​​Cyber ​​Signals 8ª Edição | Educação sob cerco: como os cibercriminosos têm escolas como alvo​​

Layout de itens relacionados à educação em uma mesa e uma representação de vetores de ameaças cibernéticas, ao lado do texto do título

A educação é essencialmente uma “indústria de indústrias”, com empresas de educação primária e superior lidando com dados que podem incluir registros de saúde, dados financeiros e outras informações regulamentadas. Ao mesmo tempo, suas instalações podem hospedar sistemas de processamento de pagamentos, redes que são provedores de serviços de Internet (ISPs, em inglês) e outras infraestruturas diversas. As ameaças que a Microsoft observa em diferentes setores tendem a ser agravadas na educação, e os agentes de ameaças perceberam que esse setor é inerentemente vulnerável. Com uma média de 2.507 tentativas de ataques cibernéticos por semana, as universidades são os principais alvos de vulnerabilidades de malware, phishing e IoT¹.

A equipe de segurança e a propriedade de ativos de TI também afetam os riscos cibernéticos das organizações educacionais. Os sistemas escolares e universitários, como muitas empresas, geralmente enfrentam escassez de recursos de TI e operam uma combinação de sistemas de TI modernos e legados. A Microsoft observa que, nos EUA, alunos e professores são mais propensos a usar dispositivos pessoais na educação em comparação com a Europa, por exemplo. Independentemente da propriedade dos aparelhos, no entanto, nessas e em outras regiões, os atarefados usuários nem sempre têm uma mentalidade de segurança.

Esta edição do Cyber Signals investiga os desafios de segurança cibernética enfrentados por salas de aula e campi em todos os lugares, destacando a necessidade crítica de defesas robustas e medidas proativas. De dispositivos pessoais a aulas remotas e pesquisas armazenadas na nuvem, o rastro digital de escolas, faculdades e universidades se multiplicou exponencialmente.

Somos todos defensores.

Fotografia da segurança

  1. A educação é o terceiro setor mais visado nos eventos analisados do 2º trimestre de 2024, com os Estados Unidos vendo a maior atividade de ameaças.
  2. No ano passado, Microsoft Defender for Office 365 bloqueou mais de 15 mil e-mails por dia com QR Codes maliciosos direcionados para o setor educacional.

Briefing sobre as ameaças

Um ambiente excepcionalmente valioso e vulnerável

A base de usuários do setor educacional é muito diferente de uma grande empresa comercial típica. No ambiente dos primeiros anos do ensino fundamental, os usuários incluem alunos a partir dos seis anos de idade. Assim como qualquer organização do setor público ou privado, há uma variedade de funcionários em distritos escolares e universidades, incluindo administração, educação física, serviços de saúde, zeladoria, profissionais de serviços de alimentação e outros. Várias atividades, anúncios, recursos de informação, sistemas de e-mail abertos e estudantes de todo o mundo criam um ambiente altamente fluido onde os ataques cibernéticos.

O aprendizado virtual e remoto também estendeu os aplicativos de educação para residências e escritórios. Dispositivos pessoais e multiusuário são onipresentes e muitas vezes não gerenciados, e os alunos nem sempre estão cientes da segurança cibernética ou do que permitem que seus dispositivos acessem.

A educação também está na linha de frente, confrontando como os adversários testam suas ferramentas e técnicas. De acordo com dados do Microsoft Threat Intelligence, o setor educacional é o terceiro setor mais visado, com os Estados Unidos vendo a maior atividade de ameaças.

As ameaças cibernéticas à educação não são apenas uma preocupação nos EUA. De acordo com a Pesquisa de Brechas de Segurança Cibernética de 2024 do Departamento de Ciência, Inovação e Tecnologia do Reino Unido, 43% das instituições de ensino superior no Reino Unido relataram ter sofrido uma brecha ou ataque pelo menos uma vez por semana².

Os QR Codes fornecem uma maneira facilmente disfarçável para ataques de phishing

Hoje, os QR Codes estão em toda parte, levando a maiores riscos de ataques de phishing projetados para obter acesso a sistemas e dados. Imagens em e-mails, panfletos oferecendo informações sobre eventos no campus e na escola, passes de estacionamento, formulários de ajuda financeira e outras comunicações oficiais frequentemente contêm esse tipo de código. Os espaços de ensino presencial e remoto podem ser os ambientes mais “amigáveis para panfletos” e com uso intensivo de QR Codes, dado o tamanho dos folhetos, quadros de avisos físicos e digitais e outras correspondências casuais que ajudam os alunos a navegar em uma mistura de correspondência curricular, institucional e social. Isso cria um cenário atraente para agentes mal-intencionados atingirem alvos que estão tentando economizar tempo com uma leitura rápida de código.

Recentemente, a Comissão Federal de Comércio dos EUA emitiu um alerta ao consumidor sobre a crescente ameaça via QR Codes maliciosos sendo usados para roubar credenciais de login ou distribuir malware³.

A telemetria do Microsoft Defender for Office 365 mostra que mais de 15 mil mensagens com códigos QR mal-intencionados são direcionadas ao setor educacional diariamente (incluindo phishing, spam e malware).

Ferramentas de software legítimas podem ser usadas para gerar rapidamente QR Codes com links incorporados para serem enviados por e-mail ou postados fisicamente como parte de um ataque. E essas imagens são difíceis de serem verificadas pelas soluções tradicionais de segurança de e-mail, tornando ainda mais importante para professores e alunos usar dispositivos e navegadores com defesas modernas da web.

Usuários-alvo no setor educacional podem usar dispositivos pessoais sem segurança de endpoint. Os QR Codes essencialmente permitem que o agente da ameaça direcione para esses dispositivos. O phishing de QR code (já que seu propósito é atingir dispositivos móveis) é uma evidência convincente de que dispositivos móveis estão sendo usados ​​como um vetor de ataque em empresas — como contas pessoais e contas bancárias — e a necessidade de proteção e visibilidade de dispositivos móveis. A Microsoft interrompeu significativamente os ataques de phishing de QR Codes. Essa mudança de tática é evidente na redução substancial de e-mails de phishing diários interceptados por nosso sistema, caindo de 3 milhões em dezembro de 2023 para apenas 179 mil em março de 2024.

Gráfico. Incidentes de Ramsomware e atividades de recuperação por setor industrial no segundo trimestre de 2024

As universidades apresentam seus próprios desafios. Grande parte da cultura universitária é baseada na colaboração e no compartilhamento para impulsionar a pesquisa e a inovação. Professores, pesquisadores e outros professores operam sob a noção de que a tecnologia, a ciência – simplesmente o próprio conhecimento – devem ser amplamente compartilhadas. Se alguém que aparenta ser estudante, colega ou par entra em contato, geralmente esses profissionais estão dispostos a discutir tópicos potencialmente sensíveis sem examinar a fonte.

As operações da universidade também abrangem vários setores. Os presidentes de universidades são efetivamente CEOs de organizações de saúde, provedores de habitação e grandes organizações financeiras – o fator da indústria das indústrias, novamente. Portanto, os principais líderes podem se encontrar na mira de qualquer pessoa que tenha como alvo esses setores.

A combinação de valor e vulnerabilidade encontrada nos sistemas educacionais atraiu a atenção de um espectro de invasores – desde criminosos de malware que empregam novas técnicas até agentes estatais envolvidos em espionagem clássica.

A Microsoft monitora continuamente os agentes e vetores de ameaças em todo o mundo. Aqui estão alguns problemas-chave que estamos vendo para os sistemas educacionais.

Os sistemas de e-mail nas escolas oferecem amplos espaços para comprometimentos

O ambiente naturalmente aberto na maioria das universidades as obriga a serem mais relaxados em sua política de e-mail. Elas têm muitos e-mails que geram ruído no sistema, mas geralmente são operacionalmente limitadas em onde e como podem colocar controles, devido a quão abertas precisam ser para ex-alunos, doadores, colaboradores externos e muitos outros casos de uso.

As instituições de ensino tendem a compartilhar muitos anúncios por e-mail. Elas enviam diagramas informativos sobre eventos locais e recursos escolares. Eles geralmente permitem que malas diretas externas de sistemas de disparos em massa compartilhem para os seus ambientes. Essa combinação de abertura e falta de controles cria um terreno fértil para ataques.

A IA está aumentando o prêmio para visibilidade e controle

Os invasores cientes do foco do ensino superior em construir e compartilhar podem procurar por todos os pontos de acesso visíveis, buscando entrada em sistemas habilitados para IA ou informações privilegiadas sobre como esses sistemas operam. Se as fundações locais e baseadas em nuvem de sistemas e dados de IA não forem protegidas com controles de identidade e acesso adequados, os sistemas de IA se tornam vulneráveis. Assim como as instituições de ensino se adaptaram a serviços de nuvem, dispositivos móveis e aprendizado híbrido, que introduziram novas ondas de identidades e privilégios de governança, dispositivos gerenciados e redes para segmentar, esses imperativos de visibilidade e controle atemporais também devem ser dimensionados para refletir a influência da IA ​​no risco cibernético.

Os atores financiados por Estados estão atrás de propriedades intelectuais (IPs) valiosas e conexões de alto nível

As universidades que lidam com pesquisas financiadas por governos ou trabalham em estreita colaboração com órgãos de defesa, tecnologia e outros parceiros da indústria no setor privado há muito reconhecem o risco de espionagem. Décadas atrás, as universidades se concentravam em sinais físicos reveladores de espionagem. Eles sabiam procurar pessoas que apareciam no campus tirando fotos ou tentando ter acesso a laboratórios. Esses ainda são riscos, mas hoje a dinâmica da identidade digital e da engenharia social expandiu muito o kit de ferramentas de espionagem.

As universidades costumam ser epicentros de propriedade intelectual altamente sensível. Elas podem estar conduzindo pesquisas inovadoras. Elas podem estar trabalhando em projetos de alto valor na indústria aeroespacial, engenharia, ciência nuclear ou outros tópicos sensíveis em parceria com várias agências governamentais.

Para os invasores, pode ser mais fácil comprometer primeiramente alguém no setor educacional que tenha vínculos com o setor de defesa e, em seguida, usar esse acesso para fazer phishing de forma mais convincente em um alvo de maior valor.

As universidades também têm especialistas em política externa, ciência, tecnologia e outras disciplinas valiosas, que podem oferecer inteligência de bom grado, se enganados em ataques de engenharia social que empregam identidades falsas ou roubadas de colegas e outros que parecem estar nas redes de indivíduos ou entre contatos confiáveis. Além de manter informações valiosas, as contas comprometidas de funcionários de universidades podem se tornar trampolins para novas campanhas contra alvos mais amplos do governo e da indústria.

Atores estatais voltados para a educação

Irã

Peach Sandstorm

A Peach Sandstorm usou ataques de pulverização de senha contra o setor educacional para obter acesso à infraestrutura usada nesses setores, e a Microsoft também observou a organização usando engenharia social contra alvos no ensino superior.

Mint Sandstorm

A Microsoft observou um subconjunto desse grupo de ataque iraniano visando especialistas de alto nível que trabalham em assuntos do Oriente Médio em universidades e organizações de pesquisa. Esses sofisticados ataques de phishing usaram engenharia social para obrigar os alvos a baixar arquivos maliciosos, incluindo um novo backdoor personalizado chamado MediaPl.

Instituto Mabna

Em 2023, o Instituto Mabna do Irã realizou invasões nos sistemas de computação de pelo menos 144 universidades dos EUA e 176 universidades em 21 outros países.

As credenciais de login roubadas foram usadas em benefício da Guarda Revolucionária Islâmica do Irã e também foram vendidas dentro do Irã pela web. Credenciais roubadas pertencentes a professores universitários foram usadas para acessar diretamente os sistemas de bibliotecas universitárias.

Coreia do Norte

Emerald Sleet

Este grupo norte-coreano tem como alvo principal especialistas em política do Leste Asiático ou relações entre a Coreia do Norte e a Coreia do Sul. Em alguns casos, os mesmos acadêmicos foram alvo de Emerald Sleet por quase uma década.

O Emerald Sleet usa IA para escrever scripts e conteúdo maliciosos para engenharia social, mas esses ataques nem sempre são sobre a entrega de malware. Há também uma tendência em evolução em que eles simplesmente pedem a especialistas informações políticas que podem ser usadas para manipular negociações, acordos comerciais ou sanções.

Moonstone Sleet

Moonstone Sleet é outro ator norte-coreano que vem adotando novas abordagens, como a criação de empresas falsas para estabelecer relações comerciais com instituições educacionais ou com um determinado membro do corpo docente ou aluno.

Um dos ataques mais proeminentes do Moonstone Sleet envolveu a criação de um jogo falso com tema de tanque usado para atingir indivíduos em instituições educacionais, com o objetivo de implantar malware e extrair dados.

Grupos em desenvolvimento

Storm-1877

Esse ator se envolve em grande parte no roubo de criptomoedas usando uma família de malware personalizada que eles implantam por vários meios. O objetivo final desse malware é roubar endereços de carteira de criptomoedas e credenciais de login para plataformas de criptomoedas.

Os alunos costumam ser o alvo desses ataques, que começam em grande parte nas redes sociais. O Storm-1877 tem como alvo os alunos porque eles podem não estar tão cientes das ameaças digitais quanto os profissionais da indústria.

Defesa contra ataques

Um novo currículo de segurança

Devido ao orçamento, às restrições de talentos e à abertura inerente de seu ambiente, resolver a segurança da educação é mais do que um problema de tecnologia. O gerenciamento da postura de segurança e a priorização de medidas de segurança podem ser um empreendimento caro e desafiador para essas instituições, mas há muito que os sistemas escolares podem fazer para se proteger.

Manter e dimensionar a higiene cibernética básica será fundamental para proteger os sistemas escolares. Aumentar a conscientização sobre os riscos de segurança e as boas práticas em todos os níveis – alunos, professores, administradores, equipe de TI, equipe do campus e muito mais – pode ajudar a criar um ambiente mais seguro.

Para profissionais de TI e segurança no setor educacional, fazer o básico e fortalecer a postura geral de segurança é um bom primeiro passo. A partir daí, centralizar a pilha de tecnologia pode ajudar a facilitar um melhor monitoramento do registro e da atividade para obter uma imagem mais clara da postura geral de segurança e de quaisquer vulnerabilidades.

Universidade Estadual de Oregon

A Oregon State University (OSU), uma universidade focada em pesquisa R1, prioriza a proteção de sua pesquisa para manter sua reputação. Em 2021, a instituição experimentou um extenso incidente de segurança cibernética diferente de tudo antes. O ataque cibernético revelou lacunas nas operações de segurança da OSU.

“Os tipos de ameaças que estamos vendo, os tipos de eventos que estão ocorrendo no ensino superior, são muito mais agressivos por adversários cibernéticos”.

__ David McMorries, diretor de segurança da informação da Oregon State University

Em resposta a esse incidente, a OSU criou seu Centro de Operações de Segurança (SOC), que se tornou a peça central do esforço de segurança da universidade. A IA também ajudou a automatizar recursos e ajudou seus analistas (que são estudantes universitários) a aprender a escrever código rapidamente, como busca de ameaças com consultas mais avançadas.

Departamento de Educação do Arizona

O foco em Zero Trust e sistemas fechados é uma área que o Departamento de Educação do Arizona (ADE) leva além dos requisitos estaduais. O órgão bloqueia todo o tráfego de fora dos Estados Unidos de seu ambiente do Microsoft 365, do Azure e de seu datacenter local.

“Não permito que nada seja exposto à Internet em meus ambientes de desenvolvimento inferiores e, mesmo com os ambientes de produção, tomamos cuidado extra para garantir que usemos um grupo de segurança de rede para proteger os serviços do aplicativo”

__ Chris Henry, gerente de infraestrutura do Departamento de Educação do Arizona

Tradução:

1. Pontos de acesso Wi-Fi, aplicativos móveis e QR codes
Incentive os alunos e professores a: (1) proteger seus aplicativos e dispositivos com as atualizações e patches mais recentes, (2) evitar acessar informações confidenciais de Wi-Fi público e (3) evitar links, anexos e QR Codes de fontes não oficiais.

2. Os atores estatais estão atrás de propriedade intelectual valiosa

Use apenas ferramentas de colaboração aprovadas e seguras para compartilhar e armazenar pesquisas. Exigir autenticação multifator para todos os usuários que acessam recursos de nuvem. Certifique-se de que todos os dados confidenciais sejam criptografados em trânsito e em repouso usando protocolos de criptografia robustos.

3. Os sistemas de e-mail oferecem amplos espaços para comprometimento
Use soluções avançadas de proteção contra ameaças para detectar e bloquear tentativas de phishing e outras ameaças baseadas em e-mail. Atualize e configure regularmente os filtros de spam para reduzir o risco de e-mails maliciosos chegarem às caixas de entrada dos usuários. ]]

Recomendações:

  • A melhor defesa contra ataques de QR Codes é estar atento e prestar atenção. Faça uma pausa, inspecione o URL do código antes de abri-lo e não abra códigos de fontes inesperadas, especialmente se a mensagem usar linguagem urgente ou contiver erros.
  • Considere implementar o “serviço de proteção de nome de domínio”, uma ferramenta gratuita que ajuda a prevenir ransomware e outros ataques cibernéticos, impedindo que os sistemas de computador se conectem a sites nocivos. Evite ataques de pulverização de senha com uma senha rigorosa e implante a autenticação multifator.
  • Eduque os alunos e funcionários sobre sua higiene de segurança e incentive-os a usar autenticação multifator ou proteções sem senha. Estudos mostraram que uma conta tem mais de 99,9% menos probabilidades de ser comprometida ao usar a autenticação multifator
  • A Microsoft lançou treinamentos baseados em funções para líderes, educadores, alunos, pais e profissionais de TI alinhados às recomendações da Agência de Segurança Cibernética e Infraestrutura dos EUA.  

Perfil de especialista

Corey Lee sempre teve interesse em resolver quebra-cabeças e crimes. Ele começou sua carreira universitária na Penn State University em justiça criminal, mas logo percebeu sua paixão pela perícia digital depois de fazer um curso sobre como investigar uma invasão de computador desktop.

Depois de concluir sua graduação em segurança e análise de risco, Corey veio para a Microsoft focado em ganhar experiência em vários setores. Ele trabalhou para proteger tudo, desde agências federais, estaduais e locais até empresas comerciais, mas hoje ele se concentra no setor educacional.

Tradução: “Acredito que podemos virar a esquina e realmente aumentar a aposta em termos de luta contra adversários que atacam escolas, sejam estatais ou não.”

Depois de passar um tempo trabalhando em vários setores, Corey vê a educação através de uma lente diferente – a indústria das indústrias significamente única. A dinâmica em jogo no setor educacional inclui instituições acadêmicas, serviços financeiros, infraestrutura crítica como hospitais e transporte e parcerias com agências governamentais. De acordo com Corey, trabalhar em um campo tão amplo permite que ele aproveite conjuntos de habilidades de vários setores para resolver problemas específicos em todo o cenário.

O fato de que a educação também pode ser classificada como mal atendida do ponto de vista da segurança cibernética é outro desafio convincente e parte da missão pessoal de Corey. O setor educacional precisa de especialistas em segurança cibernética para elevar a prioridade de proteger os sistemas escolares. Corey trabalha em todo o diálogo público e da indústria, programas de qualificação e prontidão, resposta a incidentes e defesa geral para proteger não apenas a infraestrutura da educação, mas também alunos, pais, professores e funcionários.

Hoje, Corey está focado em reimaginar os centros de operações de segurança dos alunos, incluindo como injetar IA na equação e trazer tecnologia e treinamento modernos para a mesa. Ao aumentar a força de trabalho de segurança cibernética na educação e fornecer novas ferramentas, ele está trabalhando para elevar a segurança no setor de uma forma compatível com a crítica do setor para o futuro.

Próximos passos com Microsoft Security

Para saber mais sobre as soluções de segurança da Microsoft, visite nosso site. Marque o blog de segurança para acompanhar nossa cobertura especializada em questões de segurança. Além disso, siga-nos no LinkedIn (Microsoft Security) e X (@MSFTSecurity) para obter as últimas notícias e atualizações sobre segurança cibernética.

——————

Metodologia: os dados de estatísticas de instantâneo e capa representam a telemetria do Microsoft Defender para Office 365 mostrando como um ataque de phishing de código QR foi interrompido pela tecnologia de detecção de imagem e como as equipes de operações de segurança podem responder a essa ameaça. Plataformas como o Microsoft Entra forneceram dados anônimos sobre a atividade de ameaças, como contas de e-mail maliciosas, e-mails de phishing e movimentação de invasores nas redes. Insights adicionais são dos 78 trilhões de sinais de segurança diários processados pela Microsoft todos os dias, incluindo a nuvem, pontos de extremidade, a borda inteligente e a telemetria de plataformas e serviços da Microsoft, incluindo o Microsoft Defender. A Microsoft categoriza os agentes de ameaças em cinco grupos principais: operações de influência; grupos em desenvolvimento; e atores ofensivos do estado-nação, motivados financeiramente e do setor privado. A taxonomia de nomenclatura dos novos agentes de ameaças se alinha com o tema do clima.

   ———-

¹The Institutional Impacts of a Cyberattack, University of Florida Information Technology. January 18, 2024.

²Cyber security breaches survey 2024: education institutions annex, The United Kingdom Department for Science, Innovation & Technology. April 9, 2024

³Scammers hide harmful links in QR codes to steal your information, Federal Trade Commission (Alvaro Puig), December 6, 2023.

© 2024 Microsoft Corporation. Todos os direitos reservados. Cyber Signals é apenas para fins informativos. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU ESTATUTÁRIAS, QUANTO ÀS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO. Este documento é fornecido “no estado em que se encontra”. As informações e opiniões expressas neste documento, incluindo URL e outras referências de sites da Internet, podem ser alteradas sem aviso prévio. Você assume o risco de usá-lo. Este documento não fornece a você nenhum direito legal sobre qualquer propriedade intelectual em qualquer produto da Microsoft.