Os atores de ameaças usam o tailgating digital, também conhecido como piggybacking, para obter acesso não autorizado ao sistema, roubar dados, abusar de privilégios ou comprometer a infraestrutura. O roubo de credenciais e o sequestro de sessões de usuários são técnicas comuns de tailgating que atores de ameaças usam para burlar os controles de segurança e explorar sistemas.
Os termos “tailgating” e “piggybacking” têm origem em técnicas de engenharia social usadas para ataque de locais físicos. Agora, essas táticas são usadas em um contexto digital. As consequências do tailgating digital podem ser tão graves quanto as de outros ciberataques comuns, incluindo malware e ameaças internas.
Este artigo explora em profundidade o tailgating digital, incluindo os riscos associados e as estratégias de defesa eficazes que as organizações podem usar para melhorar a postura de segurança.
O conceito de "tailgating" no mundo digital moderno
Em um ataque físico de tailgating ou piggybacking, os invasores usam furtividade ou manipulação para acessar áreas seguras ou restritas. Imagine um funcionário credenciado usando seu crachá para entrar em um escritório de acesso restrito, apenas para alguém entrar sorrateiramente atrás dele antes de a porta trancar.
O tailgating digital aplica o mesmo princípio ao mundo digital. Consiste em invasores que exploram o acesso de um usuário autorizado para se infiltrarem em redes ou sistemas de computador. Os métodos comuns que os atores de ameaças usam para se aproveitar digitalmente de outras informações incluem:
- Sequestro de sessão
- Cross-Site Scripting (XSS)
- Exploração de dispositivos inteligentes desprotegidos e sem supervisão
- Phishing de credenciais
Como funciona o tailgating
Quando o invasor tenta perseguir uma rede ou sistema de computador, ele pode usar sequestro de sessão, engenharia social ou procedimentos de logout falhos do sistema. Esses métodos são eficazes porque exploram o comportamento humano e as vulnerabilidades do sistema que as equipes de segurança de TI podem ignorar.
Sequestro de sessão
O sequestro de sessão (ou sequestro de cookies) ocorre quando invasores obtêm o ID da sessão de um usuário interceptando o tráfego de rede com ferramentas como o Wireshark ou explorando um ataque XSS para obter o cookie da sessão no navegador. Por exemplo, se você se conectar à rede da organização usando uma rede Wi-Fi não criptografada, ficará vulnerável a ataques de tailgating por meio do sequestro de sessão.
Engenharia social
A engenharia social é outro método empregado por invasores e se baseia em fraude e manipulação para invadir uma rede. Um exemplo disso é um e-mail de phishing que parece vir do departamento de TI da sua organização, solicitando a confirmação da sua senha como parte de uma manutenção de rotina de TI. Se você cair nesse golpe e divulgar seu nome de usuário e senha, o invasor terá acesso à rede da sua organização.
Procedimentos de logout falhos
Procedimentos de logout falhos ocorrem quando o mecanismo de logout de um sistema não consegue encerrar a sessão do usuário corretamente após o usuário fazer logout ou ficar inativo. Como resultado, a sessão do usuário permanece ativa mesmo quando ele não está, criando uma possível vulnerabilidade que os invasores podem explorar para realizar tailgating no sistema.
Saiba mais
Veja como monitorar rapidamente as vulnerabilidades nos sistemas e aplicações da sua organização.
Assista: Uso do Falcon Spotlight para gerenciamento de vulnerabilidades
Por que o tailgating está se tornando cada vez mais comum?
A frequência do trabalho remoto está gerando um aumento no tailgating digital. É comum que os trabalhadores remotos usem dispositivos pessoais sem fortes controles de segurança, deixem de usar a autenticação multifatorial (MFA) ou se conectem aos sistemas das organizações por uma rede desprotegida (como Wi-Fi público não criptografado). Redes desprotegidas são particularmente arriscadas, porque os invasores podem inspecionar a rede usando uma ferramenta de detecção de pacotes e potencialmente roubar cookies de sessão.
Práticas deficientes de gerenciamento de sessões também criam oportunidades para ataques de tailgating. Por exemplo, se os tokens não forem randomizados ou invalidados rapidamente em sessões baseadas em OAuth, poderão permanecer ativos em várias aplicações. Isso cria uma janela de oportunidade maior para que os invasores interceptem e explorem tokens não revogados e obtenham acesso não autorizado.
Riscos associados ao tailgating digital
Uma vez que um invasor consegue explorar uma dessas superfícies de ataque, ele pode operar em modo furtivo, pois assumiu a identidade de um usuário legítimo. Isso cria riscos para os negócios, como:
- Comprometimento de dados: os invasores podem roubar dados sensíveis, como dados pessoais identificáveis - PII, na sigla em inglês, ou propriedade intelectual (PI) corporativa.
- Movimento lateral: depois de ultrapassarem o perímetro, os atores de ameaças podem se mover mais profundamente na rede da organização.
- Instalação de malware: ao obter acesso aos sistemas, o invasor pode instalar backdoors, ransomware e outros tipos de malware.
Esses ataques podem ter consequências graves para as organizações, incluindo perdas financeiras, desvantagens competitivas devido ao roubo de propriedade intelectual e multas por falta de conformidade regulatória.
Expert Tip
Neste vídeo, a CrowdStrike ilustra como o Falcon usa várias capacidades de detecção para impedir ataques baseados em script.
Prevenir o tailgating em ambientes digitais
Combater os facilitadores comuns do tailgating pode reduzir significativamente as chances de um ataque. As organizações podem implementar diversas técnicas para mitigar o risco de tailgating digital.
Uso da autenticação multifatorial (MFA) para impedir acessos não autorizados
Com a MFA, as organizações podem fortalecer a segurança de acesso exigindo que os usuários verifiquem a identidade usando múltiplos fatores. A MFA normalmente envolve uma combinação da senha do usuário com pelo menos um outro fator, como um código de um aplicativo autenticador ou biometria. Fatores de autenticação adicionais dificultam que invasores ataquem um sistema usando apenas uma senha comprometida.
Políticas rígidas de gerenciamento de sessões
O tempo limite e o logout automático da sessão são práticas recomendadas fundamentais de gerenciamento de sessões. Implementar as duas medidas ajuda a reduzir o risco de invasores comprometerem sessões ativas.
- O tempo limite encerra automaticamente as sessões e invalida os tokens após um período de inatividade, exigindo que o usuário se autentique novamente para continuar usando o sistema.
- O logout automático é semelhante, pois o usuário é desconectado automaticamente após um período de inatividade.
Conscientização e treinamento do usuário sobre riscos de segurança
Quando os usuários conhecem os riscos do tailgating digital e as práticas de segurança para reduzi-los, eles se tornam mais conscientes da importância da segurança. O treinamento deve enfatizar a importância de bloquear os dispositivos quando não estiverem em uso e os riscos de não fazê-lo. Além disso, os usuários devem saber como identificar tentativas de phishing. Isso pode ser feito com simulações e treinamentos organizados sobre o assunto.
Monitoramento de dispositivos e redes
Após um invasor digital comprometer uma sessão, em algum momento ele começará a apresentar um comportamento anormal, que um usuário legítimo não teria. Com um monitoramento adequado de dispositivos e redes, as organizações podem detectar esse comportamento e agir imediatamente. Por exemplo, se um invasor obtiver acesso a uma conta do usuário a partir de um endereço IP inesperado, as ferramentas de monitoramento de rede podem sinalizar a localização incomum.
Como a CrowdStrike ajuda a mitigar os riscos de tailgating virtual
Compreender o tailgating digital pode ajudar sua organização a se manter um passo à frente dos invasores, reduzindo o risco de tempo de inatividade, danos à reputação e multas por falta de conformidade. Dada a complexidade de mitigar os riscos de tailgating, muitas organizações recorrem a soluções de nível empresarial desenvolvidas para proteção contra esses ataques.
O CrowdStrike Falcon® Adversary Intelligence realiza investigações de incidentes analisando atividades maliciosas e aprimorando a detecção com inteligência de ameaças. Suas funcionalidades incluem um sandbox de malware avançado e redução da superfície de ataque.
O CrowdStrike Falcon® Identity Protection detecta e previne ataques baseados em identidade em tempo real. Ele oferece classificação automática de todas as contas, verificação de identidade sem atrito com políticas flexíveis e postura de segurança aprimorada com autenticação multifatorial (MFA), entre outras funcionalidades.
Explore as soluções da CrowdStrike para defesa proativa contra ameaças de tailgating. Comece hoje mesmo seu teste gratuito da plataforma CrowdStrike Falcon® e fique um passo à frente dos invasores.1
1 Aplicam-se termos e condições.
Thuy Nguyen é Gerente Sênior de Marketing de Produtos na CrowdStrike com foco no serviço de investigação de ameaças Falcon OverWatch. Thuy trabalhou anteriormente na Microsoft, impulsionando o avanço e a liderança de pensamento em IA e machine learning, especificamente em soluções de código aberto e IA responsável. Ele possui MBA pela Universidade de Michigan, com especialização em tecnologia e marketing. Thuy atualmente reside em Seattle, Washington.
