CTF: Desafiando e conscientizando! O poder dos eventos de conscientização para públicos específicos

Olá pessoal!

Hoje vamos falar um pouco sobre como a conscientização se mistura com a emoção. Estamos falando dos eventos de Capture the Flag (CTF), que vão além de uma simples competição e têm o poder de engajar e educar públicos específicos de forma única. Vamos explorar a importância de criar eventos de conscientização para públicos específicos e como os eventos de CTF podem ser um exemplo perfeito disso.

A importância da conscientização:

Antes de entrarmos nos detalhes dos eventos de CTF, vamos refletir sobre a importância da conscientização direcionada a públicos específicos. Quando falamos de conscientização, estamos nos referindo a despertar o conhecimento e a compreensão sobre um determinado tema ou problema. É como acender a luz em uma sala escura, revelando o que antes estava escondido nas sombras. Ao direcionar eventos de conscientização para públicos específicos, podemos atingir resultados mais impactantes e eficazes.

O que é um evento de CTF e como ele se encaixa?

Eventos de CTF são eventos de Capture the Flag. Originalmente inspirado em jogos infantis, o CTF evoluiu para uma competição desafiadora no mundo da tecnologia e da segurança cibernética. Os participantes enfrentam uma série de desafios e quebra-cabeças para capturar "bandeiras" virtuais e acumular pontos.

CTF como ferramenta de conscientização

Mas como exatamente os eventos de CTF se encaixam na conscientização direcionada? Bem, esses eventos têm o poder de educar e conscientizar sobre questões de segurança cibernética de uma forma divertida e envolvente. Ao criar desafios que simulam situações reais, os participantes são expostos a diferentes cenários e aprendem a identificar vulnerabilidades, proteger sistemas e tomar medidas preventivas.

CTF para públicos específicos

Sim, existem vários tipos de CTF. Os CTFs podem ser direcionados para públicos específicos. Vamos dar uma olhada em alguns exemplos:

• CTF para estudantes universitários: Um evento especialmente projetado para estudantes universitários interessados em segurança cibernética. Com desafios adaptados ao nível de conhecimento dos participantes, eles têm a oportunidade de aprimorar suas habilidades e aprender com especialistas na área.
• CTF corporativo: Empresas estão cada vez mais realizando eventos de CTF internos para conscientizar seus funcionários sobre os riscos de segurança e incentivar boas práticas. Esses eventos promovem o trabalho em equipe e incentivam a adoção de medidas de segurança no ambiente corporativo. Na empresa onde trabalho atualmente, fazemos 1 evento de CTF aberto a toda a comunidade. Este evento fecha nossa semana de segurança da informação.
• CTF para crianças: Nada como começar cedo! Eventos de CTF voltados para crianças são uma ótima maneira de despertar o interesse pelas questões de segurança cibernética desde cedo. Com desafios divertidos e educativos, as crianças aprendem enquanto se divertem.

Os eventos de CTF são uma excelente ferramenta para criar conscientização direcionada a públicos específicos. Eles combinam desafios, diversão e aprendizado em uma experiência única. Ao desenvolver eventos de conscientização para públicos específicos, podemos despertar o interesse, educar e promover a adoção de medidas preventivas. Então, vamos desafiar e conscientizar, um CTF de cada vez!

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.

Post original em BitFindeis.

Motivos para celebrar algumas datas importantes da Segurança da Informação e Privacidade

A comemoração de datas importantes relacionadas à segurança da informação, privacidade, criptografia e outros temas relacionados desempenha um papel fundamental na conscientização e promoção de boas práticas nesses campos. Essas datas são oportunidades para refletir sobre os desafios e avanços na proteção de informações pessoais e empresariais no mundo digital em constante evolução.

Por que celebramos essas datas?

Ao celebrar essas datas, buscamos educar o público sobre os riscos cibernéticos, as ameaças à privacidade e à segurança da informação, bem como fornecer informações e recursos para ajudar as pessoas a se protegerem. Além disso, as datas importantes servem como lembretes para implementar medidas proativas e adotar boas práticas de segurança em nosso cotidiano.
A conscientização gerada por essas datas é essencial, pois muitos indivíduos e organizações podem não estar cientes dos perigos e vulnerabilidades que existem no ambiente digital. Ao promover a educação e a discussão sobre segurança cibernética, privacidade, criptografia e outras áreas relacionadas, essas datas contribuem para uma maior proteção de informações sensíveis, como dados pessoais, financeiros e profissionais.
Além disso, a comemoração dessas datas permite que os profissionais da área, especialistas em segurança cibernética e defensores da privacidade compartilhem conhecimentos, experiências e melhores práticas. Isso cria uma rede de apoio e colaboração para enfrentar os desafios cada vez mais complexos e sofisticados no mundo digital.

Quais datas são realmente importantes para a área de Segurança da Informação?

• 28 de janeiro - Dia Internacional da Privacidade: Instituído para conscientizar sobre a importância da proteção de dados pessoais e promover a privacidade online. Destaca a importância da privacidade na era digital e promove boas práticas de privacidade.

• 2ª terça-feira de fevereiro - Dia da internet segura: Promove a conscientização sobre a segurança online, especialmente entre crianças e jovens, com o objetivo de tornar a Internet mais segura e responsável.

• 31 de março - Dia mundial do Backup: Essa data foi criada para conscientizar e incentivar as pessoas a fazerem cópias de segurança (backups) de seus dados importantes de forma regular.

• 1ª quinta-feira de maio - Dia da Senha (ou World Password Day): Essa data foi criada com o objetivo de conscientizar as pessoas sobre a importância de utilizar senhas fortes e seguras para proteger suas contas online.

• 25 de maio - Dia Internacional da Privacidade de Dados: Celebração anual focada na conscientização sobre os direitos à privacidade e a proteção de dados pessoais.

• 30 de setembro - Dia Internacional da Conscientização sobre a Fraude: Destaca a importância de se proteger contra fraudes, golpes e práticas enganosas em diversos setores.

• Mês de outubro inteiro - Mês da consciência sobre segurança da informação: Esse mês foi designado com o objetivo de aumentar a conscientização sobre a importância da consciência sobre segurança da informação nas organizações. Esse mês é normalmente comemorado com muitos eventos relacionados ao tema, especialmente na América do Norte. 

• 19 de outubro - Dia do profissional de TI: Essa data foi criada para homenagear e reconhecer o trabalho dos profissionais que atuam na área de Tecnologia da Informação, que desempenham um papel fundamental na sociedade moderna.

• 21 de outubro - Dia global da criptografia: Essa data foi criada para aumentar a conscientização sobre a importância da criptografia e seu papel na proteção de dados e comunicações. A criptografia é uma técnica que envolve a codificação de informações para que somente as partes autorizadas possam acessá-las, garantindo assim a confidencialidade e a integridade dos dados.

• 30 de novembro - Dia internacional da Segurança da Informação: Essa data foi criada para aumentar a conscientização sobre segurança da informação.

Essas são apenas algumas datas importantes relacionadas à segurança da informação e privacidade. Vale ressaltar que as datas podem variar de acordo com o país e o contexto, porém, as datas listadas  são amplamente reconhecidas internacionalmente.

 

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.

Post original em BitFindeis.

Como criar um processo de onboarding em segurança da informação de novos colaboradores eficaz?

 O processo de onboarding de novos colaboradores é uma etapa crucial para garantir uma integração suave e eficaz dos funcionários em uma organização. No entanto, quando se trata de segurança da informação, é essencial que os novos membros da equipe sejam adequadamente informados e treinados sobre as melhores práticas de segurança da informação, conforme as políticas da empresa. 

 Etapas para criar um processo de onboarding em segurança da informação

Mas afinal, quais são as etapas-chave para criar um processo de onboarding eficaz que priorize a conscientização e a importância da segurança da informação desde o primeiro dia?

• Planejamento antecipado: Antes mesmo do início do processo de onboarding, é fundamental incluir a segurança da informação no planejamento. Determine quais são os tópicos e conhecimentos essenciais que devem ser abordados e identifique os recursos e materiais necessários para transmitir as informações de forma clara e concisa. Considere a criação de um programa estruturado para orientar os novos colaboradores sobre as políticas, diretrizes e protocolos de segurança da informação.
• Comunicação clara e abrangente: Ao apresentar a segurança da informação aos novos colaboradores, certifique-se de que as informações sejam apresentadas de maneira clara e fácil de entender. Utilize materiais visuais, como apresentações ou infográficos, para explicar os conceitos-chave. Evite o uso excessivo de jargões técnicos, a menos que seja absolutamente necessário, e forneça exemplos práticos para ilustrar os principais pontos.
• Treinamento interativo: Promova uma abordagem interativa para o treinamento em segurança da informação durante o processo de onboarding. Além de fornecer informações teóricas, envolva os novos colaboradores em atividades práticas que os ajudem a aplicar o conhecimento adquirido. Por exemplo, simulações de ataques de phishing ou exercícios de conscientização podem ajudar a reforçar a importância de estar alerta e identificar possíveis ameaças.
• Destaque as políticas e procedimentos de segurança: Durante o processo de onboarding, é crucial apresentar as políticas e procedimentos de segurança da informação da organização de forma clara. Explique as diretrizes específicas para o uso de senhas, acesso a sistemas, compartilhamento de informações confidenciais e outros aspectos relevantes. Certifique-se de que os novos colaboradores compreendam plenamente as consequências de violar essas políticas e a importância de seguir as melhores práticas de segurança em todos os momentos.
• Mentoria e suporte contínuo: Além do treinamento inicial, é importante oferecer mentoria e suporte contínuos aos novos colaboradores em relação à segurança da informação. Designe um mentor ou membro experiente da equipe para responder a quaisquer dúvidas ou preocupações relacionadas à segurança. Incentive os funcionários a relatar incidentes de segurança ou suspeitas de atividades suspeitas e estabeleça um canal de comunicação seguro para isso.

Um processo de onboarding eficaz sobre segurança da informação é fundamental para estabelecer uma cultura de segurança desde o início da jornada de um novo colaborador na organização. Ao planejar antecipadamente, comunicar de forma clara, oferecer treinamento interativo, destacar políticas e procedimentos de segurança e fornecer suporte contínuo, as empresas podem garantir que seus funcionários estejam bem preparados para proteger os ativos de informação e contribuir para um ambiente de trabalho seguro e confiável. Investir em um onboarding robusto de segurança da informação é um investimento valioso para a proteção dos dados e a prevenção de ameaças cibernéticas.

 

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.

Post original em BitFindeis.

Criando uma semana de Segurança da Informação: um momento importante para conscientizar seus colaboradores

 A segurança da informação é fundamental nos dias de hoje. Proteger nossos dados é essencial para evitar violações de privacidade e ataques cibernéticos. Uma maneira eficaz de promover a conscientização e a adoção de práticas seguras é através da realização de uma semana de segurança da informação. 

 

Etapas para criar uma semana de segurança da informação

Algumas etapas são fundamentais para criar uma semana dedicada a educar e capacitar as pessoas a protegerem suas informações pessoais e empresariais. Vamos a elas?

1- Planejamento: Defina objetivos da semana, o público-alvo e tópicos relevantes, como proteção de senhas e conscientização sobre phishing.  Estabeleça uma agenda com as atividades que serão realizadas durante essa semana.

2- Palestras e workshops: Organize sessões interativas com especialistas em segurança da informação. Incentive perguntas e discussões para melhorar a compreensão dos participantes. Caso seu orçamento seja limitado, você também pode abordar sobre temas relacionados ao que está definido na política de segurança da sua empresa.

3- Simulações de ataques: Realize simulações para mostrar ameaças reais, como exercícios de phishing e ataques de engenharia social.

4- Campanhas de conscientização: Crie campanhas utilizando cartazes, infográficos e vídeos para transmitir mensagens sobre boas práticas de segurança. Explore os meios de divulgação disponíveis na sua empresa.

5- Recursos e materiais educativos: Forneça recursos como guias de segurança e links para sites confiáveis. Estimule uma cultura de segurança contínua.


Uma semana de segurança da informação é uma oportunidade valiosa para promover conscientização e boas práticas. Ao educar as pessoas sobre as ameaças cibernéticas e fornecer orientações sobre como se proteger, estamos fortalecendo a segurança de nossas informações, sejam elas pessoais ou corporativas. Lembre-se de que a segurança da informação é uma jornada contínua, e essa semana deve ser o ponto de partida para uma cultura de segurança duradoura.

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.

Post original em BitFindeis.

Lançamento do curso: Como não cair em golpes digitais?

Hoje lançamos um curso online, a um preço acessível, para que todas as pessoas conheçam o básico sobre segurança da informação e aprendam, com várias dicas, o que fazer para evitar que caiam em golpes digitais.

Sobre o curso

• O curso está dividido em 5 módulos;
• Os módulos de conteúdo possuem quizzes para fixar o conhecimento;
• A duração é de 1 hora.

Acesse a nossa página AQUI do curso e saiba mais. Até mais!

O fator humano está vinculado a 85% dos ciberincidentes em empresas em 2021

2022 começou agitado por aqui. Isso pois iniciamos o ano começando nossos trabalhos na BitFindeis! E olhando portais de notícia especializados, essa notícia ai em questão me chamou a atenção:

Em estudo Kaspersky Employee Wellbeing de 2021, concluiu-se que, embora as organizações enfrentem vazamentos de dados de funcionários, as equipes são carentes de conhecimentos básicos sobre cibersegurança para se proteger, pois apenas 54% das empresas oferecem treinamentos de conscientização.

Assim, o fator humano está vinculado a 85% dos ciberincidentes em empresas em 2021.

Se você tinha alguma dúvida sobre esse dado, é hora de conhecer a BitFindeis. Saiba mais aqui.

Referências: Ciso Advisor.

Dicas de segurança para você curtir a BlackFriday tranquilo(a)

 Olá pessoal,

A Blackfriday está chegando. A data foi inventada por comerciantes para movimentar o mercado e estimular as compras. Mas é preciso atenção! A Black Friday atrai pessoas mal intencionadas que usam os descontos para aplicar diversos tipos de golpes. Confira 6 dicas para não cair em um golpe nesta BlackFriday (formato texto mais abaixo):

1. Cuidado com E-mails e Redes Sociais

Os golpistas enviam mensagens com links de lojas fraudulentas que visam roubar dados de pessoas e o dinheiro delas. Os links para esse tipo de golpe geralmente são enviados em e-mails, redes sociais ou até mesmo SMS.

 2.Confira o endereço do site antes de colocar seus dados

Para enganar usuários e fazê-los preencher informações em páginas falsas, golpistas costumam usar variações de nomes. Por exemplo, colocam uma letra ou palavras a mais no endereço da loja. Para ajudar a evitar este golpe, verifique se a loja que você vai efetuar a compra consta nesta lista de sites não confiáveis mantido pelo PROCON. 

 3. Fique de olho em promoções “imperdíveis”

Uma passagem a Paris por R$2? Aquele telefone novo por R$50? Desconfie quando a oferta for muito abaixo do mercado. Sites fraudulentos costumam dar grande ênfase aos preços quase absurdos para atrair vítimas.

 4. Evite compras em Wi-Fi públicos

Uma conexão de internet comprometida também pode ser porta de entrada para golpes. Ao fazer compras em wi-fi públicos, por exemplo, você nunca sabe ao certo quão expostos estão seus dados – inclusive, os do cartão de crédito.

Evite fazer compras quando estiver conectado à internet de locais abertos, como um restaurante ou café, por exemplo.

 5. Atenção aos boletos enviados por e-mail

Uma compra em um site aqui, outra ali… Em algum momento, você recebe no e-mail um boleto que parece ser do seu último pedido e, sem prestar muita atenção, faz o pagamento. Preste atenção se o boleto recebido é de uma compra realmente realizada por você – e não um golpe. Nessa época do ano golpistas tentam enganar as pessoas mandando boletos falsos que se parecem com o de grandes marcas. A estratégia deles nesse golpe é ganhar no volume.

 6. Não confirme tudo pelo telefone

Muito cuidado ao atender telefonemas que pedem confirmação de dados – especialmente de senhas. Lembre-se: nenhuma instituição financeira pede a confirmação de senhas por telefone.

Se ficar na dúvida sobre o contato, desligue o telefone, acesse a página oficial da empresa e ligue você mesmo para o SAC.

 

Fique seguro, boas compras ou vendas e até mais! 😀

DROPS de Segurança da Informação

DROPS, em sua tradução literal do inglês tem o significado de gota. Uma gota, quando cai, cai de forma muito rápida. Nesse sentido surgiu a ideia de fazer vários DROPS de Segurança da Informação. Esses DROPS de segurança da Informação nada mais são do que dicas rápidas com o tema de segurança da informação.

A ideia desse "estilo de vídeo" é fazer com que as pessoas comecem a adquirir uma cultura relacionada à segurança da informação.

E para iniciar, o primeiro DROPS que eu faço é sobre "A engenharia social e as mensagens estranhas".

Hoje em dia é difícil encontrar alguém que nunca tenha recebido uma mensagem estranha no celular, seja por SMS, aplicativos de mensagem instantânea ou e-mail. É comum recebermos mensagens no celular para "atualizarmos nosso cadastro" num site fake do Banco do Brasil. Ou então para atualizarmos nosso cadastro para recebermos um fake benefício. Essa técnica é chamada de engenharia social, e durante a pandemia os criminosos se aproveitaram da comoção que a doença COVID-19 causou na população.

Vou deixar o nosso primeiro DROPS abaixo:

Por isso, muita atenção! Tem um post aqui do blog que fala sobre como identificar um SMS de fraude e outro sobre como identificar um ato de engenharia social.

Espero ter te ajudado, até mais! 😀

Você consegue identificar um ato de Engenharia Social?

Eu já comentei aqui, em posts anteriores, que os ataques por meio de mensagens falsas, recebidas por e-mail, SMS e aplicativos de mensagens, aumentaram consideravelmente durante a pandemia do Covid-19. O principal motivo é que não foram só as pessoas de bem que ficaram de quarentena, pessoas mal intencionadas também estão em casa. Essas pessoas mal intencionadas tiveram que se reinventar e se aproveitaram da comoção que a doença causou. E o instrumento mais fácil para roubar dinheiro em tempos de quarentena foi utilizando a engenharia social. 

Mas o que é Engenharia Social? 

Engenharia Social é a habilidade de conseguir acesso a informações confidenciais ou a áreas importantes de uma instituição através de habilidades de persuasão. Ou seja, ela se baseia na ação manipular psicologicamente pessoas e com isso conseguir acesso ilegal à informações. 

De vez em quando eu falo nas minhas redes sociais sobre não clicar em links suspeitos. E o motivo? Essa é a forma mais básica de engenharia social. 

Confira algumas técnicas de ataques de engenharia social que devemos ficar atentos: 

• Pretextos: São histórias inventadas pelos criminosos para criar uma situação que vai fisgar o usuário, criando um vínculo emocional com a vítima e com isso, coletar dados da vítima para executar outras técnicas de engenharia social. 
• Baiting (Isca): O criminoso deixa um dispositivo, como um Pen Drive infectado por algum malware, em um local público. Alguém encontra o dispositivo e conecta no seu computador pessoal para ver o que tem dentro e assim recebe algum malware cujo objetivo é roubar informações. 
• Quid Pro Quo: Seduz usuários com prêmios de luxo ou descontos absurdos em produtos caros. Basicamente oferece algo para a vítima. Mas para isso, a pessoa precisa preencher algum formulário ou fazer um depósito de “garantia”. Quase todos nós conhecemos alguém que caiu (ou quase caiu) num ataque desses. 
• Phishing: Lembra dos e-mails falsos? Então! Essa é uma estratégia usada pelos cibercriminosos para enganar  o usuário a revelar informações pessoais por meio de sites falsos mas muuuuuito parecidos com os sites originais.  
• Spear phishing: É uma campanha direcionada a funcionários de empresas cujo objetivo é roubar informações. Nessa técnica o criminoso estuda o alvo previamente (o pessoal não tem costume de postar a vida inteira nas redes sociais? Esse é o melhor lugar para pesquisa). Depois o criminoso faz contato com essa pessoa, e parecerá extremamente relevante à vítima. Num desses contatos o criminoso envia algum contato com um link estranho, porém ele já terá a confiança da vítima. Depois de conseguir enviar o malware com sucesso, este estará no ambiente da empresa. 
• Vishing: É o call center falso. Essa abordagem se dá por meio de ligação telefônica. Utilizando a engenharia social, o criminoso tenta convencer a vítima de entregar informações pessoais por telefone. 
• Farming: Nessa técnica, o criminoso analisa o perfil das vítimas em mídias sociais e tenta uma aproximação com ela. Aqui o criminoso tenta enganar a vítima pelo maior tempo que conseguir para extrair o maior número de informações possíveis. 

Como se proteger das técnicas de engenharia social? 

Primeiro de tudo, tenha calma! Recebeu uma ligação de sequestro? Um SMS/e-mail de que sua conta foi comprometida? Calma! Os criminosos sabem que cometemos muitos erros quando estamos sob pressão.  

Controle a sua curiosidade! Phishing, vishing e spear phishing são técnicas que dependem de você (candidato a vítima) para executar uma ação.por isso, não clique e nem repasse mensagens suspeitas. 

Seja consciente, não compartilhe senhas! Não utilize a mesma senha em mais de um serviço! Altere sua senha frequentemente! Dá para fazer um outro post só falando de senhas... 

Tenha bom senso! Você participou de algum sorteio da empresa XPTO? Não, mas é cliente? Os criminosos sabem disso! Não se engane, ninguém ganha um sorteio sem participar de uma promoção. 

Evite ao máximo dar informações pessoais. Sabe aquele desodorante que você comprou na farmácia? Não precisa dar seus dados para efetuar um cadastro por causa de um desodorante. Lembre-se, os dados são seus. Você pode não informar. É um direito seu. Isso faz parte dos seus direitos em relação a Privacidade, assunto que falta na cultura do brasileiro. Tem um vídeo (só 2 minutos) que ilustra isso muito bem: 

Os criminosos sabem como nos atingir. Quando não sabem, usam um grande número de vítimas para extrair informações por tentativa e erro. Fique atento! 😉

Como identificar e evitar e-mails phishing?

É extremamente difícil ouvir alguém que nunca recebeu um e-mail phishing. Para quem não sabe:

O que é um e-mail phishing?

Um e-mail phishing normalmente quer roubar informações da pessoa que recebeu um e-mail. São e-mails de fraude. Eles simulam algo real, fazem você pensar que está lidando com uma empresa/organização.

Como evitar e-mails phishing?

Vou deixar uma imagem bem explicativa abaixo, mas o passo-a-passo é o seguinte:

1. Confira quem está encaminhando o e-mail e qual informação ele te traz;
2. Nunca, em hipótese nenhuma, forneça informações pessoais;
3. Não abra anexos de e-mails suspeitos. O e-mail phishing pode conter arquivos em anexos com conteúdos maliciosos;
4. Links suspeitos são um forte indício de um ataque phishing, não clique;
5. Desconfie de e-mails com urgência ou com um tom de ameaça. Tenha muito cuidado com e-mails que alegam que sua "conta foi suspensa", ou sua conta teve uma "tentativa de login não autorizada", ou então e-mails dizendo que "teve uma atualização no sistema de segurança do banco";
6. Invista na educação das pessoas que trabalham na mesma empresa que você. Muitos problemas são evitados com a educação.

E o profissional de segurança? O que ele deve fazer?

Eu já fiz um post sobre isso AQUI.

Gostou? Comenta! 😀

Como um profissional de Segurança da Informação trata e-mail phishing?

Você sabe o que fazer para denunciar um e-mail phishing? 

Para um usuário final, que usa clientes de e-mail como Outlook e Gmail, é fácil: só clicar no botão "Denunciar SPAM". Mas em uma empresa, sendo responsável pela Segurança da Informação, o procedimento de bloqueio vai além de clicar em um botão.

Mas então, qual o procedimento normalmente seguido pelos profissionais de segurança da informação?

Vamos a um passo-a-passo:

1. Olhe o cabeçalho do e-mail. Normalmente o remetente do e-mail phishing não é aquele que aparece lá no corpo do e-mail. Normalmente o remetente é mascarado: aparece um e-mail notafiscal@<nome--de-uma-empresa>.com, mas o real remetente é <qualquer-coisa>@<qualquer-coisa>.<qualquer-terminação>, Exemplo: 123@nota10.thenticatiosystem.xyz .
2. Com o real remetente em mãos, busque em servidores de registro de domínios o remetente real. Normalmente tem um e-mail do próprio provedor como canal de comunicação em casos de denúncia de e-mail phishing. 
1. Para registros .br, procure no WhoIs do Registro.br: https://registro.br/tecnologia/ferramentas/whois/
2. Para registros de fora, procure no WhoIs do DomainTools: http://whois.domaintools.com
3. Neste e-mail sempre coloco o cabeçalho do e-mail, anexo o e-mail phishing e solicito que o domínio seja tirado do ar. 
4. Para fins estatísticos, eu sempre mando o e-mail de denúncia para a Cert.br: cert@cert.br, mail-abuse@cert.br
5. Também adiciono o remetente real na lista de domínios bloqueados no servidor de e-mails.
6. Além disso, eu mantenho uma lista, tipo planilha de Excel, para controle de phishings bloqueados no mês. Já aconteceu de me encaminharem um e-mail suspeito, mas que veio de alguma lista em que o usuário se cadastrou e esqueceu.
7. Com base nessas informações, consigo tirar estatísticas e montar campanhas de conscientização em segurança da informação. 😉

Até 2014, a Polícia Federal recebia denúncias e investigava origem de crimes digitais. Hoje, é usado o portal de denúncia da SaferNet. Link: https://new.safernet.org.br/denuncie

Já fiz um post sobre como identificar e evitar um e-mail phishing AQUI.

É isso pessoal.

Você faz mais algum procedimento? Compartilha nos comentários! 😀