Governo dos EUA tenta corrigir as falhas de segurança que os hackers da Lapsus$ usaram para vazar GTA VI

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está pedindo proteções mais rígidas de troca de SIM e a transição para um futuro sem senha após os ataques Lapsus$ do ano passado. Em um longo relatório divulgado na quinta-feira, a agência detalha as principais técnicas do grupo de hackers adolescentes e fornece recomendações para evitar ataques semelhantes no futuro.

A CISA também pede que a Federal Trade Commission e a Federal Communications Commission façam mais para proteger os consumidores contra ataques de troca de SIM. No mês passado, a FCC propôs um novo conjunto de regras que exigiria que os provedores sem fio “adotassem métodos seguros de autenticação de um cliente” ao realizar trocas de SIM.

“Lapsus$ foi único por sua eficácia, velocidade, criatividade e ousadia; funcionou de uma forma que deu ao Conselho uma lente propícia através da qual poderíamos ver questões sistêmicas no ecossistema digital”, escreve a CISA. “O Lapsus$ explorou, com grande e amplo efeito, um manual de técnicas eficazes, que outros agentes de ameaças também podem usar.”

Apesar da escala dos ataques Lapsus$, a CISA diz que o grupo deixa claro “como era fácil para seus membros (jovens, em alguns casos) se infiltrar em organizações bem defendidas”. Um dos métodos usados ​​pelo Lapsus$ é a troca de SIM, ou o ato de obter o controle do número de telefone de um alvo por meio de engenharia social e outros métodos. Isso permite que o mal-intencionado receba chamadas ou mensagens de texto desse número, incluindo mensagens contendo códigos de autenticação de dois fatores conectados às contas confidenciais da vítima.

Por causa disso, a CISA agora recomenda que as empresas se afastem da autenticação multifatorial baseada em voz e SMS em favor de soluções sem senha. Ele sugere que as organizações usem senhas compatíveis com o padrão FIDO2, o que permite que os usuários façam login em suas contas usando sua impressão digital ou uma chave de segurança baseada em hardware. Muitas empresas e gerenciadores de senhas já estão começando a oferecer suporte a métodos de login sem senha, incluindo Google, 1Password, Microsoft e Dashlane.

“Lapsus$ explorou, com grande e amplo efeito, um manual de técnicas eficazes”

Além disso, a CISA pede especificamente às operadoras que “implementem métodos de autenticação mais rigorosos para troca de SIM”. Isso inclui dar aos clientes a capacidade de bloquear suas contas para evitar trocas de SIM e exigir “verificação de identidade forte” para trocas de SIM, além de fornecer aos titulares de contas um “registro detalhado” de quando ocorre uma troca de SIM.

Dado que a maioria dos hackers Lapsus$ conhecidos são adolescentes, a CISA também sugere que o Congresso financie “programas juvenis de prevenção de crimes cibernéticos”, bem como “promover programas de interrupção e redirecionamento” para impedir que jovens se envolvam em crimes cibernéticos no futuro.

source – www.theverge.com