Ataques cibernéticos atingem milhares de impostos canadenses e contas de benefícios

A Agência de Receitas do Canadá (CRA) suspendeu os serviços online depois que contas foram atingidas em uma terceira onda de ataques de empastamento de credenciais neste fim de semana – dando aos malfeitores acesso a vários serviços governamentais.

As autoridades canadenses disseram que quase 15.000 contas online de vários serviços do governo foram alvos de três ondas recentes de ataques de empastamento de credenciais. Essas contas podem dar aos invasores acesso às informações fiscais e de benefícios dos canadenses, dinheiro do fundo de auxílio ao coronavírus e muito mais.

Ataques de preenchimento de credenciais ocorrem quando os malfeitores acessam contas usando nomes de usuário e senhas que foram roubados de outros hacks anteriores. Em uma reunião de imprensa na segunda-feira, Marc Brouillard, CIO interino do Governo do Canadá, disse que diferentes contas do governo foram afetadas por três ondas de ataques de empastamento de credenciais desde o início de agosto – o mais recente deles ocorreu no fim de semana passado.

Os invasores comprometeram 5.500 contas da Agência de Receitas do Canadá (CRA), que se conectam a um portal que permite aos canadenses visualizar e gerenciar online suas informações fiscais e de benefícios. Eles também direcionaram 9.041 contas da GCKey, dando acesso a um portal usado por 30 departamentos federais e 12 milhões de canadenses, fornecendo acesso a informações online e serviços governamentais como emprego, imigração e muito mais.

“O acesso a todas as contas afetadas foi desativado para manter a segurança das informações dos contribuintes, e a Agência está entrando em contato com todos os indivíduos afetados e trabalhará com eles para restaurar o acesso à sua CRA MyAccount”, de acordo com o governo do Canadá, em um comunicado de imprensa neste fim de semana.

Os ataques

Das 9.041 contas do GCKey que foram alvejadas, um terço foi usado para acessar vários serviços e estão sendo examinados para atividades suspeitas, de acordo com o governo. Esses serviços podem incluir serviços de emprego ou fundos de auxílio a coronavírus oferecidos pelo Benefício de Resposta de Emergência do Canadá, que oferece até US $ 2.000 a cidadãos elegíveis. É importante notar que os serviços internos do próprio GCKey não foram comprometidos, de acordo com Brouillard.

As contas GCKey afetadas foram canceladas assim que a ameaça foi descoberta e os departamentos estão contatando os usuários cujas credenciais foram revogadas para fornecer instruções sobre como receber uma nova GCKey.

Na esteira dos ataques direcionados às 5.500 contas CRA, entretanto, o governo desativou os serviços conectados a Minha conta, Minha conta comercial e Representar um cliente no site do CRA. Na segunda-feira, as autoridades disseram que esperam que esses serviços sejam restaurados na quarta-feira.

Na segunda-feira, funcionários do governo também revelaram que uma vulnerabilidade na configuração do software de segurança para contas CRA permitiu que os invasores contornassem as medidas de segurança. Essa falha, que resultou das questões de segurança em vigor para as contas, já foi corrigida, eles disseram. No entanto, quando solicitado para mais detalhes, Brouillard não identificou a vulnerabilidade de segurança ou software.

As perguntas permanecem em torno das medidas de segurança 

Muitos canadenses relataram atividades suspeitas envolvendo suas contas CRA desde o início de agosto, com alguns acessando o Twitter para dizer que os invasores modificaram suas informações de depósito direto e utilizaram suas informações para solicitar alívio fraudulento de coronavírus.

Em uma reunião com a imprensa na segunda-feira, funcionários do governo canadense disseram que primeiro notificaram a Royal Canadian Mounted Police (serviço de policiamento federal do Canadá) sobre ataques de empastamento de credenciais em 11 de agosto. Após a terceira onda de ataques ocorrida no último fim de semana, o governo suspendeu os serviços online .

Quando questionado por que os canadenses não foram notificados dos ataques antes, Brouillard disse: “Estamos constantemente avaliando nossa postura de segurança … este é um desafio contínuo. Este não é um hacker tentando entrar por uma porta dos fundos. Eles estão passando pelo sistema como usuários normais … e é difícil detectar isso. Temos sistemas implantados para monitorar esses comportamentos. Foi quando esse ataque específico foi identificado. ”

O incidente também colocou em questão as medidas de segurança do governo canadense para serviços online. A BleepingComputer testou o site do governo canadense e descobriu que muitos departamentos não implementaram medidas de autenticação multifator para acessar serviços canadenses, como CRA ou GCKey.

Quando questionado sobre a falta de autenticação de dois fatores (2FA), Brouillard reconheceu: “Alguns 2FA teriam evitado isso, especialmente aqueles em que é necessário ter uma chave. Mas esses são desafiadores, nem todos podem ter essas coisas. É um ato de equilíbrio. Estamos procurando maneiras de fortalecer nossos sistemas. ”

Prevenção de enchimento de credenciais

Os usuários vinculados a contas comprometidas estão sendo notificados sobre o incidente de segurança e todos os ataques foram mitigados, disseram as autoridades. Eles encorajaram os usuários a garantir que suas senhas estejam atualizadas. Os pesquisadores de segurança, por sua vez, também incentivaram os usuários a priorizar a higiene das senhas para evitar serem vítimas de ataques de empastamento de credenciais.

“Os ataques de recheio de credenciais são inegavelmente populares e podem afetar todas as organizações, independentemente de seu respectivo setor ou geografia, e fornecer acesso inicial às contas das vítimas”, disse Kacey Clark, pesquisadora de ameaças da Digital Shadows, ao Threatpost. “Como os ataques de preenchimento de credenciais aproveitam a reutilização de senha, os usuários são incentivados a usar senhas complexas e exclusivas em todas as suas contas.”

Joseph Carson, CISO consultivo da Thycotic, concordou que uma lição importante aprendida é nunca reutilizar senhas – e também acrescentou que qualquer empresa com serviços online também deve garantir que proteções de segurança – como 2FA – também sejam oferecidas.

“As empresas que oferecem autenticação e login em seus sites também devem deixar de ter uma senha como o único controle de segurança”, disse ele ao Threatpost. “O 2FA deve ser habilitado para todos os clientes, pois isso reduz os riscos de os clientes que reutilizam senhas de se tornarem vítimas de um crime cibernético ou de empastamento de credenciais de terem sucesso. Além disso, endossa gerenciadores de senhas para ajudar os clientes a tomar melhores decisões e higiene de senhas ao criar novas contas e senhas. ”

Esta é uma notícia de última hora e será atualizada ao longo do tempo.

Fonte: https://threatpost.com/cyberattacks-canadian-tax-benefit-accounts/158400/

[DISPLAY_ULTIMATE_SOCIAL_ICONS]