Redes wi-fi públicas: sua empresa sabe se proteger fora do ambiente corporativo?
Os aplicativos mais utilizados nos últimos anos demandam conexão com a internet. Ela é utilizada para a comunicação, armazenamento, acesso a documentos, assistir filmes, ouvir músicas, entre outras ações. São tantas coisas que, na maioria das vezes, o nosso plano de dados móveis não dá conta desse uso intensivo e acabamos recorrendo às redes wi-fi públicas.
Segundo o relatório Norton Wi-Fi Risk Report de 2017, 60% das pessoas acreditam que seus dados estão a salvo nessas redes. Mas na prática não é bem assim, elas representam um risco à segurança, sobretudo para as empresas, quando seus colaboradores resolvem utilizar esse tipo de conexão.
Leia este conteúdo até o fim para saber quais os riscos que as redes wi-fi públicas oferecem e como fazer para se prevenir.
Invasão e roubo de dados
Uma rede wi-fi pública permite a conexão de diversas pessoas a um mesmo canal de internet. Essa variedade de aparelhos conectados pode ser um dos maiores problemas em termos de segurança. Apesar dos usuários serem anônimos, é possível ver as outras pessoas conectas à mesma rede. Nesse cenário, a ausência de um firewall atualizado possibilita uma invasão à máquina ligada à rede wi-fi pública.
Geralmente, uma invasão desse tipo pode ser acompanhada da instalação de um software malicioso, como um keylogger, que gravará todos os dados digitados pelo usuário como senhas, e-mails e até documentos.
Além disso, é comum que, uma vez instalados, tais softwares permaneçam no background, realizando a transmissão desses dados para um servidor externo por meses sem que o usuário perceba isso. Nesse sentido, mesmo que o ataque ocorra fora do ambiente de trabalho, o funcionário que teve o aparelho comprometido pode levar o software malicioso para dentro da rede corporativa e transmitir dados sigilosos da companhia por meio desses programas.
A principal medida de prevenção é a utilização de um firewall, deixando-o sempre ativo enquanto estiver conectado à internet. O firewall irá monitorar o tráfego do aparelho e bloqueará o acesso às portas que não são utilizadas pelos aplicativos conhecidos, ajudando a repelir invasões e instalações de softwares não seguros.
Do ponto de vista empresarial, além de garantir a instalação de um firewall nos aparelhos utilizados pelos funcionários, também é necessária a instalação dele na rede interna da companhia. Assim, o programa pode identificar quando o aparelho de um colaborador tenta transmitir dados para um servidor externo desconhecido e bloquear a comunicação não autorizada.
DNS Poisoning
Outro tipo de ataque que pode ocorrer em um wi-fi público é o chamado DNS Poisoning. Este ataque não ocorre no aparelho do usuário, mas durante a transmissão de dados entre o computador e um servidor de DNS.
O servidor é uma máquina que realiza uma tradução de um endereço http para um endereço numérico capaz de identificar a localização precisa de um computador na internet, conhecido como IP (por exemplo, 192.168.0.1). Ele funciona como as antigas listas telefônicas, em que você fazia a busca por um nome e conseguia um número.
Entretanto, quando um usuário está conectado em um wi-fi público, a conexão com essa “lista telefônica” é intermediada pelo roteador. O computador pergunta para o roteador qual o número IP de um endereço web e confia que o roteador, por sua vez, enviará a pergunta a um servidor DNS da internet e, em seguida, retransmite a resposta para o computador do usuário.
É possível que o roteador retransmita uma resposta “falsa” ao aparelho do usuário. Quando ele digitar www.[email-corporativo].com, o roteador passaria um IP errado e faria ele cair em um site malicioso, quase idêntico ao que o usuário estaria tentando acessar, mas que é capaz de ler e registrar todas informações digitadas pelo usuário, como sua senha ou os dados de sua conta.
Isso pode ser feito para obter os dados de acesso de um e-mail empresarial, permitindo que um hacker se passe pelo funcionário de uma empresa, obtendo acesso a seus dados e recursos.
Autenticação em duas etapas
Uma das principais formas de se proteger deste tipo de ataque é sempre ativar uma segunda via de autenticação para serviços sensíveis. A maior parte dos serviços de e-mail e aplicativos empresariais já possuem este recurso, que consiste no envio de um código ou uma chave de validação, gerada a cada tentativa de um novo login e transmitida por um outro meio, como SMS.
Um exemplo desse sistema é a verificação em duas etapas do Google, que dá ao usuário a opção de receber a chave de validação por meio de um SMS, de um aplicativo específico instalado no smartphone ou de uma chamada de voz.
Ainda que o hacker obtenha a senha digitada no site e tente utilizá-la, ele não terá acesso à segunda chave, enviada apenas para o usuário original. Dessa forma, o usuário também conseguirá descobrir se outra pessoa está tentando acessar sem autorização e assim, poderá avisar os administradores do sistema sobre a tentativa de invasão.
Protocolo HTTPS e VPNs
Um passo adicional é verificar sempre se os sites acessados possuem o protocolo HTTPS ativado, identificado nos browsers pelo símbolo de um cadeado ao lado do endereço. Do ponto de vista das empresas, é possível também bloquear o acesso externo aos aplicativos e serviços empresariais e só permitir a conexão remota de seus funcionários por meio de uma VPN criptografada.
Ainda que a transmissão dos dados dessas conexões possa ser interceptada pelo roteador wi-fi, os dados estarão criptografados e não poderão ser facilmente lidos.
Não existem redes wi-fi públicas seguras
É preciso lembrar que, mesmo com todas as medidas recomendadas, não existe uma forma de garantir a segurança completa dos dados transmitidos através de uma rede wi-fi pública. Mesmo certificados HTTPS, eles podem ser falsificados por atacantes motivados.
A melhor forma de se proteger é simplesmente não se conectar às redes wi-fi públicas. Mesmo redes que aparentam ser confiáveis, como um wi-fi público do café que o usuário frequenta, podem não ser o que parecem. Um atacante pode simplesmente ter criado um wi-fi com esse nome, nessa localidade, para atrair suas vítimas.
A melhor proteção para as empresas é conscientizar seus funcionários para que evitem se conectar a redes wi-fi públicas e que utilizem sempre redes wi-fi protegidas por senha, fornecida pelo estabelecimento em que se encontra, independente do seu nome ou descrição.
Uma alternativa ao wi-fi público são as redes de dados móveis fornecidas pelas operadoras de celular. As conexões 3G e 4G empregam técnicas de criptografia na transmissão de dados e podem ser consideradas mais seguras que o wi-fi, visto que os ataques a essas redes são raros e de alta complexidade.
Se essas informações foram úteis para você, compartilhe nas suas redes sociais e ajude seus amigos a também se protegerem contra esses riscos!