Você está aqui: Página Inicial / Blog / 7 ameaças de segurança em dispositivo móvel que você deve levar a sério em 2019

7 ameaças de segurança em dispositivo móvel que você deve levar a sério em 2019

Adaptação do artigo de JR Raphael. 

Segurança móvel está no topo de qualquer preocupação das empresas hoje em dia. E é por uma boa razão, já que quase todos os empregados, hoje, acessam dados corporativos de seus smartphones, rotineiramente. Isso significa que manter informações sensíveis longe das mãos erradas é cada vez mais complicado. As apostas estão mais altas do que nunca: o custo médio de uma violação de dado é de gritantes $3,86 milhões de dólares, de acordo com um relatório de 2018 do Ponemon Institute. Isso é 6,4% a mais que o custo estimado um ano antes.

Enquanto é fácil focar no tema sensacionalista sobre malware, a verdade é que infecções por malware em dispositivos móveis são incrivelmente incomuns no mundo real — com a probabilidade de ser infectado sendo significativamente menor do que de ser atingindo por um raio, de acordo com o One Estimate. Malware está atualmente ranqueado como a ação inicial menos comum em incidentes de violação de dados, de fato, aparece atrás de ataques físicos no 2019 Data Breach Investigations Report da Verizon. Isso se dá graças à natureza do malware móvel e das proteções inerentes inseridas nos sistemas operacionais modernos em dispositivos móveis.

Os riscos de segurança móvel mais realistas se encontram em algumas áreas facilmente negligenciadas, e espera-se que todas elas se tornem mais urgentes à medida que avançamos em 2019:


1. Vazamento de Dados


Lembra-se das chances quase inexistentes de ser infectado por malware? Bem, quando se trata de uma violação de dados, as empresas têm quase 28% de chance de experimentar pelo menos um incidente nos próximos dois anos, com base na pesquisa mais recente da Ponemon - chances de mais de um em cada quatro, em outras palavras.

O que torna a questão especialmente irritante é que ela geralmente não é nefasta por natureza; em vez disso, é uma questão de os usuários inadvertidamente tomarem decisões imprudentes sobre quais aplicativos são capazes de ver e transferir suas informações.

Dionisio Zumerle, diretor de pesquisa de segurança móvel da Gartner, sugere recorrer a soluções de defesa contra ameaças móveis (MTD) - produtos como o Endpoint Protection Mobile da Symantec, o SandBlast Mobile da CheckPoint e o Zimperium's zIPS Protection. Esses utilitários varrem aplicativos em busca de "comportamento de vazamento", diz Zumerle, e podem automatizar o bloqueio de processos problemáticos.

Naturalmente, mesmo isso nem sempre cobrirá o vazamento que acontece como resultado de um erro manifesto do usuário. Esse é um desafio que o setor de saúde está atualmente lutando para superar: de acordo com a fornecedora de seguros especializada Beazley, a "divulgação acidental" foi a principal causa de violações de dados relatadas por organizações de saúde no terceiro trimestre de 2018. Essa categoria, combinada com vazamentos internos, foi responsável por quase metade de todas as violações relatadas durante esse período de tempo.

Para esse tipo de vazamento, as ferramentas de prevenção de perda de dados (DLP) podem ser a forma mais eficaz de proteção. Esse software é projetado explicitamente para evitar a exposição de informações confidenciais, inclusive em cenários acidentais.


Hacker Rangers - Gamificação para conscientização em segurança da informação


2. Engenharia Social


A tática experimentada e verdadeira do truque é tão preocupante na frente móvel quanto nos desktops. Apesar da facilidade com que se poderia pensar que os golpes de engenharia social poderiam ser evitados, eles permanecem surpreendentemente eficazes.

Espantosos 91% do cibercrime começa com o e-mail, de acordo com um relatório de 2018 da empresa de segurança FireEye. O phishing, especificamente, cresceu 65% ao longo de 2017, diz a empresa, e os usuários móveis correm o maior risco de cair nessa por causa da forma como muitos clientes de e-mail móvel exibem apenas o nome do remetente, tornando especialmente fácil falsificar mensagens e levar uma pessoa a pensar que um e-mail é de alguém que ela conhece ou confia.

De acordo com um estudo da IBM, os usuários são três vezes mais propensos a responder a um ataque de phishing em um dispositivo móvel do que em um desktop, em parte porque um telefone é o local onde as pessoas têm maior probabilidade de ver uma mensagem pela primeira vez. A mais recente pesquisa da Verizon apoia essa conclusão e acrescenta que os tamanhos de tela menores e a correspondente exibição limitada de informações detalhadas em smartphones (especialmente em notificações, que frequentemente agora incluem opções de um toque para abrir links ou responder a mensagens) também podem aumentar a probabilidade de sucesso do phishing.

Além disso, o posicionamento proeminente de botões orientados à ação em clientes de e-mail móvel e a maneira desfocada e multitarefa com que os trabalhadores tendem a usar smartphones amplificam o efeito - e o fato de que a maioria do tráfego da Web geralmente está acontecendo agora em dispositivos móveis só incentiva ainda mais os atacantes a visar essa frente.

Também já não é só um e-mail:  como a empresa de segurança corporativa Wandera observou em seu último relatório de ameaças móveis, 83% dos ataques de phishing do ano passado ocorreram fora da caixa de entrada - em mensagens de texto ou em aplicativos como Facebook Messenger e WhatsApp, juntamente com uma variedade de jogos e serviços de mídia social. 

Além disso, enquanto apenas uma porcentagem de um único dígito dos usuários realmente clica em links relacionados a phishing - entre 1% e 5%, dependendo do setor, de acordo com os dados mais atuais da Verizon -, pesquisas anteriores da Verizon indicam que esses crédulos caras e moças tendem a ser criminosos reincidentes.  A empresa observa que quanto mais vezes alguém clicar em um link de campanha de phishing, maior a probabilidade de fazê-lo novamente no futuro. A Verizon já relatou anteriormente que 15% dos usuários que são explorados com sucesso serão explorados pelo menos mais uma vez no mesmo ano.

"Vemos um aumento geral na suscetibilidade móvel impulsionado pelo aumento da computação móvel em geral e pelo crescimento contínuo dos ambientes de trabalho da BYOD", diz John "Lex" Robinson, estrategista de segurança da informação e antiphishing da PhishMe - uma empresa que usa simulações do mundo real para treinar os trabalhadores para reconhecer e responder às tentativas de phishing.

Robinson observa que a linha entre o trabalho e a computação pessoal também continua a diminuir. Mais e mais trabalhadores estão visualizando várias caixas de entrada - conectadas a uma combinação de trabalho e contas pessoais - juntos em um smartphone, ele observa, e quase todos conduzem algum tipo de negócio pessoal on-line durante o dia de trabalho. Consequentemente, a noção de receber o que parece ser um e-mail pessoal ao lado de mensagens relacionadas ao trabalho não parece nada incomum na superfície, mesmo que possa, de fato, ser um estratagema.

As apostas só continuam subindo mais alto. Aparentemente, os criminosos cibernéticos estão agora até mesmo usando o phishing para tentar enganar as pessoas e fazer com que elas desistam dos códigos de autenticação de dois fatores, projetados para proteger as contas contra o acesso não autorizado. Voltando à autenticação baseada em hardware - seja através de chaves de segurança física dedicadas como o Titan do Google ou Yubico do YubiKeys do Yubico ou através da opção de chave de segurança no dispositivo do Google para telefones Android - é amplamente considerado como a forma mais eficaz de aumentar a segurança e diminuir as chances de uma aquisição baseada em phishing.

De acordo com um estudo conduzido pela Google, Universidade de Nova York e UC San Diego, mesmo a autenticação apenas no dispositivo pode impedir 99% dos ataques de phishing em massa e 90% dos ataques direcionados, em comparação com uma taxa de efetividade de 96% e 76% para esses mesmos tipos de ataques com os códigos 2FA mais suscetíveis a phishing.


3. Interferência de Wi-Fi


Um dispositivo móvel é tão seguro quanto a rede através da qual transmite dados. Em uma era em que todos nós nos conectamos constantemente a redes Wi-Fi públicas, isso significa que nossas informações muitas vezes não são tão seguras quanto poderíamos supor.

Por que se preocupar? De acordo com uma pesquisa da Wandera, os dispositivos móveis corporativos usam Wi-Fi quase três vezes mais do que usam dados celulares. Quase um quarto dos dispositivos se conectou a redes Wi-Fi abertas e potencialmente inseguras, e 4% dos dispositivos encontraram um ataque de man-in-the-middle - no qual alguém intercepta maliciosamente a comunicação entre duas partes - no mês mais recente. A McAfee, por sua vez, diz que a falsificação de rede aumentou "dramaticamente" nos últimos tempos, e ainda assim menos da metade das pessoas se preocupa em proteger sua conexão enquanto viajam e dependem de redes públicas.

"Hoje em dia, não é difícil criptografar o tráfego", diz Kevin Du, professor de ciência da computação da Syracuse University, especializada em segurança de smartphones. "Se você não tem uma VPN, você está deixando muitas portas em seu perímetro abertas".

No entanto, selecionar a VPN de classe empresarial certa não é tão fácil. Como na maioria das considerações relacionadas à segurança, um tradeoff é quase sempre necessário. "A entrega de VPNs precisa ser mais inteligente com dispositivos móveis, já que minimizar o consumo de recursos - principalmente bateria - é fundamental", ressalta Zumerle, da Gartner. Uma VPN eficaz deve saber ativar apenas quando absolutamente necessário, diz ele, e não quando um usuário está acessando algo como um site de notícias ou trabalhando em um aplicativo que é conhecido por ser seguro.


4. Dispositivos desatualizados


Smartphones, tablets e dispositivos conectados menores - comumente conhecidos como Internet das Coisas (IoT) - representam um novo risco para a segurança corporativa, pois, ao contrário dos dispositivos de trabalho tradicionais, eles geralmente não oferecem garantias de atualizações de software oportunas e contínuas. Isso é verdade principalmente no Android, onde a grande maioria dos fabricantes é embaraçosamente ineficaz em manter seus produtos atualizados - tanto com atualizações do sistema operacional (SO) quanto com os menores patches mensais de segurança entre eles - e também com dispositivos IoT, muitos dos quais nem mesmo são projetados para obter atualizações.

Além do aumento da probabilidade de ataques, um uso extensivo de plataformas móveis eleva o custo geral de uma violação de dados, de acordo com Ponemon, e uma abundância de produtos IoT conectados ao trabalho só faz com que esse número suba ainda mais. A Internet das Coisas é "uma porta aberta", de acordo com a empresa de segurança cibernética Raytheon, que patrocinou uma pesquisa que mostrou que 82% dos profissionais de TI previram que dispositivos IoT não seguros causariam uma violação de dados - provavelmente "catastrófica" - em sua organização.

Mais uma vez, uma política forte vai muito longe. Existem dispositivos Android que recebem atualizações contínuas, confiáveis e oportunas. Até que o cenário da IoT se torne menos um oeste selvagem, cabe à empresa criar sua própria rede de segurança ao seu redor.


5. Ataques de Cryptojacking


Uma adição relativamente nova à lista de ameaças móveis relevantes, o criptojacking é um tipo de ataque em que alguém usa um dispositivo para minar a moeda criptográfica sem o conhecimento do proprietário. Se tudo isso soa como um monte de tretas técnicas, basta saber disso: O processo de criptografia usa os dispositivos da sua empresa para o ganho de outra pessoa. Ele se inclina fortemente sobre sua tecnologia para fazê-lo - o que significa que os telefones afetados provavelmente terão uma vida útil pobre da bateria e poderão até mesmo sofrer danos devido ao superaquecimento dos componentes.

Embora a criptografia tenha se originado no desktop, ela viu um surto no celular do final de 2017 até o início de 2018. A mineração de moeda criptográfica indesejada constituiu um terço de todos os ataques no primeiro semestre de 2018, de acordo com uma análise da Skybox Security, com um aumento de 70% na proeminência durante esse tempo em comparação com o período do semestre anterior. E ataques de criptografia específicos para dispositivos móveis explodiram absolutamente entre outubro e novembro de 2017, quando o número de dispositivos móveis afetados teve um aumento de 287%, de acordo com um relatório da Wandera.

Desde então, as coisas esfriaram um pouco, especialmente no domínio móvel - um movimento ajudado em grande parte pela proibição de aplicativos de mineração de moeda criptográfica da App Store iOS da Apple e da Google Play Store associada ao Android em junho e julho, respectivamente. Ainda assim, as empresas de segurança observam que os ataques continuam a ter algum nível de sucesso através de sites móveis (ou mesmo apenas anúncios desonestos em sites móveis) e através de aplicativos baixados de mercados não oficiais de terceiros.

Os analistas também observaram a possibilidade de criptojacking via set-top boxes conectados à Internet, que algumas empresas podem usar para streaming e casting de vídeo. De acordo com a empresa de segurança Rapid7, os hackers encontraram uma maneira de aproveitar uma aparente brecha que torna a Android Debug Bridge - uma ferramenta de linha de comando destinada apenas para uso de desenvolvedores - acessível e pronta para abuso em tais produtos.

Por enquanto, não há grande resposta - além de selecionar dispositivos cuidadosamente e manter uma política que exige que os usuários baixem aplicativos apenas da vitrine oficial de uma plataforma, onde o potencial de criptojacking de código é acentuadamente reduzido - e, realisticamente, não há indicação de que a maioria das empresas esteja sob qualquer ameaça significativa ou imediata, especialmente devido às medidas preventivas que estão sendo tomadas no setor. Ainda assim, dada a atividade flutuante e o crescente interesse nessa área nos últimos meses, é algo que vale a pena estar ciente e de olho no progresso de 2019.


6. Manutenção pobre da senha


Seria de esperar que já tivéssemos ultrapassado este ponto, mas, de alguma forma, os utilizadores ainda não estão a proteger as suas contas corretamente - e quando transportam telemóveis que contêm contas da empresa e assinaturas pessoais, isso pode ser particularmente problemático.

Uma pesquisa recente da Google e da Harris Poll encontrou que pouco mais da metade dos americanos, com base na amostra da pesquisa, reutiliza senhas em várias contas. Igualmente preocupante, quase um terço não está usando a autenticação de dois fatores (ou não sabe se está sendo usado - o que pode ser um pouco pior). Apenas um quarto das pessoas está usando ativamente um gerenciador de senhas, o que sugere que a grande maioria das pessoas provavelmente não tem senhas particularmente fortes na maioria dos lugares, já que elas estão presumivelmente gerando e lembrando-as por conta própria.

As coisas só pioram a partir daí: de acordo com uma análise do LastPass de 2018, metade dos profissionais usam as mesmas senhas para contas pessoais e de trabalho. E se isso não for suficiente, um funcionário médio compartilha cerca de seis senhas com um colega de trabalho no decorrer de seu emprego, segundo a análise.

Não pense que tudo isso não tem nada a ver com nada. Em 2017, a Verizon descobriu que senhas fracas ou roubadas eram responsáveis por mais de 80% das violações relacionadas a hackers em empresas. De um dispositivo móvel em particular - onde os trabalhadores querem entrar rapidamente em vários aplicativos, sites e serviços - pense sobre o risco para os dados da sua organização se apenas uma pessoa estiver digitando de forma descuidada a mesma senha que usa para uma conta da empresa em um prompt em um site de varejo aleatório, aplicativo de bate-papo ou fórum de mensagens. Agora, combine esse risco com o risco já mencionado de interferência Wi-Fi, multiplique pelo número total de funcionários em seu local de trabalho e pense nas camadas de pontos de exposição prováveis que estão se somando rapidamente.

Talvez o mais irritante de tudo seja que a maioria das pessoas parece completamente alheia às suas omissões nesta área. Na pesquisa do Google e Harris Poll, 69% dos entrevistados se deram um "A" ou "B" em proteger efetivamente suas contas on-line, apesar das respostas subsequentes que indicavam o contrário. Claramente, você não pode confiar na própria avaliação de um usuário sobre o assunto.


Hacker Rangers - Gamificação para conscientização em segurança da informação


7. Violações de dispositivos físicos


Por último, mas não menos importante, é algo que parece especialmente tolo, mas que continua a ser uma ameaça perturbadoramente realista: um dispositivo perdido ou desacompanhado pode ser um grande risco à segurança, especialmente se não tiver um PIN ou senha forte e criptografia de dados completa.

Considere o seguinte: em um estudo Ponemon 2016, 35% dos profissionais indicaram que seus dispositivos de trabalho não tinham medidas obrigatórias em vigor para proteger dados corporativos acessíveis. Pior ainda, quase metade dos entrevistados disseram que não tinham senha, PIN ou segurança biométrica guardando seus dispositivos - e cerca de dois terços disseram que não usavam criptografia. Sessenta e oito por cento dos entrevistados indicaram que às vezes compartilhavam senhas entre contas pessoais e de trabalho acessadas através de seus dispositivos móveis.

As coisas não parecem estar melhorando. Em sua análise do cenário de ameaças móveis de 2019, Wandera descobriu que 43% das empresas tinham pelo menos um smartphone em sua lista sem nenhuma segurança de bloqueio de tela. E entre os usuários que criaram senhas ou PINs em seus dispositivos, a empresa relata que muitos optaram por usar o código de no mínimo quatro caracteres quando tiveram a oportunidade.

A lição é simples: deixar a responsabilidade nas mãos dos usuários não é suficiente. Não faça suposições; faça políticas. Você vai agradecer a si mesmo mais tarde.

Julia

Júlia Araújo
Produtora de Conteúdo na Perallis Security

Fonte:
https://threatpost.com/gamification-transform-company-cybersecurity-culture/147904/