MFA)
A MFA exige que os utilizadores forneçam dois ou mais factores de autenticação, tornando significativamente mais difícil para os atacantes obterem acesso não autorizado. Os métodos comuns de MFA, para além de uma prática normal de nome de utilizador e palavra-passe, são OTPs, biometria ou respostas a perguntas pessoais.
Implementação do DMARC
Implementar DMARC é um passo fundamental para fortalecer a sua segurança de correio eletrónico contra as ameaças generalizadas de falsificação de correio eletrónico e ataques de phishing. O DMARC funciona como um protocolo robusto de autenticação de correio eletrónico concebido para salvaguardar a integridade e a reputação do seu domínio no domínio digital.
Na sua essência, o DMARC funciona permitindo que as organizações definam uma política de correio eletrónico rigorosa, indicando claramente como tratar os e-mails que falham as verificações de autenticação como SPF e/ou DKIM. Esta política é incorporada num registo DMARC, que é publicado no Sistema de Nomes de Domínio (DNS) para verificação. Ao especificar as acções a tomar quando são encontrados emails não autorizados, o DMARC ajuda a garantir que apenas fontes legítimas podem utilizar o seu nome de domínio para enviar emails.
Utilize o nosso gerador de DMARC para criar um registo para o seu domínio.
Actualizações regulares de software e gestão de patches
Mantenha todo o software, incluindo os sistemas operativos e as aplicações, atualizado com os patches de segurança mais recentes para resolver vulnerabilidades conhecidas que os atacantes possam explorar.
Utilização de soluções de segurança
- Instale e actualize regularmente o software antivírus e anti-malware para detetar e bloquear o malware conhecido malware conhecidas.
- Implementar IDS para monitorizar o tráfego de rede para detetar actividades suspeitas e potenciais violações.
- Utilizar a segurança do correio eletrónico e estratégias de prevenção contra ameaças ao correio eletrónico.
Criptografia de dados
Encripte dados sensíveis em trânsito e em repouso. A encriptação ajuda a proteger os dados, mesmo que caiam nas mãos erradas, dificultando o acesso dos atacantes a informações significativas.
Modelo de segurança Zero Trust
Adotar uma Segurança Zero Trust Abordagem em que a confiança nunca é assumida e são aplicados controlos de acesso rigorosos com base na autenticação e autorização contínuas. Este modelo minimiza a superfície de ataque e reduz o risco de ataques baseados na identidade.
Eliminar os sistemas antigos
Eliminar gradualmente e substituir sistemas antigos desactualizados sistemas antigos que podem ter vulnerabilidades não corrigidas ou controlos de segurança fracos. Os sistemas antigos podem ser alvos atractivos para os atacantes.
Envolvimento
Pode reduzir significativamente o risco de ataques baseados na identidade e melhorar a postura geral de segurança, implementando estas medidas preventivas e promovendo uma cultura consciente da cibersegurança na sua organização. É importante manter-se vigilante, adaptar-se às ameaças emergentes e educar continuamente os funcionários e as partes interessadas sobre a evolução do panorama da cibersegurança.
Comece a utilizar o nosso Analisador DMARC e reforce as suas defesas de correio eletrónico hoje mesmo - contacte-nos para saber mais!
- Como se tornar um especialista em DMARC? - 3 de setembro de 2024
- O papel da adoção digital na capacidade de entrega e segurança do correio eletrónico - 2 de setembro de 2024
- Fases de implantação do DMARC: O que esperar e como se preparar - 30 de agosto de 2024