A maioria dos funcionários não espera acordar para saber que o dia de pagamento foi adiado devido a phishing. E você provavelmente não imaginaria que o CFO está executando seu trabalho lateral de um computador da empresa, ou que as credenciais corporativas de um funcionário estão na dark web devido às horas de trabalho gastas em sites de namoro. Internet lenta não é surpresa, mas descobrir que a largura de banda está sendo drenado de um show de webcam ‘temática para adultos’ dos trabalhadores é um pouco mais alarmante. Bem-vindo à vida de um profissional de segurança de TI.
São histórias como essas que podem ser surpreendentemente típicas para profissionais de segurança de TI. De fato, as ameaças à segurança cibernética – tanto de dentro quanto de fora da empresa – tornaram-se tão grandes que a segurança cibernética ganhou vida própria no setor de TI. Ficou tão grande que a demanda por profissionais de segurança cibernética está aumentando muito. De acordo com dados da CyberSeek, um recurso gratuito de carreira e força de trabalho em segurança cibernética, apenas nos EUA, “houve 301.873 vagas de emprego em segurança cibernética nos setores privado e público durante o período de 12 meses entre abril de 2017 e março de 2018”. Histórias de terror de segurança cibernética corporativa, como as que você está prestes a ler, são um grande motivo.
Hospedando um show adulto em servidores corporativos
Embora o comportamento online inadequado pareça ser o principal problema no mundo de TI, muitas vezes não é demonstrado por hackers, mas por funcionários internos. Raj Goel, fundador do provedor de serviços gerenciados (MSP) Brainlink, com sede em Nova York, achava que, em seus mais de 20 anos em TI, já tinha visto de tudo. Mas um incidente recente foi algo que ele nunca imaginou.
O CFO de um cliente ligou para a Brainlink para descobrir por que seu departamento de TI estava constantemente ficando sem largura de banda, mesmo depois de gastar dinheiro em uma atualização.
“Esses caras tinham o que eu chamaria de ‘fat pipe’”, diz Goel, “mas, por algum motivo, seus caras de TI continuavam dizendo que estavam completamente cheios. Então eu olhei e descobri que um desses mesmos caras de TI estava executando um site de webcam pay-per-view fora da rede da empresa. Era um site pornô, e aparentemente a namorada e os amigos dela eram o talento.”
Ainda mais chocante: isso durou mais de dois anos, e ninguém percebeu – mesmo depois que as ações desse funcionário custaram à empresa mais de US$ 180.000 e a necessidade de atualizar sua rede a cada três meses porque estava muito lenta.
Então eu olhei e descobri que um desses mesmos caras de TI estava executando um site de webcam pay-per-view fora da rede da empresa. Era um site pornô, e aparentemente a namorada e os amigos dela eram o talento.”
“A conclusão aqui foi que o CFO deveria ter sido mais proativo. Ele perguntava à TI, e eles estavam apenas dando a ele não respostas para suas perguntas”, diz Goel. “A lição aqui é que, mesmo que você tenha uma equipe interna de TI ou MSP, é importante (em algum momento) trazer um terceiro para fazer uma auditoria ou avaliação independente. Você precisa verificar se está obtendo um ROI e se todos estão fazendo seu trabalho.”
Trabalho paralelo do CFO
Goel também se lembra de um incidente em que uma empresa de saúde o chamou para fazer uma verificação de conformidade e segurança, e ele descobriu que o CFO estava administrando uma empresa completamente separada de seu escritório.
“Perguntei a ele e mencionei que estava vendo um logon em uma conexão remota todos os dias e, assim que ele ouviu isso, o cara pareceu atordoado… Achei que ele ia ter um ataque cardíaco, quando lhe contei. No início, ele não disse, mas depois admitiu que estava fazendo algum trabalho paralelo para seu próprio negócio”, diz Goel.
Enquanto Goel observa que o executivo não estava usando os recursos da empresa, ele diz que o funcionário ainda passava metade do dia administrando seu negócio privado de importação/exportação no horário da empresa, fazendo login em seu computador doméstico remotamente. Goel e sua equipe descobriram isso avaliando o tráfego de firewall da rede. A princípio, ele esperava que talvez os problemas fossem decorrentes de um data center externo. No entanto, quando ele se aproximou do CFO, ele não esperava a reação que teve:
“Perguntei a ele e mencionei que estava vendo um logon em uma conexão remota todos os dias e, assim que ele ouviu isso, o cara pareceu atordoado… Achei que ele ia ter um ataque cardíaco, quando lhe contei. No início, ele não disse, mas depois admitiu que estava fazendo algum trabalho paralelo para seu próprio negócio”, diz Goel.
Phishing adia pagamento
Às vezes, as empresas não percebem que ocorreu uma violação. E mesmo depois de descobrir um, eles nem sempre tomam as medidas de segurança necessárias.
“Uma violação externa que é altamente divulgada pode prejudicar a reputação, e então o cliente não investe em controles de segurança apenas para descobrir que os hackers nunca saíram e ainda estão se infiltrando em sua rede”, Bart Barcewicz, fundador da MSP B, com sede em Chicago. Suite Cyber Security, diz Tom’s Hardware.
“Se alguém tivesse configurado regras e autenticação, teria sido alertado de que as informações foram alteradas”, diz Barcewicz. “O maior [problema] foi que, depois que isso aconteceu, eles não quiseram investir em uma solução de segurança cibernética e não aprenderam com essa experiência.”
Veja a grande empresa de manufatura/distribuição para a qual Barcewicz trabalhou em um emprego anterior. Ele diz que cerca de 10 funcionários receberam um e-mail de phishing, pelo qual caíram, enviando suas credenciais do Office 365 e outras informações de login para hackers desavisados. Os hackers usaram as informações para entrar nas contas de folha de pagamento dessa empresa e alteraram todas as informações da conta dos funcionários. Como a empresa não tinha nenhum alerta ou controles de segurança instalados, a violação só foi descoberta duas semanas depois, quando os funcionários não receberam seus contracheques.
“Se alguém tivesse configurado regras e autenticação, teria sido alertado de que as informações foram alteradas”, diz Barcewicz. “O maior [problema] foi que, depois que isso aconteceu, eles não quiseram investir em uma solução de segurança cibernética e não aprenderam com essa experiência.”
Desespero da Dark Web
Outra situação, que Barcewicz viu ocorrer em vários clientes, é que os funcionários usam informações de login corporativo (por exemplo: seus endereços de e-mail de trabalho) para se inscrever em sites pessoais, como mídias sociais e serviços de namoro. Embora o acesso a esses sites seja normalmente desaprovado durante o horário de trabalho, torna-se um problema de segurança quando as informações corporativas de um usuário são usadas em um site violado e essas credenciais acabam na dark web. Barcewicz descobriu essa situação exata depois de fazer uma análise da dark web para uma empresa de engenharia com 2.500 funcionários.
“Eles literalmente dizem que estão gravando cada movimento online do usuário, dizem que os estão assistindo pela webcam e que, se não pagarem em Bitcoins, deixarão sua lista de contatos saber tudo o que estão fazendo.”
Barcewicz também observa outro golpe da dark web ganhando popularidade, onde hackers sequestram o computador de um usuário e ameaçam denunciar seu comportamento online inadequado para todos em sua lista de contatos:
“Eles literalmente dizem que estão gravando cada movimento online do usuário, dizem que os estão assistindo pela webcam e que, se não pagarem em Bitcoins, deixarão sua lista de contatos saber tudo o que estão fazendo.”
Barcewicz aconselha que os funcionários se abstenham de usar informações de trabalho para fins pessoais.
“Alguém pode pegar essas informações e usá-las para um golpe, como manter suas informações como resgate em troca de dinheiro Bitcoin”, diz ele.
Lutando contra a insanidade
Uma das razões pelas quais a demanda por profissionais de segurança é tão grande é que eles não estão apenas lutando contra uma série de ameaças externas; eles também estão gerenciando uma quantidade saudável de riscos de dentro da organização. Isso pode vir de um funcionário que tem acesso a servidores e outras tecnologias, e ainda mais depois que um funcionário sai, especialmente se não for uma despedida amigável. Para remediar isso, Barcewicz recomenda tomar medidas como implementar a autenticação de dois fatores e instalar um gerenciador de senhas.
“O mínimo para qualquer negócio é usar uma autenticação de senha em duas etapas quando possível, além de usar senhas diferentes por meio de uma ferramenta de gerenciamento de senhas”, diz ele. “Também recomendamos alterar sua senha (para sites confidenciais) a cada três a seis meses, mas com a autenticação em duas etapas, isso geralmente não precisa ser feito com tanta frequência.”
E Barcewicz pratica o que prega a seus clientes. Ele pessoalmente usa um gerenciador de senhas baseado na web que gera automaticamente uma senha distinta para cada site que ele acessa (assim como autenticação em duas etapas). Ele diz que isso ocorre porque as senhas geradas automaticamente são mais difíceis de violar. “Os hackers nem sempre estão procurando a senha exata”, diz ele. “Eles estão tentando descobrir variações e padrões porque sabem que muitas vezes são usados dessa maneira em outros sites.”
Tanto Barcewicz quanto Goel dizem que a moral dessas histórias é que, para os empresários, o melhor curso de ação é ter um avaliador de segurança de TI terceirizado que saiba o que está fazendo.
“O mínimo para qualquer negócio é usar uma autenticação de senha em duas etapas quando possível, além de usar senhas diferentes por meio de uma ferramenta de gerenciamento de senhas”, diz ele.
“Uma boa avaliação nunca é demais”, diz Goel. “Mas você tem que gastar o dinheiro; não use alguém que vai apenas baixar uma ferramenta gratuita e depois dizer o que você quer ouvir. Você precisa de alguém que analise coisas como tráfego de padrões, dados, comportamento do usuário e outras áreas importantes.”
Barcewicz acrescenta que a resistência à mudança impediu alguns clientes de investir em segurança cibernética adequada. No caso do cliente cuja folha de pagamento foi hackeada, os executivos ainda se recusaram a melhorar sua abordagem à segurança cibernética. “Eles não queriam mudar a forma como trabalhavam, e o dinheiro não era o motivo”, diz ele. “Foi mais a resistência à mudança; esse foi o principal motivador.”
Qual é a sua história de segurança de TI mais louca? Você pode superar o escândalo da webcam? Deixe-nos saber nos comentários abaixo.
