8 maneiras estranhas que os funcionários podem (acidentalmente) expor dados

De reflexos de óculos a novos anúncios de emprego, os funcionários têm maneiras estranhas de expor dados involuntariamente

Author Photo
11:59 am - 07 de outubro de 2022
Imagem: Shutterstock

Os funcionários são frequentemente avisados sobre os riscos de exposição de dados associados a e-mails de phishing, roubo de credenciais e uso de senhas fracas. No entanto, eles podem correr o risco de vazar ou expor informações confidenciais sobre si mesmos, o trabalho que fazem ou sua organização sem nem perceber. Esse risco frequentemente é inexplorado no treinamento de conscientização de segurança cibernética, deixando os funcionários alheios aos riscos que podem representar para a segurança dos dados que, se expostos, podem ser explorados direta e indiretamente para atingir trabalhadores e empresas para ganhos maliciosos.

Aqui estão oito maneiras incomuns, inesperadas e relativamente estranhas que os funcionários podem acidentalmente expor dados, juntamente com conselhos para abordar e mitigar os riscos associados a eles.

1. Os reflexos dos óculos expõem os dados da tela em chamadas de videoconferência

Plataformas de videoconferência, como Zoom e Microsoft Teams, tornaram-se um elemento básico do trabalho remoto/híbrido. No entanto, uma nova pesquisa acadêmica descobriu que os participantes de videoconferência com óculos podem correr o risco de expor acidentalmente informações através do reflexo de seus óculos.

Em um artigo intitulado Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Videoconferência, um grupo de pesquisadores da Universidade de Cornell revelou um método de reconstrução de texto de tela exposto por meio de óculos dos participantes e outros objetos reflexivos durante videoconferências. Usando modelagem matemática e experimentos com seres humanos, a pesquisa explorou até que ponto as webcams vazam informações textuais e gráficas reconhecíveis que refletem nos óculos.

“Nossos modelos e resultados experimentais em um ambiente de laboratório controlado mostram que é possível reconstruir e reconhecer com mais de 75% de precisão textos na tela com alturas tão pequenas quanto 10 mm com uma webcam de 720p”, escreveram os pesquisadores. “Aplicamos ainda mais esse modelo de ameaça a conteúdos textuais da Web com recursos variados de invasores para encontrar limites nos quais o texto se torna reconhecível”. O estudo de 20 participantes descobriu que as webcams atuais de 720p são suficientes para os adversários reconstruirem o conteúdo textual em sites de fontes grandes, enquanto a evolução para câmeras 4K derrubará o limite do vazamento de texto para a reconstrução da maioria dos textos de cabeçalho em sites populares.

Esses recursos nas mãos de um agente mal-intencionado podem ameaçar a segurança de alguns dados sensíveis e confidenciais. A pesquisa propôs mitigações de curto prazo, incluindo um protótipo de software que os usuários podem usar para desfocar as áreas dos óculos de seus fluxos de vídeo. “Para possíveis defesas de longo prazo, defendemos um procedimento de teste de reflexão individual para avaliar ameaças em várias configurações e justificar a importância de seguir o princípio de privilégio mínimo para cenários sensíveis à privacidade”, acrescentaram os pesquisadores.

2. As atualizações de carreira do LinkedIn acionam ataques de phishing de “novos contratados por SMS”

Na rede profissional LinkedIn, é comum que as pessoas postem ao iniciar uma nova função, atualizando seu perfil para refletir sua última mudança de carreira, experiência e local de trabalho. No entanto, esse ato aparentemente inócuo pode abrir novos iniciantes para os chamados ataques de phishing “novos contratados por SMS”, nos quais os invasores vasculham o LinkedIn em busca de novas vagas de emprego, procuram o número de telefone de um novo contratado em um site de corretagem de dados e enviam mensagens de phishing SMS fingindo ser um executivo sênior de dentro da empresa, tentando enganá-los durante as primeiras semanas de seu novo emprego.

Conforme detalhado pela especialista em engenharia social e CEO da SocialProof Security, Rachel Tobac, essas mensagens geralmente pedem cartões-presente ou transferências de dinheiro falsas, mas são conhecidas por solicitar detalhes de login ou decks confidenciais. “Eu vi um aumento no método de ataque de phishing por SMS de novas contratações recentemente”, ela escreveu no Twitter, acrescentando que se tornou tão comum que a maioria das organizações com as quais ela trabalha parou de anunciar novas contratações no LinkedIn e passou a recomendar aos iniciantes que limitem as postagens sobre seus novos cargos.

Essas são boas medidas de mitigação para reduzir os riscos de golpes de phishing por SMS de novos contratados, afirmou Tobac, e as equipes de segurança também devem educar os novos funcionários sobre esses ataques, descrevendo como será a comunicação genuína da empresa e quais métodos serão usados. Ela também recomendou fornecer aos funcionários o DeleteMe para remover seus detalhes de contato dos sites de corretagem de dados.

3. Mídias sociais, imagens de aplicativos de mensagens revelam informações de fundo confidenciais

Os usuários podem não associar a postagem de fotos em suas mídias sociais pessoais e aplicativos de mensagens como um risco para informações corporativas confidenciais, mas, como Dmitry Bestuzhev, Pesquisador de Ameaças mais distinto da BlackBerry, disse ao CSO, a divulgação acidental de dados por meio de aplicativos sociais como Instagram, Facebook, e o WhatsApp é uma ameaça muito real. “As pessoas gostam de tirar fotos, mas às vezes se esquecem do ambiente. Por isso, é comum encontrar documentos confidenciais na mesa, diagramas na parede, senhas em post-its, chaves de autenticação e telas desbloqueadas com aplicativos abertos na área de trabalho. Todas essas informações são confidenciais e podem ser usadas para atividades nefastas”.

É fácil para os funcionários esquecerem que, em uma tela desbloqueada, é simples identificar qual navegador eles usam, quais produtos antivírus estão conectados e assim por diante, acrescenta Bestuzhev. “Todas essas informações são valiosas para os invasores e podem ser facilmente expostas em fotos nas atualizações de status do Instagram, Facebook e WhatsApp”.

Keiron Holyome, VP UKI, Europa Oriental, Oriente Médio e África da BlackBerry, enfatiza a importância da educação em segurança e conscientização sobre esse problema. “As empresas não podem impedir os funcionários de tirar e compartilhar fotos, mas podem destacar os riscos e fazer com que os funcionários parem e pensem no que estão postando”, diz ele.

4. Erros de digitação do script de ingestão de dados resultam no uso incorreto do banco de dados

Falando ao CSO, Tom Van de Wiele, Principal Pesquisador de Ameaças e Tecnologia da WithSecure, diz que sua equipe tratou alguns casos incomuns em que um simples erro de digitação de um endereço IP ou URL para um script de ingestão de dados levou ao uso do banco de dados errado. “Isso resulta em um banco de dados misto que precisa ser higienizado ou revertido antes que o processo de backup seja iniciado, caso contrário a organização pode ter um incidente de PII [informações de identificação pessoal] que viola o GDPR”, acrescenta. “As empresas lidam com incidentes de mixagem de dados regularmente e, às vezes, as operações são irreversíveis se uma sucessão de falhas ocorrer muito no passado”.

Van de Wiele, portanto, aconselha as equipes de segurança a aproveitar o aspecto de autenticação do TLS sempre que possível. “Isso reduzirá o risco de identidade equivocada de servidores e bancos de dados, mas entenda que o risco não pode ser totalmente eliminado – portanto, aja e prepare-se de acordo, certificando-se de que você tenha logs que sejam utilizados como parte de uma estratégia maior de detecção e monitoramento. Isso inclui eventos bem-sucedidos e mal-sucedidos”, acrescenta.

Van de Wiele também defende a aplicação de regras rígidas, processos, conscientização e controles de segurança sobre como e quando usar ambientes de produção/pré-produção/preparação/teste. “Isso resultará em menos incidentes de mistura de dados, menos impacto ao lidar com dados reais do produto e garante que qualquer tipo de atualização ou alteração como resultado da descoberta de um problema de segurança possa ser testado exaustivamente em ambientes de pré-produção”. Nomear servidores para que possam ser distinguidos uns dos outros versus exagerar com abreviações é outra dica útil, assim como realizar testes de segurança na produção, diz ele. “Invista na detecção e monitoramento como um dos controles compensatórios para isso e teste para garantir que a detecção funcione dentro das expectativas”.

5. Os logs de transparência do certificado expõem muitos dados confidenciais

Os logs de transparência de certificado (CT) permitem que os usuários naveguem na Web com um grau mais alto de confiança e permitem que administradores e profissionais de segurança detectem anomalias de certificado e verifiquem cadeias de confiança rapidamente. No entanto, devido à natureza desses logs, todos os detalhes em um certificado são públicos e armazenados para sempre, diz Art Sturdevant, Vice-Presidente de Operações Técnicas da Censys. “Uma rápida auditoria dos dados de certificados da Censys mostra nomes de usuários, e-mails, endereços IP, projetos internos, relações comerciais, produtos de pré-lançamento, estruturas organizacionais e muito mais. Essas informações podem ser usadas por invasores para capturar a empresa, compilar uma lista de nomes de usuário ou endereços de e-mail válidos, direcionar e-mails de phishing e, em alguns casos, direcionar sistemas de desenvolvimento, que podem ter menos controles de segurança, para aquisição e movimentação lateral”.

Como os dados em um log de CT são para sempre, é melhor treinar desenvolvedores, administradores de TI etc. para usar uma conta de e-mail genérica para registrar certificados, acrescenta Sturdevant. “Os administradores também devem treinar os usuários sobre o que entra em um log de CT para que possam ajudar a evitar a divulgação acidental de informações”.

6. Hardware USB “inocente” torna-se um backdoor para invasores

Os funcionários podem estar inclinados a comprar e usar seu próprio hardware, como ventiladores ou lâmpadas USB com seus laptops corporativos, mas Amir Landau, Líder da Equipe de Pesquisa de Malware da CyberArk, alerta que esses gadgets aparentemente inocentes podem ser usados como backdoors para o dispositivo de um usuário e a rede de negócios mais ampla. Esses ataques de hardware normalmente têm três vetores de ataque principais, diz ele:

“Hardware malicioso por design, onde os dispositivos vêm com malware pré-instalado neles, com um exemplo conhecido como BadUSB. BadUSBs podem ser comprados com muita facilidade no AliExpress, ou as pessoas podem fazer seus próprios com fontes abertas, como USB Rubber Ducky, de qualquer dispositivo USB”.
Em seguida estão as infecções por worms – também chamadas de replicação através de mídia removível – onde os dispositivos USB são infectados por worms, como USBferry e Raspberry Robin.
Em terceiro lugar estão as cadeias de suprimentos de hardware comprometidas. “Como parte de um ataque à cadeia de suprimentos, softwares ou chips ruins são instalados dentro de um hardware legítimo, como no caso dos microchips maliciosos inseridos em placas-mãe que acabaram em servidores usados pela Amazon e Apple em 2018”.

Detectar esses tipos de ataques no endpoint é difícil, mas a detecção e resposta de antivírus e endpoint podem, em alguns casos, proteger contra ameaças monitorando o fluxo de execução de dispositivos estendidos e validando políticas de integridade de código, diz Landau. “As soluções de gerenciamento de acesso privilegiado (PAM) também são importantes devido à sua capacidade de bloquear as portas USB para usuários sem privilégios e impedir códigos não autorizados”.

7. Impressoras de escritório descartadas oferecem senhas de Wi-Fi

Quando uma impressora de escritório antiga para de funcionar ou é substituída por um modelo mais novo, os funcionários podem ser perdoados por simplesmente descartá-la para reciclagem. Se isso for feito sem primeiro limpar dados, como senhas de Wi-Fi, isso pode ampliar o risco de exposição de dados de uma organização.

Van de Wiele viu isso em primeira mão. “Os criminosos extraíram as senhas e as usaram para fazer login na rede da organização para roubar PII”, diz ele. Ele aconselha a criptografia de dados em repouso e em uso/trânsito e a garantia de que existe um processo de autenticação para proteger a chave de descriptografia para dispositivos de end-point em geral. “Certifique-se de que a mídia removível esteja sob controle, que os dados estejam sempre criptografados e que a recuperação seja possível por meio de um processo formal com os controles necessários em vigor”.

8. E-mails enviados para contas pessoais vazam informações corporativas e de clientes

Avishai Avivi, CISO da SafeBreach, relata um incidente em que um e-mail não malicioso enviado por um funcionário para fins de treinamento quase levou à exposição de dados, incluindo os números de CPF dos clientes. “Como parte do treinamento de novos associados, a equipe de treinamento pegou uma planilha real que continha os SSNs dos clientes e simplesmente ocultou as colunas contendo todos os SSNs. Em seguida, eles forneceram essa planilha modificada aos estagiários. O funcionário queria continuar o treinamento em casa e simplesmente enviou a planilha por e-mail para sua conta de e-mail pessoal”, diz ele ao CSO.

Felizmente, a empresa tinha um controle reativo de proteção contra vazamento de dados (DLP) monitorando todos os e-mails dos funcionários, que detectou a existência de vários SSNs no anexo, bloqueou o e-mail e alertou o SOC. No entanto, serve como um lembrete de que informações confidenciais podem ser expostas até mesmo pelas ações mais genuínas e benevolentes.

“Em vez de depender de controles reativos, deveríamos ter melhores controles preventivos de classificação de dados que indicassem a movimentação de dados reais de SSN do ambiente de produção para um arquivo no departamento de treinamento, um controle que impediria o funcionário de tentar enviar o anexo por e-mail para uma conta de e-mail pessoal”, diz Avivi.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.