3 Principais Conclusões
- Phishing é uma ameaça maior do que as escolas imaginam: Apenas 27% dos distritos consideram o phishing um alto risco, mas é uma das principais formas pelas quais os hackers atacam escolas de ensino fundamental e médio, colocando alunos, funcionários e dados em perigo.
- Conscientização e verificação são fundamentais: Ensine a equipe a identificar e-mails de phishing e verificar solicitações suspeitas por telefone ou mensagem de texto, não por e-mail, para evitar cair em ataques sofisticados.
- Utilize ferramentas gratuitas e MFA resistente: Plataformas como o Microsoft 365 e o Google Workspace têm recursos integrados para detectar phishing, e MFA resistente a phishing, como o PassKeys, pode bloquear hackers mesmo que eles roubem credenciais.
O phishing é uma grande ameaça para escolas de ensino fundamental e médio, especialmente porque muitas não têm orçamento ou pessoal para enfrentá-lo de frente. No episódio 6 do Lightning Chat, John Genter, Diretor de Segurança da Informação da Lightspeed Systems, e Brad White, Arquiteto Principal de Segurança de Aplicativos, conversaram sobre isso. Com mais de 30 anos de trabalho conjunto em segurança cibernética e laços profundos com a educação (John foi membro do conselho escolar por 22 anos e Brad vem de uma família de professores), eles explicaram por que o phishing é um problema maior do que a maioria das escolas pensa e compartilharam maneiras práticas e de baixo custo de combatê-lo.
As escolas são alvos maiores do que você imagina
John deu início às coisas com um fato surpreendente de um Relatório CoSN: “Apenas 27% dos distritos identificaram o phishing como um alto risco.” Isso é um grande erro, especialmente quando se considera o que a Agência de Segurança Cibernética e de Infraestrutura (CISA) afirma: “Agentes cibernéticos mal-intencionados estão mirando organizações de ensino fundamental e médio em todo o país, com impactos potencialmente catastróficos para alunos, suas famílias, professores e administradores.” Brad concordou, dizendo: “O ensino fundamental e médio é um alvo relativamente fácil por vários motivos.” Por quê? Aqui está o detalhamento:
- Orçamentos apertados: As escolas muitas vezes não podem pagar por ferramentas de segurança cibernética de ponta.
- Pequenas equipes de TI: Menos pessoas significa que é mais difícil ficar por dentro das ameaças.
- Mentalidade errada: Muitas pessoas acham que escolas não valem a pena ser alvos, mas os hackers sabem que elas são um alvo fácil.
John compartilhou um exemplo real: "Só nas últimas semanas, vimos cinco contas comprometidas em clientes tentando phishing contra funcionários da Lightspeed." Brad explicou como esses ataques funcionam: "Os agentes de ameaças estão usando ataques sofisticados de adversários intermediários... roubando o nome de usuário e a senha do usuário e seu token de sessão, mesmo que estejam usando MFA." Esses ataques podem atingir qualquer pessoa — equipe de TI, professores, etc. — e podem passar despercebidos pela autenticação multifator (MFA) padrão se ela não for desenvolvida para impedir phishing.
Maneiras fáceis e gratuitas de se proteger contra tentativas de phishing
John e Brad foram claros: você não precisa de um grande orçamento para começar a combater o phishing. A conscientização é o primeiro passo. Brad resumiu: "O menor custo é simplesmente aumentar a conscientização. Certifique-se de que seus usuários saibam que são alvos de ataques de phishing e devem ter cuidado extra com e-mails inesperados." John tinha uma frase cativante para isso, inspirada em Ronald Reagan: "confie, mas verifique", ou melhor ainda, "não responda, verifique". Suas dicas incluem:
- Verifique novamente e-mails estranhos: Se um e-mail solicitar que você faça algo estranho, como clicar em um link, não responda. Em vez disso, ligue ou envie uma mensagem de texto para o remetente. Brad alertou: "Já vimos casos em que os agentes da ameaça controlam a caixa de entrada do remetente."
- Coloque todos a bordo: Dos diretores aos zeladores, certifique-se de que todos os funcionários saibam que podem ser alvos e saibam o que é phishing.
Truques tecnológicos para bloquear coisas
Do lado tecnológico, eles pressionaram por uma MFA resistente a phishing. Brad disse que métodos comuns de MFA, como códigos de texto ou notificações de aplicativos, "podem ser roubados por ataques de adversários intermediários". Em vez disso, opte por "tokens baseados em FIDO, como UVKeys ou PassKeys... como o Windows Hello". John acrescentou: "Mesmo uma MFA básica é melhor do que nada", mas a resistente a phishing é um divisor de águas. Eles também apontaram ferramentas gratuitas em plataformas como Microsoft 365 ou Google Workspace:
- Fique de olho nos registros: Verifique se há regras estranhas de e-mail, como mensagens marcadas como lidas e movidas para pastas ocultas ou logins de lugares estranhos.
- Fique atento para ataques furtivos: Brad observou: “Eles observam o comportamento do usuário quando ele obtém acesso... e colocam uma máquina por perto”, dificultando a detecção de logins não autorizados.
Limitando os danos de phishing com o mínimo de privilégios
Outra grande ideia foi limitar o acesso para reduzir os danos caso alguém seja hackeado. Brad disse: "Não dê a eles acesso a tudo automaticamente. Dê a eles acesso ao que precisam." John comparou isso a um submarino: "Se houver uma brecha em uma parte... isso não afunda o submarino inteiro." Veja como fazer:
- Dê acesso apenas o suficiente: No Office 365 ou no Google Workspace, permita que a equipe use apenas as ferramentas necessárias, como e-mail ou Word, e não o SharePoint ou o Teams.
- Ajuste conforme você avança: Se o trabalho de alguém mudar, atualize o acesso dele para manter tudo seguro sem atrasá-lo.
Treinamento curto e frequente é melhor do que palestras longas
Esqueça as sessões de treinamento de uma hora por ano. John e Brad disseram que lembretes curtos e regulares funcionam melhor. John compartilhou como a Lightspeed oferece uma "dica da semana" em seu boletim informativo, e Brad gostou da ideia de uma "comunicação mais curta e regular" para manter todos alertas. Eles sugeriram:
- Atualizações semanais: Envie e-mails rápidos com exemplos reais, como "aqui está o que está acontecendo agora... aqui estão alguns links de outras organizações de ensino fundamental e médio que foram comprometidos".
- Facilite a geração de relatórios: Incentive a equipe a sinalizar e-mails estranhos rapidamente, sem julgamentos.
Conclusão: Fique atento ao phishing
A palavra final de Brad foi direta: "Certifique-se de que seus usuários estejam cientes de que são alvos de phishing. Eles certamente são alvos de phishing, garantido, 100%." Ele insistiu no uso de chaves de acesso, que funcionam na maioria dos dispositivos, para contas que não fossem de estudantes. John sugeriu consultar o relatório do CoSN e o site da CISA para obter mais informações.
O phishing não é um problema apenas para grandes empresas — ele está afetando duramente as escolas. Ao disseminar a conscientização, usar ferramentas de autenticação multifator resistentes a phishing e aproveitar ferramentas gratuitas, as escolas podem reduzir significativamente seus riscos. Como John e Brad mostraram no Episódio 6 do Lightning Chat, algumas medidas inteligentes e de baixo custo podem proteger alunos, funcionários e dados. Assista ao episódio completo e fique atento!
