O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov), vinculado ao Gabinete de Segurança Institucional (GSI), emitiu um alerta (veja texto abaixo) na última sexta-feira (19) sobre o aumento dos casos de vazamento de credenciais de acesso a sistemas governamentais. Também recomendou aos órgãos federais reforçar os protocolos de segurança para acessar as plataformas.

De acordo com informações da ‘Folha de S.Paulo', essa advertência foi feita três dias antes da confirmação, na segunda-feira (22), de que a Polícia Federal (PF) abriu um inquérito para investigar uma invasão ao Sistema Integrado de Administração Financeira (Siafi) do governo federal. O GSI e a Agência Brasileira de Inteligência (Abin) estão acompanhando a investigação.

Informações preliminares indicam que a invasão à plataforma de pagamento ocorreu no início de abril. Há suspeita de que recursos da União possam ter sido transferidos ilegalmente por meio de emissão de ordens bancárias. Para evitar esse tipo de vazamento de dados, o GSI emitiu o alerta para que os usuários adotem medidas como o Múltiplo Fator de Autenticação (MFA) para todos os processos de login.

Leia também: Fernando Haddad nega ataque hacker ao Siafi 

Dados

Até março de 2024, o GSI identificou 4.106 tentativas de mau uso de dados públicos, totalizando 2.830 incidentes e 1.276 vulnerabilidades em sistemas.

 A última atualização do sistema foi feita em 1º de abril, portanto, os dados deste mês ainda não estão disponíveis. O maior número de ocorrências registradas até o momento é de vazamento de dados, totalizando 1.599 ocorrências.

Veja texto do alerta na íntegra: 

1. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov), colaborativamente com o Centro Integrado de Segurança Cibernética do Governo Digital (CISC Gov.Br), tem verificado a tendência de aumento do número de credenciais válidas comercializadas de modo ilícito, com o objetivo de possibilitar acesso indevido e, como consequência, permitir outras ações maliciosas como disseminação de phishing, malwares, movimentação lateral e ataques de maior proporção, como Ransomware, por exemplo.

2. Ainda em 2023 foi publicada a Recomendação 02/2023, versando sobre "Credenciais de acesso como vetor de incidentes cibernéticos às infraestruturas de Governo", disponível em:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2023/recomendacao-02-2023

3. Atacantes têm empregado diferentes técnicas para obter credenciais de acesso válidas. Dentre elas, cabe citar: phishing, engenharia social, keyloggers e monitoramento de tráfego de rede. Diversas campanhas de obtenção de credenciais visando órgãos governamentais tem sido identificadas, impondo a necessidade de execução de medidas proativas de segurança cibernética para mitigar os riscos de explorações bem-sucedidas.

4. O CTIR Gov e o CISC Gov.Br reforçam às instituições da Administração Pública Federal (APF) que implementem as medidas listadas na Recomendação 02/2023 e assegurem:

• A devida orientação dos usuários de sistemas governamentais a identificar tentativas de phishing e suas variantes (smishing e vishing), que podem envolver a utilização de e-mails, mensagens de texto e chamadas telefônicas fraudulentas para induzir os servidores públicos a divulgar suas informações de login;

• A implementação do princípio de privilégio mínimo, para garantir que usuários tenham apenas o nível de acesso necessário para cumprir suas tarefas;

• A exigência mínima de aplicação de Múltiplo Fator de Autenticação (MFA) para todos os processos de login;

• Priorizar, quando cabível, a utilização de Certificados Digitais de Governo (fornecidos por Autoridades Certificadoras governamentais) para processos de login com privilégios elevados;

• A combinação da utilização de Certificados Digitais de Governo e MFA, garantindo proteções sucessivas ao acesso a sistemas críticos; e

• A limitação de acesso a sistemas críticos apenas aos endereços de origem à rede da organização. Para acessos externos, utilizar VPN combinada com MFA aliada aos conceitos de "jump host" ou "bastion server".

5. Recomenda-se, ainda, avaliar a viabilidade da integração da autenticação dos sistemas da organização à Plataforma de Autenticação do Governo Federal. Mais informações podem ser obtidas em:

• https://acesso.gov.br/roteiro-tecnico

6. Mais informações sobre tipos de processos de autenticação podem ser obtidas no documento "Digital Identity Guidelines" do National Institute of Standards and Technology (NIST). O guia estabelece requisitos técnicos para agências de governo que implementam serviços de identidade digital, abrangendo a autenticação, definindo requisitos técnicos em áreas como verificação de identidade, registro, autenticadores, processos de gerenciamento e protocolos de autenticação:

• https://pages.nist.gov/800-63-3/sp800-63b.html

7. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem suas áreas de responsabilidade (constituency) de seus respectivos setores sobre o tratado neste Alerta.

8. De acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência:

• https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938

9. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST):

• https://www.gov.br/ctir/pt-br/assuntos/tlp

Equipes CTIR Gov e CISC Gov.Br.

[TLP:CLEAR]