DROPS, em sua tradução literal do inglês tem o significado de gota. Uma gota, quando cai, cai de forma muito rápida. Nesse sentido surgiu a ideia de fazer vários DROPS de Segurança da Informação. Esses DROPS de segurança da Informação nada mais são do que dicas rápidas com o tema de segurança da informação.
A ideia desse "estilo de vídeo" é fazer com que as pessoas comecem a adquirir uma cultura relacionada à segurança da informação.
E para iniciar, o primeiro DROPS que eu faço é sobre "A engenharia social e as mensagens estranhas".
Hoje em dia é difícil encontrar alguém que nunca tenha recebido uma mensagem estranha no celular, seja por SMS, aplicativos de mensagem instantânea ou e-mail. É comum recebermos mensagens no celular para "atualizarmos nosso cadastro" num site fake do Banco do Brasil. Ou então para atualizarmos nosso cadastro para recebermos um fake benefício. Essa técnica é chamada de engenharia social, e durante a pandemia os criminosos se aproveitaram da comoção que a doença COVID-19 causou na população.
Eu já comentei aqui, em posts anteriores, que os ataques por meio de mensagens falsas, recebidas por e-mail, SMS e aplicativos de mensagens, aumentaram consideravelmente durante a pandemia do Covid-19. O principal motivo é que não foram só as pessoas de bem que ficaram de quarentena, pessoas mal intencionadas também estão em casa. Essas pessoas mal intencionadas tiveram que se reinventar e se aproveitaram da comoção que a doença causou. E o instrumento mais fácil para roubar dinheiro em tempos de quarentena foi utilizando a engenharia social.
Mas o que é Engenharia Social?
Engenharia Social é a habilidade de conseguir acesso a informações confidenciais ou a áreas importantes de uma instituição através de habilidades de persuasão. Ou seja, ela se baseia na ação manipular psicologicamente pessoas e com isso conseguir acesso ilegal à informações.
De vez em quando eu falo nas minhas redes sociais sobre não clicar em links suspeitos. E o motivo? Essa é a forma mais básica de engenharia social.
Confira algumas técnicas de ataques de engenharia social que devemos ficar atentos:
Pretextos: São histórias inventadas pelos criminosos para criar uma situação que vai fisgar o usuário, criando um vínculo emocional com a vítima e com isso, coletar dados da vítima para executar outras técnicas de engenharia social.
Baiting (Isca): O criminoso deixa um dispositivo, como um Pen Drive infectado por algum malware, em um local público. Alguém encontra o dispositivo e conecta no seu computador pessoal para ver o que tem dentro e assim recebe algum malware cujo objetivo é roubar informações.
Quid Pro Quo: Seduz usuários com prêmios de luxo ou descontos absurdos em produtos caros. Basicamente oferece algo para a vítima. Mas para isso, a pessoa precisa preencher algum formulário ou fazer um depósito de “garantia”. Quase todos nós conhecemos alguém que caiu (ou quase caiu) num ataque desses.
Phishing: Lembra dos e-mails falsos? Então! Essa é uma estratégia usada pelos cibercriminosos para enganar o usuário a revelar informações pessoais por meio de sites falsos mas muuuuuito parecidos com os sites originais.
Spear phishing: É uma campanha direcionada a funcionários de empresas cujo objetivo é roubar informações. Nessa técnica o criminoso estuda o alvo previamente (o pessoal não tem costume de postar a vida inteira nas redes sociais? Esse é o melhor lugar para pesquisa). Depois o criminoso faz contato com essa pessoa, e parecerá extremamente relevante à vítima. Num desses contatos o criminoso envia algum contato com um link estranho, porém ele já terá a confiança da vítima. Depois de conseguir enviar o malware com sucesso, este estará no ambiente da empresa.
Vishing: É o call center falso. Essa abordagem se dá por meio de ligação telefônica. Utilizando a engenharia social, o criminoso tenta convencer a vítima de entregar informações pessoais por telefone.
Farming: Nessa técnica, o criminoso analisa o perfil das vítimas em mídias sociais e tenta uma aproximação com ela. Aqui o criminoso tenta enganar a vítima pelo maior tempo que conseguir para extrair o maior número de informações possíveis.
Como se proteger das técnicas de engenharia social?
Primeiro de tudo, tenha calma! Recebeu uma ligação de sequestro? Um SMS/e-mail de que sua conta foi comprometida? Calma! Os criminosos sabem que cometemos muitos erros quando estamos sob pressão.
Controle a sua curiosidade! Phishing, vishing e spear phishing são técnicas que dependem de você (candidato a vítima) para executar uma ação.por isso, não clique e nem repasse mensagens suspeitas.
Seja consciente, não compartilhe senhas! Não utilize a mesma senha em mais de um serviço! Altere sua senha frequentemente! Dá para fazer um outro post só falando de senhas...
Tenha bom senso! Você participou de algum sorteio da empresa XPTO? Não, mas é cliente? Os criminosos sabem disso! Não se engane, ninguém ganha um sorteio sem participar de uma promoção.
Evite ao máximo dar informações pessoais. Sabe aquele desodorante que você comprou na farmácia? Não precisa dar seus dados para efetuar um cadastro por causa de um desodorante. Lembre-se, os dados são seus. Você pode não informar. É um direito seu. Isso faz parte dos seus direitos em relação a Privacidade, assunto que falta na cultura do brasileiro. Tem um vídeo (só 2 minutos) que ilustra isso muito bem:
Os criminosos sabem como nos atingir. Quando não sabem, usam um grande número de vítimas para extrair informações por tentativa e erro. Fique atento! 😉
Nas notícias em destaque sobre Segurança da Informação temos a preparação do fim do suporte do Windows 10 32 bits, os golpes virtuais mais comuns na pandemia e violações de identidade nas empresas.
Clique na imagem para vê-la em tamanho real
➡ Microsoft prepara o final do suporte para o Windows 10 de 32 Bits:
Que a segurança da informação vem se tornando cada vez mais importante, já deu para perceber. Essa semana a Nubank anunciou seu novo CISO, com uma bagagem enorme de experiência na área. Passando agora para notícias de comunicadores instantâneos: se semana passada o Zoom ainda estava na ponta da língua, essa semana o Teams mostrou que também possui falhas. Porém a notícia repercutiu com bem menos impacto por não ter havido um vazamento confirmado como no caso do Zoom. Agora o coronavírus não tem uma semana que não passa por aqui. Nesta semana temos destaque para o Gmail, que bloqueia cerca de 18 milhões de golpes por dia relacionados com a pandemia. Os links para mais detalhes das notícias você encontra mais abaixo. 😉
Falar de segurança da informação nunca é demais. Nesta última semana os destaques ainda são o vazamento ocorrido no Zoom. Também temos números interessantes sobre ataques em conexão remota durante o homeoffice e golpes de páginas, SMSs e apps falsos sobre o coronavírus nos EUA. Ainda sobre mensagens falsas, temos um pouco sobre invasão a celulares de soldados israelenses. Ufa, muita coisa. 😱 Os links para mais detalhes das notícias você encontra abaixo: 😉
As notícias sobre segurança digital duranto o período de quarentena continuam! As pessoas de bem estão em casa, mas os criminosos também. Atenção redobrada ao realizar compras online ou ao baixar apps.
Abaixo uma seleção das principais reportagens da semana.
Hoje de manhã (19/03/2020) participei de um webinar muito legal: “Como mitigar riscos cibernéticos no home office?”, feito pela [SAFEWAY]. Vou compartilhar aqui um resumo do que vi e achei legal. 😀
Começando com uma timeline do coronavírus até o momento até o momento, vide imagem abaixo:
Além disso, é importantíssimo vermos alguns dados:
75% dos latino-americanos possuem notebook para trabalhar (aqui não importa se é pessoal ou de trabalho);
30% se conectam em redes Wi-Fi públicas fora do escritório;
8% utilizam VPN.
44% trabalham em locais com políticas de segurança definidas;
35% estão em empresas sem nenhuma política de segurança;
21% desconhecem se sequer existe uma política de segurança.
Fonte: Kaspersky
Se formos analisar o perímetro de conexão de dentro da empresa é bem protegido. Até chegar à internet, precisa passar por ferramentas como:
•Firewall;
•Anti-spam;
•DLP;
•AD;
•Web filter;
•SIEM;
•Antivírus.
O ambiente ainda não é 100% seguro, mas já é considerado bem mais seguro que o perímetro da conexão em home office. Isso pois quando estamos em casa, nossa proteção normalmente é só um antivírus básico gratuito.
Qual o problema de um antivírus gratuito?
Normalmente ele não é inteligente. Ele é baseado em assinaturas enviados pela fabricante. Um Next Generation AV com EDR (Endpoint Detection and Response) consegue:
Detectar ameaças persistentes;
Criar regras customizadas;
Possui opções para remediar operações maliciosas.
O CISA identificou um aumento de atividades maliciosas da seguinte forma:
Aumento na busca por exploits de novas vulnerabilidades em VPNs;
Criação de 4000 domínios com o tema “Coronavírus”;
5% suspeitos;
3% maliciosos;
Roubo de informações sensíveis através de Wi-Fi público;
Campanhas de phishing para roubo de credenciais e extorsão.
Para mitigar isso, as empresas devem:
Aplicar updates de VPNs, ativos de infra estrutura e dos ativos entregues aos colaboradores;
Alertar os colaboradores que é esperado um aumento de e-mails falsos (phishing);
Implementar duplo fator de autenticação sempre que possível, inclusive na VPN;
Limitar o acesso apenas aos programas/arquivos absolutamente necessários `função de cada colaborador;
Forçar um timeout de sessão em todas as aplicações consideradas sensíveis;
Implementar política de senhas forte (mínimo 10 caracteres, com letras maiúsculas, minúsculas, números e caracteres especiais, todos embaralhados);
Modificar a senha padrão dos roteadores Wi-Fi;
Fornecer serviços para armazenamento remoto de arquivos e outras tarefas, não permitindo armazenamento local.
Por que tudo isso?
Muitas empresas vão utilizar o home office de agora, período do Coronavírus, como laboratório para implementar definitivamente o home office.
O que o Coronavírus tem haver com a Segurança da Informação? 🤔
Tudo!😱 Já existem grupos hackers tirando proveito de pessoas que buscam informações sobre o COVID-19.😷 Separei algumas notícias sobre o assunto para você.