0
0
No ano passado, fiz cinco previsões sobre segurança na web para 2021. Eu previ comunidades de crimes cibernéticos mais fortes e colaborações entre eles, o que vimos, e prevejo que continuaremos a ver isso no próximo ano. Como eu previ, o aumento da adoção do GraphQL (um idioma de consulta para APIs projetado pelo Facebook) levou a mais risco. Eu previ corretamente o crescimento dos ataques de bots às vendas de hype (um instrumento de marketing direcionado que é usado para aumentar o incentivo para comprar itens cobiçados), e, de fato, no ano passado, viu a sofisticação avançada e o crescimento geral em ataques e ferramentas construídas para atingir esses itens cobiçados.
Eu também previ que a função DevSecOps se tornaria mainstream. Embora ainda não seja mainstream, as tendências sugerem que certamente está avançando nessa direção. Por fim, especulou que “Compre pick-in-store online” (BOPIS) se tornaria um dos tipos de atividades de fraude que mais crescem. Embora seja um veículo para fraude, não foi no nível que eu pensei que poderia ser, uma vez que muitos comerciantes de e-commerce adotaram métodos mais seguros de autenticação e verificação para lidar com esse risco. Agora, vamos ver as previsões que tenho para o próximo ano.
1. A prioridade para evitar ataques na cadeia de suprimentos aumentará
A SolarWinds, empresa de software que lida principalmente com ferramentas de gerenciamento de sistemas usadas por profissionais de TI, foi hackeada em dezembro de 2020, e foi um dos maiores e mais prejudiciais ataques da cadeia de suprimentos na história recente. O ataque afetou até 18.000 organizações, incluindo a Microsoft e o governo dos EUA. Nobelium, o grupo hacker por trás do ataque do SolarWinds, não planeja fazer uma pausa de hackers tão cedo. No final de 2021, a CNBC informou que o Nobelium “vem tentando replicar a abordagem que tem usado em ataques passados, visando organizações integrais à cadeia de fornecimento global de TI”.
O ataque do SolarWinds nos lembrou que o escoramento das cadeias de fornecimento de software é fundamental para garantir a proteção de dados e que ninguém – nem mesmo o governo – é garantido como seguro. De acordo com uma pesquisa recente, 92% dos tomadores de decisão do site não têm visibilidade completa em suas cadeias de fornecimento de software. Obter essa visibilidade será uma prioridade para as empresas que visam proteger os dados de seus usuários, evitar uma grande violação de dados e evitar multas regulatórias maciças em 2022 e além.
2. Mais de 50% dos 100 maiores marketplaces serão atingidos por malware personalizado
Em junho de 2021, pesquisadores descobriram um banco de dados de 1,2 terabyte de dados roubados. As informações foram coletadas de 3,2 milhões de computadores baseados no Windows por malware personalizado — código projetado para causar interrupção — que se espalhou através de versões comprometidas do Adobe Photoshop, jogos pirateados e ferramentas de cracking do Windows. No banco de dados estavam 6,6 milhões de arquivos, 26 milhões de credenciais e 2 bilhões de cookies de login na Web, dos quais 400 milhões ainda eram válidos no momento da descoberta do banco de dados.
O malware personalizado é barato e prontamente disponível na dark web. As ferramentas de ataque estão se tornando commodities e os serviços especializados são mais amplamente oferecidos por diferentes comunidades de hackers, tornando o malware personalizado muito mais acessível e mais fácil de construir. No último ano, detectei vários casos de malware personalizado direcionados aos meus próprios clientes. Devido à sua baixa barreira à entrada e alto potencial para produzir resultados, o malware personalizado se tornará um vetor de ataque mais popular em 2022.
3. As empresas digitais concentrarão mais atenção no enfrentamento do deserto pós-login
As soluções tradicionais de segurança projetadas para evitar ataques de aquisição de contas (ATO) geralmente se concentram em uma atividade primária: o login. Eles pedem credenciais, servem CAPTCHAs e, sempre que possível, aproveitam a autenticação multifatorial (MFA) para verificar se as credenciais certas estão sendo usadas. Infelizmente, fraude de contas não é tão simples de evitar. Uma vez que uma conta tenha sido acessada com sucesso, verificações a jusante muitas vezes não existem. Eu chamo isso de “terra devastada pós-login”. Em 2022, espero que as empresas online adotem soluções que abdoem essa questão. Ou seja, entender se um usuário é realmente quem ele diz ser – e se sua atividade pós-login é legítima – será fundamental para manter a integridade das contas. A chave para resolver esse problema é analisar melhor as sessões e comportamentos dos usuários e construir perfis mais precisos sobre se os usuários são quem eles dizem ser. Uma solução pode reconhecer padrões de comportamento anômalos, como acessar dados de contas diretamente após o login de um novo dispositivo para identificar possíveis instâncias de coleta de informações pessoalmente identificáveis (PII).
4. A fraude terá um impacto material sobre o lucro por ação (EPS) de uma empresa pública
Pesquisas recentes mostraram que os bots podem impactar negativamente de 75% a 80% dos custos operacionais para varejistas online, o que se traduz entre 18% e 23% da receita líquida. Quando a fraude começar a impactar os ganhos por ação, ela atuará como um alerta para que as empresas se tornem mais proativas para implementar soluções de software de proteção. Isso vai além da fraude de pagamento; fraudes podem ser usadas na transferência de fundos, esvaziamento de cartões de presente e abertura de novas aplicações de crédito. Em 2022, as empresas passarão a reconhecer fraudes em cada ponto de entrada ao longo da jornada digital e adotarão soluções que possam mitigar esse risco.
5. Pelo menos um grande varejista abandonará a verificação de usuário/senha e a transição para autenticação sem senha ou baseada em dispositivos
O Relatório de Investigações de Violação de Dados (DBIR) da Verizon data breach de 2021 constatou que 61% das violações de dados deste ano envolviam dados de credenciais. Além disso, os fraudadores não precisam mais se esforçar muito para obtê-los. Existem várias maneiras fáceis de obter nomes de usuário, senhas e outras informações pessoais. Os maus atores podem comprar bilhões de credenciais por apenas US$ 2 e testá-las em ataques automatizados de recheio de credenciais. Isso significa que agora é uma prioridade maior para evitar não apenas o roubo de credenciais, mas também sua validação e uso fraudulento.
Muitas empresas já habilitaram soluções de gerenciamento de identidade, login único e verificação sem senha para tornar as credenciais obsoletas. Afinal, os maus atores não podem roubar sua senha se você não tiver uma. Prevejo que, em 2022, algumas empresas baseadas no consumidor começarão a seguir o exemplo e eliminarão completamente a necessidade de credenciais, adotando soluções mais fortes que não dependem apenas de credenciais.
Olhando para 2022
Resumindo, 2022 será o ano em que os líderes de segurança e negócios reconhecerão o quão variada é a fraude. As empresas digitais irão além do foco granular em um tipo de ataque versus outro e, em vez disso, garantirão que a integridade das contas e identidades de seus clientes sejam protegidas em todas as etapas de sua jornada online. Isso significa adotar plataformas que aprendem e evoluem continuamente em tempo real para detectar e parar o abuso de informações de identidade e conta na web. Permitir proteção abrangente de contas será a única maneira de combater fraudes em todas as frentes.
FONTE: GEEKTIME