Aléx de Oliveira em Blog do Lumiun

A maneira mais fácil e rápida para proteger sua rede

Quando se é um analista ou diretor de TI de uma empresa é importante tomar algumas decisões importantes de controle e segurança da rede. Especialmente quando a internet é a principal ferramenta para a plena operação da empresa. Se não bastasse essa responsabilidade, cresce cada vez mais o volume e a sofisticação dos ataques cibernéticos que visam prejudicar as organizações. Portanto, é relevante que os profissionais da área tenham conhecimento de ferramentas que possam auxiliar no bloqueio desses ataques para evitar perdas de informações, produtividade e dinheiro.

Além disso, o orçamento para investimento em segurança da rede e controle da internet é sempre limitado na maioria das pequenas e médias empresas. Por isso, é necessário estudar todo o cenário da rede, agir rapidamente e encontrar uma solução integrada para aprimorar a segurança digital sem gastar excessivamente e não sobrecarregar a produtividade da equipe.

Uma das partes que mais se tem importância na rede, por ser na maioria das vezes a porta de entrada dos ataques, é a camada DNS. E com uma solução integrada, que utiliza a inteligência dos dados e estuda a reputação de cada site é possível identificar e bloquear antecipadamente sites maliciosos como anonimizadores de acessos, hacking, keylogger, malware, spyware, phishing e fraudes. Dessa forma, uma solução que ajuda proteger a camada DNS da rede de uma empresa se torna a primeira linha de defesa, uma vez que as requisições DNS precedem todas as atividades na internet.

Principais tipos de ataques na camada DNS

Não é somente as empresas que criam as soluções de segurança que são inovadoras. Os criminosos cibernéticos, por necessidade, também inovam agressivamente tentando achar brechas nos produtos e políticas de segurança das organizações.

Mas nos últimos anos, os criminosos se tornaram mais motivados e ambiciosos devido às crescentes recompensas financeiras decorrentes dos ataques com final “feliz”. Como o meio digital é cada vez mais utilizado, gerando muitas informações importantes, os dados dessas empresas se tornam valiosos e o principal alvo desses criminosos. Se esses dados são roubados, podem ser revendidos em campo aberto na internet por um valor muito expressivo. Outro tipo de ataque é o ransomware, cada vez mais comum, que força a organização pagar pelo acesso das próprias informações.

As técnicas mais comuns de ataques DNS fazem com que o usuário tente acessar uma certa página e seja direcionado para um destino incorreto. Essas técnicas são chamadas de envenenamento de cache (DNS Poisoning) e sequestro de servidor (DNS Hijacking).

O ataque DNS Poisoning ocorre quando um criminoso consegue se infiltrar no servidor DNS, com o objetivo de modificar as informações registradas no cache e com isso mudar o número do IP de destino, sem precisar mudar o endereço que o usuário digita no navegador.

Já o ataque DNS Hijacking, o criminoso utiliza um malware com objetivo de sequestrar as requisições de tradução de domínio e redirecionar o tráfego para um servidor DNS malicioso.

A diferença entre as duas técnicas é que o foco do criminoso na primeira (DNS Poisoning) é o servidor DNS e o segundo (DNS Hijacking) é o próprio dispositivo (computador, laptop).

As páginas maliciosas para as quais o usuário pode ser direcionado são, em geral, clonadas (uma técnica de phishing) com o objetivo de disseminar cargas de malware ou aplicações indesejadas, minerar criptomoedas, roubar informações em formulários de acesso falsificados etc. E como o usuário digitou o domínio correto, dificilmente identificará de forma ágil que foi vítima deste tipo de engenharia.

Vantagens do controle da camada DNS

Uma solução para o controle das requisições DNS trazem muitas vantagens para as empresas, as quais destacamos as seguintes:

1. Segurança: Com uma solução de controle do acesso à internet é possível fazer a proteção proativa contra ameaças emergentes. Essas soluções são equipadas com serviços que possuem listas de sites suspeitos atualizados constantemente. Outra característica importante é a possibilidade de definir o nível de reputação necessário que um site deve possuir para ser acessível na rede, fazendo o bloqueio caso o nível for menor que o configurado.
2. Produtividade: O uso indevido da internet pelos colaboradores pode comprometer e muito a produtividade da empresa. Esse desperdício de tempo pode ocorrer de inúmeras maneiras, no acesso a redes sociais como Facebook ou Instagram, acesso ao e-mail pessoal, serviços de comunicação como WhatsApp ou Skype, sites de entretenimento, compras, esporte, entre outros. No entanto, uma solução de controle do acesso à internet permite também o bloqueio de sites indesejados que estão fora do escopo de trabalho da empresa e que causam o desperdício de tempo dos colaboradores e comprometem a produtividade.
3. Redução de custos: Com o aumento da segurança da rede, diminuição de custos com manutenção de equipamentos e aumento da produtividade da equipe, o investimento em uma solução de controle do acesso à internet muitas vezes se paga nos primeiros meses.
4. Informação: Outro ponto importante é o levantamento de informações sobre o uso da internet, ter relatórios do que está sendo acessado e analisar essas informações em conjunto com relatórios de produtividade da equipe e entrega de tarefas, pode levar a otimização da sua política de acesso a internet.

Ferramentas para aumentar a segurança da rede

Como a camada DNS é a porta para os principais ataques cibernético na rede de uma empresa, a implantação de uma ferramenta para aumentar a segurança se torna um fator essencial para garantir a segurança das informações.

Por bloquear preventivamente todas as solicitações em qualquer porta ou protocolo, a segurança na camada DNS pode interromper a ação e evitar o ônus de precisar identificar a origem específica daquele ataque.

Para aumentar a segurança da rede na sua empresa, existem diferentes alternativas, como soluções tradicionais de proxy Linux fornecidas por empresas especializadas, que demandam maior investimento com servidores, mão de obra especializada e manutenção constante.

Outras opções são SonicWall, Fortinet FortiGate e semelhantes, ou então soluções mais modernas, que utilizam recursos em nuvem e são mais acessíveis, de fácil implementação e gerenciamento. Esse tipo de serviço é principalmente recomendado para pequenas e médias empresas, boas opções são Lumiun, OpenDNS ou DNSFilter.

Para escolher a melhor opção para gerenciar o acesso à internet é importante definir bem as necessidades da sua empresa e comparar os custos, características e benefícios de cada uma das soluções existentes.

Por que o Lumiun?

A empresa Lumiun é a única das opções citadas acima que é 100% brasileira. Nós realmente entendemos como funciona o ambiente de trabalho nas empresas brasileiras e criamos soluções que possam aumentar a segurança da rede e produtividade da equipe.

Diariamente são mais de 22 milhões de acessos controlados e 3,2 milhões acessos indesejados bloqueados. São dados que estudamos e que combinamos com serviços de terceiros na intenção e empenho de proteger as informações da empresa.

Principais funcionalidades que você encontra no Lumiun:

Controle de acesso:
- Liberação e bloqueio de aplicações, sites e categorias de sites. Inclusive por horário;
- Busca protegida (Safesearch) no Google, Bing e Youtube para garantir que conteúdos impróprios não sejam exibidos nos resultados das pesquisas;
- Pesquisa de domínios onde o Lumiun faz uma varredura e encontra sua categoria, reputação, descrição, últimos acessos e ainda um preview da página.
Segurança:
- Opção para definir o nível de reputação mínimo para acessar um site;
- Bloqueio de sites que pertencem a categorias consideradas nocivas como hacking, malware, phishing, etc.
Firewall:
- Esqueça o conceito antigo e difícil de implantar regras de firewall na sua rede. No Lumiun é possível, com poucos cliques, adicionar regras de bloqueios e liberações por portas, protocolos, origem e destino. Além disso, existem configurações predefinidas que auxiliam os mais leigos no assunto.
Velocidade:
- Com esse recurso você pode limitar a quantidade de Download e Upload para os grupos de equipamentos. Dessa forma pode distribuir seu link de internet conforme você achar melhor ou de acordo com a demanda de cada grupo.
Relatórios:
- De nada adianta todos esses recursos se não fosse possível acompanhar o resultado. No Lumiun é possível acompanhar em tempo real quais os sites mais acessados ou bloqueados, acessos por período, bloqueios de segurança, logs de firewall, equipamentos que mais consomem a banda da internet e muito mais.

O que os clientes mais gostam no Lumiun é a facilidade de gerenciamento de múltiplas redes em um único painel de controle, na nuvem, simples e acessível de qualquer lugar.

20 minutos para aumentar a segurança da rede na sua empresa

Após repassar nossos principais recursos e benefícios, você pode estar apreensivo por achar que é uma solução complexa, que demora para implantar e tem custo alto.

Instalação do Lumiun Box na rede da empresa

Boa notícia! Após receber o Lumiun Box (enviado em comodato), nosso time de atendimento lhe auxilia em todas as etapas. Em média, desde a instalação do box na rede e configuração do painel de controle, nossos clientes levam até 20 minutos. São apenas 20 minutos para deixar a rede da sua empresa mais segura e sua equipe mais produtiva.

E sobre o custo para contratar o Lumiun? Você vai se impressionar com o baixo investimento. Solicite nosso contato no formulário abaixo ou acesse o site www.lumiun.com.

14 dicas para ficar em conformidade com a LGPD

Como já escrevi em outro artigo aqui no blog, a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709) foi sancionada no dia 14 de agosto de 2018 e passa a entrar em vigor a partir de agosto de 2020. Essa regulamentação estabelece uma série de regras que todas as empresas e organizações atuantes no Brasil terão de seguir para permitir que o cidadão tenha mais controle sobre seus dados pessoais, garantindo uma transparência no uso dos dados das pessoas físicas em quaisquer meios.

Nesse artigo você vai encontrar algumas dicas para conseguir cumprir com alguns pontos da LGPD. Mas aviso de antemão que não existe nenhuma ferramenta ou software “canivete suíço” que vai solucionar tudo. Para o cumprimento dessa lei além de ferramenta será necessário a implantação de muitos processos.

Estude a LGPD

Antes de listar as dicas, é importante que seja definida uma equipe que seja responsável por analisar os procedimentos internos quanto a coleta dos dados e o fluxo dessas informações na empresa envolvendo terceiros. Por isso, é imprescindível que essas pessoas estudem a Lei profundamente para que consigam entender todos os princípios e hipóteses as quais se aplicam.

Seguem alguns conteúdos para você iniciar e se aprofundar no assunto:

Link da Lei Geral de Proteção de Dados Pessoais (LGPD) em vigência do site do Planalto da Presidência da República
Artigo do nosso blog: LGPD: o que é e como aplicar na empresa?
Cursos online sobre LGPD na plataforma da Udemy

Vamos às dicas

Agora chega de enrolar. Abaixo listo algumas dicas que vão auxiliar sua empresa entrar em conformidade com a LGPD.

Dica 1: Termo de Consentimento para Tratamento de Dados Pessoais

Recomenda-se a definição de um processo de obtenção do consentimento do titular a ser utilizado pela empresa que seja claro, distinto e que não esteja agrupado com outros acordos ou declarações e que seja ativo (fornecido pelo titular, sem o uso de caixas pré-marcadas). O consentimento deverá ser documentado, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento existente não tenha sido obtido de acordo com a LGPD, recomenda-se que o consentimento seja renovado antes da entrada em vigor da LGPD, se não for possível utilizar outra base legal.

Criamos um modelo de documento que você pode baixar, adaptar conforme suas necessidades e obter o consentimento dos colaboradores e usuários para a utilização dos dados pela empresa. Baixe agora o Modelo de documento para o Termo de Consentimento para Tratamento de Dados Pessoais.

Dica 2: Gerenciamento dos Direitos dos Titulares de Dados

Implementar um portal de privacidade (front-end) com uma solução de Gerenciamento dos Direitos dos Titulares de Dados com foco nos clientes da empresa, de forma tempestiva (15 dias para a LGPD). Esse portal gerenciará todo o workflow da solicitação e deve conter as seguintes funcionalidades:

Formulário de preenchimento da solicitação, que pode ser apresentado em diversos produtos digitais da empresa;
Validação da identidade dos titulares de dados;
Controlar prazos, atividades e custos da solicitação;
Identificar os dados pessoais dentro da empresa para proceder com a divulgação ao titular de dados, a correção, a exclusão ou portabilidade dos dados pessoais.

Dica 3: Elaborar uma Política de Retenção e Descarte de Dados

Esta política deve incluir os princípios de retenção e descarte apropriados de dados pessoais, observando os requisitos legais da LGPD. Além disso, a política deve conter:

Uma tabela de temporalidade atualizada para armazenamento das informações levando em consideração os dados pessoais coletados;
Procedimentos de descarte apropriado para ativos (papéis, computadores, mídias removíveis) que contenham dados pessoais;
Processo de exclusão ou anonimização de dados quando estes não forem mais necessários para a empresa, observando a necessidade de armazenamento de dados para atender obrigações legais;
Processo de backup de dados pessoais armazenados em sistemas;
Processo de pseudonimização para os dados sensíveis em repouso. Incorporar na cultura da empresa os princípios de minimização de dados, onde a empresa realiza a coleta apenas das informações estritamente necessárias, pelo período que for necessário.

Dica 4: Registro das Operações de Tratamento de Dados Pessoais

A LGPD exige a elaboração e manutenção de um Registro das Operações de Tratamento de Dados Pessoais, que deverá incluir:

Os nomes e os contatos do Controlador/ Operador e, quando aplicável, de qualquer responsável pelo tratamento em conjunto, dos representantes das entidades e do DPO (Data Protection Officer);
A finalidade do processamento dos dados;
A descrição das categorias dos titulares de dados e das categorias dos dados pessoais;
As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
Os prazos previstos para a exclusão das diferentes categorias de dados;
As bases legais estipuladas para tratamento de dados.

Dica 5: Processo para Análise de Impacto à Proteção de Dados (DPIA).

Implementar / adquirir uma solução para realização da DPIA de forma sistêmica e centralizada. Essa solução deve ter as seguintes funcionalidades:

Projetos de privacidade da empresa consolidados em um dashboard central para gerenciamento das atividades de proteção de dados;
Classificação dos projetos quanto ao envolvimento de dados pessoais e critérios de risco (se existe profiling, dados sensíveis, grande volume de dados processados, etc.);
Gerenciamento do workflow da DPIA, desde a seleção do fluxo de dados utilizando os critérios estabelecidos até a aprovação final do Encarregado;
Orientação e template para preenchimento da DPIA disponibilizado de forma centralizada para todo a empresa;
Análise de riscos e GAPs dos fluxos de dados pessoais;
Registro das atividades de proteção de dados realizadas ao longo do projeto para fins de conformidade.

Dica 6: Implementar um modelo de governança de DPO

Implementar um modelo de governança de DPO (Data Protection Officer), definindo os papéis e responsabilidades para atender às expectativas regulatórias conforme as mudanças trazidas pela LGPD.

Dentro da rotina do DPO, entendemos que haverá tarefas como (i) realização de Due Diligence de terceiros periódica; (ii) manutenção e atualização do ROPA; (iii) elaboração e manutenção da DPIA, quando necessário; (iv) realização de auditorias periódicas internas para análise do nível de conformidade; (v) rotina de treinamentos sobre a LGPD para funcionários e colaboradores periódica; (vi) rotina de acompanhamento de jurisprudências, consultas à ANPD, novas certificações, boas práticas de mercado e etc…

Dica 7: Contratação de um assessor externo

Recomenda-se a contratação de um assessor externo para assessorá-lo na análise do atual compliance da empresa com a LGPD, indicação dos pontos de melhoria e exigências legais, bem como definição de um plano de ação para implementação das ações necessárias para que a empresa esteja em conformidade com a LGPD.

Dica 8: Treinamento sobre privacidade para educar os funcionários

Elaborar um programa de treinamento sobre privacidade e proteção de dados para educar os funcionários sobre a importância da privacidade e proteção de dados pessoais, capacitando-os para realizar os processamentos de dados adequadamente, mitigando os riscos de alguma violação de dados acontecer.

Esse programa pode ter duas fases, de acordo com a sua abordagem. A primeira fase é comum para todos os funcionários e abordará o que são as leis de privacidade e proteção de dados, os seus princípios, os riscos de não estar em conformidade com elas, o que são dados pessoais e sensíveis, bases legais, o que é considerado como processamento de dados, como classificar o dado antes de armazená-lo, como descartá-lo corretamente, o que é o ROPA, a DPIA, o papel e importância do encarregado de dados (DPO) e como reportar uma violação de dados na empresa. A fase um pode ser um treinamento online, disponibilizado para os funcionários na intranet. Na segunda fase do programa, o treinamento deverá ser direcionado para cada área de negócio, de acordo com a natureza de relacionamento que elas possuem com os titulares de dados (relacionamento com cliente, financeiro, RH, etc.). Essa fase abordará com mais profundidade a aplicação das bases legais de acordo com os tipos de processamento que a área realiza e terá apresentação de cases específicos conforme a atuação da área (exemplo de cases de profiling para área de marketing). A fase dois pode ser presencial para os funcionários da área.

Os treinamentos devem ser reciclados periodicamente de acordo com a política interna da empresa ou quando houver mudanças significadas nas leis de privacidade.

Implementar métricas de aprovação/reprovação para medir a aplicação do treinamento e nível de aprendizado, tanto individualmente por funcionário quanto por área de negócio.

Dica 9: Gestão de Identidade e Acessos

Implementar um pool de soluções para Gestão de Identidade e Acessos para prover a governança e administração das identidades e seus respectivos direitos de acesso aos dados pessoais e sensíveis armazenados nos ativos da empresa.
É recomendável que todo o ciclo de vida dos usuários e seus acessos aos dados pessoais e sensíveis sejam gerenciados através de workflows para mitigar os riscos de dados pessoais e sensíveis serem acessados por pessoas não autorizadas, o que pode ocasionar uma violação de dados de acordo com a LGPD.

Dica 10: Gestão de Incidentes

Estruturar, definir e formalizar um processo de Gestão de Incidentes, visando contemplar planos de resposta à incidentes relacionados ao tema de privacidade de dados. Esse plano deve conter procedimentos e diretrizes que orientem as áreas envolvidas na identificação, monitoramento, remediação e reporte de incidentes de violação de dados, bem como abordar a categorização de um incidente de violação de dados e o seu registro nas ferramentas. O processo de gestão de incidentes de violação deve ser testado e validado regularmente para avaliar a capacidade de atendimento aos requisitos de privacidade relevantes.

Recomenda-se que seja definido um processo de comunicação formal com as autoridades de proteção de dados e os titulares de dados. Essa comunicação deve ter o envolvimento do Encarregado de Dados (DPO) da empresa e deve ser realizada dentro dos prazos estabelecidos pela LGPD.

Além disso, deve-se ser estabelecido um processo de notificação de violação de dados que contenha:

A identidade e o contato do encarregado de dados e outras partes relevantes da empresa;
Descrição das possíveis consequências (riscos) da violação de dados;
Descrição da natureza da violação, informando quais e a quantidade de titulares que foram afetados;
Medidas técnicas e organizacionais aplicadas para mitigar as consequências dessa violação.

Dica 11: Revisão de antigos contratos

Recomendamos revisar os antigos contratos e incluir cláusulas protetivas relacionadas à proteção de dados e conformidade com a LGPD, bem como ajustar os contratos padrão existentes de modo a incluir cláusulas neste sentido, inclusive sobre a possibilidade de auditoria. A depender do caso, pode-se indicar a forma da realização dos tratamentos de dados e medidas mínimas de segurança a serem respeitadas.

Conduzir avaliações de conformidades com terceiros/fornecedores novos e existentes (a cada renovação de contrato) para verificar se estão em conformidade com a LGPD.

Dica 12: Política de privacidade interna e externa

Não há uma definição legal dos tipos de política de privacidade interna e externa que uma empresa deve possuir. De todo modo, sugerimos que a empresa elabore e mantenha as políticas de privacidade abaixo com bases nas melhores práticas de mercado e visando maior compliance com o framework de proteção de dados pessoais.

Com relação às políticas externas, via de regra as empresas possuem:

Política de Privacidade
Política de Cookies

Já com relação às políticas internas, normalmente as empresas possuem:

Política de Privacidade e Proteção de Dados
Política de Retenção e Destruição de Dados
Política de Gerenciamento de Dados em Dispositivos Móveis
Política de Segurança de Dados

Dica 13: Definir um processo para acompanhar as mudanças regulatórias da LGPD

Esse processo irá auxiliar a empresa a manter-se atualizada sobre as leis em questão, fornecendo subsídio para tomadas de decisão.

Além disso, recomenda-se que um processo seja definido para atualizar as políticas, normativos, treinamentos, procedimentos, processos e demais operações, a fim de refletir as mudanças regulatórias quando estas acontecerem.

Dica 14: Implementar uma solução para aumentar a segurança da informação

De nada adianta implementar vários processos de coleta das informações se as mesmas estiverem desprotegidas ou os equipamentos (computadores, celulares, etc) dos colaboradores não possuírem ferramentas como Antivírus e Gerenciador de acesso à internet.

Por isso, é de extrema importância que a empresa possua soluções que aumentem a camada de segurança dos dispositivos e da rede. Segue algumas sugestões:

Antivírus:
- Kaspersky Anti-Virus: costuma frequentar o top 3 das principais listas de melhores antivírus do mundo há tempos. Ele oferece recursos avançados de varredura e limpeza, além de ser capaz de desfazer ações realizadas por malwares e por isso está no topo desta lista;
- Bitdefender Antivirus Plus: oferece proteção completa para quem quer se ver livre de malwares. Ele conta com ferramentas de recuperação para vírus persistentes, gerenciamento de senhas e ainda incrementa a segurança do seu navegador para você realizar transações financeiras;
- F-Secure Anti-Virus: Uma das características mais marcantes do F-Secure Anti-Virus é a velocidade do seu modo de varredura rápida — e essa agilidade consegue ser ainda maior quando você refaz o processo. Isso garante praticidade e rapidez na hora de manter seu computador seguro. Além disso, ele tem recursos especiais para combater a ação de malwares, bloqueando e monitorando a ação de arquivos suspeitos.
Gerenciador de acesso à internet:
- Soluções que necessitam um maior investimento, indicado para empresas grandes
- Solução mais acessível, indicado para pequenas e médias empresas
  - Lumiun: O Lumiun é um serviço baseado em nuvem que protege sua empresa das ameaças da internet, tornando a rede mais segura e a equipe mais produtiva. O Lumiun funciona de forma diferenciada, pois o maior objetivo é ser uma solução fácil de ser implementada e gerenciada. Sabe-se que atualmente um dos maiores problemas das empresas é a baixa produtividade e a falta de segurança e é neste segmento que o Lumiun atua, simplificado às empresas de pequeno e médio porte.

Para escolher a melhor opção para aumentar a segurança da informação é importante definir bem as necessidades da sua empresa e comparar os custos, características e benefícios de cada uma das soluções existentes.

Gostou desse artigo? Então compartilhe com seus colegas de trabalho para que possam juntos deixar a empresa compliant com a LGPD.

Tem alguma dúvida? Escreva aqui nos comentários e terei o enorme prazer de te responder.

Phishing: como se proteger e não cair no golpe

O volume de ataques do tipo phishing tendo como alvo pessoas e empresas no Brasil continua muito alto: de cada 5 usuários brasileiros, 1 está suscetível a phishing. O Brasil está na 3ª posição do ranking dos países mais atacados por golpes de phishing.

Um relatório publicado pela Cisco em 2019 apontou que 38% dos entrevistados enfrentaram problemas com Phishing no último ano.

Uma história de Phishing

Um usuário habitual do Facebook vê em seu feed um anúncio de uma TV Samsung 4K 58″ por R$ 999,00. Preço imperdível. Saldão da Americanas. Nem cogita avaliar se o anúncio é da Americanas, pois as cores, o logotipo, as escritas, são da Americanas, ele já conhece. E o anúncio está veiculado pelo Facebook. Por isso não há tempo a perder, com esse preço em breve não terá mais estoque. Além de uma TV de 58 polegadas, ele terá também a satisfação de ter feito um excelente negócio. Oportunidade imperdível. Essa análise toda demora menos de 5 segundos.

O usuário clica no anúncio e agora está no site da Americanas. Novamente, não pensa em avaliar se o site é da Americanas, porque as cores, logotipo, tudo é exatamente como ele já conhece. O endereço desse site é https://www37.sucessodevendason*.com/tkn3025574/smart-tv-led-58-samsung-58mu6120-ultra-hd-4k[…] mas isso passa batido. Talvez ele viu o cadeado do HTTPS e sentiu segurança. Cego imaginando essa TV em sua casa, conclui a compra, informa o endereço de entrega – a ansiedade já começa a bater – e gera o boleto. No boleto consta o beneficiário “Americanas.com – B2W Companhia Digital”. Show. Então ele abre o aplicativo do banco, paga o boleto e agora surge a preocupação: como controlar a ansiedade até a hora da campainha tocar com a maravilhosa encomenda à sua porta.

Pois bem, essa hora não chegará.

Esse usuário caiu em um golpe de phishing

Infelizmente ele não teve atenção com alguns aspectos:

Promoção com preço muito fora do normal. Poderia ter pesquisado no Google e em sites como Zoom.com.br quais são faixas de preço razoáveis para aquele produto.
O endereço do site que abriu quando clicou no anúncio. O domínio que apareceu na barra de endereços do navegador não tinha nada a ver com Americanas.com. Esse é um grande indício de fraude.
O nome do beneficiário do boleto exibido pelo sistema do banco antes de concluir o pagamento. Antes da efetivação do pagamento, o banco informa o real beneficiário do boleto registrado, e certamente não era Americanas ou B2W (grupo de e-commerce integrado pela Americanas).
Tecnologia de proteção contra phishing. Um filtro de segurança contra sites de phishing funciona como uma proteção em tempo real para esse tipo de ameaça da internet. Se houvesse no computador, no celular, ou então naquela rede inteira, um mecanismo de proteção contra phishing, o acesso ao site fraudulento provavelmente teria sido bloqueado – apesar da desatenção do usuário no momento em que caiu no golpe.

O que é Phishing

Phishing é um tipo de crime cibernético que consiste em enganar os usuários de internet, por meio de mensagens e sites falsificados, para roubar informações sigilosas como senhas de acesso e dados de cartões de crédito, além de induzir, em alguns casos, ao pagamento de boletos fraudulentos.

A modalidade mais comum de phishing começa com um e-mail com conteúdo falsificado, se fazendo passar por uma empresa conhecida e induzindo o usuário a clicar em links que direcionam para o site falsificado onde é concluído o golpe. Em muitos casos também são utilizadas mensagens SMS. Atualmente há campanhas ainda mais elaboradas que, ao invés de e-mail Spam ou SMS, transmitem a “isca” aos usuários através de anúncios pagos em redes sociais. O objetivo é sempre enganar o usuário, utilizando engenharia social e se fazendo passar por outra pessoa ou outra empresa, para que o usuário indevidamente forneça dados sigilosos ou envie pagamentos.

Jesse Burns, Diretor Técnico de Segurança no Google Cloud, afirmou, em um artigo de outubro de 2019 para o site Forbes, a que ninguém consegue reconhecer com total consistência se um endereço web (URL) é seguro para ser clicado. Até mesmo especialistas em segurança não conseguem distinguir com total confiança páginas falsas. Basta um pouco de cansaço ou estresse e qualquer um pode se tornar uma vítima. Segundo ele, a proteção contra phishing necessita do uso de tecnologia, pois não é suficiente somente treinar as pessoas.

O termo phishing é uma adaptação da palavra em inglês fishing, que significa pescaria.

Exemplos de anúncios fraudulentos no Facebook

Você pode clicar nas imagens para visualizar em uma nova aba.

Passo a passo caindo no golpe e comprando um smartphone

Anúncio fraudulento veiculado no Facebook, ofertando um smartphone por preço muito inferior ao normal.
Após clicar no anúncio, usuário é direcionado para um site de comércio eletrônico “fake”, que imita perfeitamente o site da Americanas. Veja que o endereço do site é outro.
Clicando em Comprar, é exibido o produto já no carrinho de compras do e-commerce.
Avançando na compra, o site fraudulento solicita dados cadastrais do usuário.
O site solicita que o usuário escolha forma de pagamento. Nesse exemplo, foi selecionado boleto.
Após gerar o boleto, o site falso exibe a confirmação da compra, simulando o funcionamento do site real.
Boleto fraudulento que foi gerado no site de phishing. Observe que no campo beneficiário consta “Americanas.com – B2W Companhia Digital” para ludibriar o usuário.

Como evitar golpes Phishing?

A proteção contra phishing baseia-se em dois elementos principais: atenção do usuário para detectar indícios de fraude; e tecnologia de proteção contra phishing.

O usuário de internet deve ter a responsabilidade de manter protegidos os seus dados pessoais e também os dados e informações da empresa. Ao gestor da empresa cabe buscar educar os colaboradores para boas práticas de segurança da informação, bem como determinar a implementação de recursos tecnológicos para a proteção da rede.

Atenção ao que a mensagem ou anúncio está oferecendo ou solicitando

Desconfie de e-mails, SMS ou anúncios com ofertas de produtos a preços muito abaixo do normal. Em caso de dúvida, pesquise o preço normal dos produtos no Google ou em sites como Zoom.com.br. Não acredite em ofertas enviadas com preço incrivelmente baixo. Da mesma forma, também não acredite em e-mails que solicitam que você responda com seu usuário e senha do webmail ou do banco – para uma suposta atualização necessária para manter a conta ativa – isso é fraude. Mensagens supostamente enviadas pela Receita Federal informando sobre irregularidade no CPF também são fraudulentas. Desconfie de e-mails supostamente enviados pelo banco com link para atualizar o módulo de internet banking. Não acredite em e-mails com orçamentos, faturas ou ordens de serviço que você nunca solicitou. E preste atenção ainda ao texto da mensagem, é muito comum que mensagens de phishing contenham erros de ortografia.

Atenção ao remetente e aos links contidos nas mensagens

Observe com atenção o endereço de e-mail do remetente e também o endereço de destino dos links contidos na mensagem. Se forem estranhos, como “https://serwer1982897.home*.pl/pNPjj/[…]” em um e-mail supostamente enviado pela Americanas, desconfie imediatamente.

Atenção ao endereço do site

Caso você tenha clicado em um link ou anúncio e foi direcionado para um site contendo um produto para comprar, um arquivo para download ou um formulário solicitando dados, tenha muita atenção ao endereço que aparece na barra de endereços do navegador. Aquela dica de verificar se o site possui o cadeado do HTTPS (criptografia) já não é suficiente, pois os sites de phishing novos também usam HTTPS. No entanto é importante analisar se o endereço do site está correto. Na dúvida, acesse o Google e pesquise o nome da empresa que você deseja acessar. Por exemplo, o site da Americanas tem o endereço https://www.americanas.com.br e não seria aceitável usar um suposto site da Americanas em endereços como https://www242.ofertaexclusivadodia-liquida*.com, https://www217.vai-rolar-festa-confira-as-novidades*.com, https://geladeirapromocao*.com ou https://www212.apostoqueaquitemoquevocequer*.com (* colocado para invalidar os links nocivos aqui no artigo).

Tecnologia para segurança e proteção contra phishing

É importante utilizar antivírus no computador. No caso das empresas, é cada vez mais relevante usar também sistemas como firewall e controle do acesso à internet aplicados em toda a rede da empresa, independentemente dos dispositivos conectados na rede interna. Essa medida adiciona uma camada de segurança complementar, que reduz o risco de vazamento e perda de informações da empresa e dados de clientes e colaboradores, evitando grandes transtornos e perdas financeiras. Através de uma solução de controle de acesso à internet, também é possível definir que categoria de site poderá ser acessada por cada usuário, evitando desperdícios com navegação fora do escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.

No vídeo abaixo demonstramos o funcionamento de um phishing recebido por e-mail, que se faz passar pelo serviço de pagamentos PagSeguro com objetivo de roubar dados de acesso da vítima. Primeiro é demonstrado o acesso ao site de phishing sem proteção. Depois é demonstrada uma tentativa de acesso ao site de phishing porém com a proteção do Lumiun ativa na rede da empresa.

Dessa maneira, o vídeo apresenta um comparativo da eficácia de um ataque Phishing em uma rede desprotegida e outra com tecnologia de segurança e proteção.

Se você tiver uma dica adicional sobre phishing ou quiser esclarecer alguma dúvida, deixe seu comentário aqui no artigo ou me escreva diretamente em .

LGPD: o que é e como aplicar na empresa?

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em completo vigor em agosto de 2020 para todo o território nacional. O Brasil terá então uma legislação específica para proteger os dados e a privacidade de todos os cidadãos brasileiros. Por ser um projeto de interesse de todos os cidadãos, a LGPD está deixando…

Continuar lendo

[Novidades Lumiun] Relatórios e gráficos mais práticos e intuitivos

O novo módulo de relatórios do Lumiun ajuda economizar tempo e encontrar informações que podem ser muito úteis para a segurança da rede e produtividade dos colaboradores.

Todos os dias passam milhões de dados pelo Lumiun. Pensando nisso, criamos essa nova ferramenta de relatórios para transformar os dados em informações valiosas, que podem ajudar os gestores e responsáveis pela rede da empresa na tomada de decisão. Além de todas as vantagens, essa novidade está disponível para todos os planos: Profissional, Corporativo e Enterprise.

Neste artigo, você vai conhecer as principais funcionalidades para começar a utilizá-lo!

Relatórios prontos

Ao acessar a página de relatórios do Lumiun, você se depara com algumas opções fixas divididas em três fontes de dados: Acessos DNS, Firewall e Velocidade de tráfego. Em todos os relatórios é possível aplicar filtros para obter informações mais detalhadas e claras. Além disso, os relatórios podem ser exportados para PDF ou CSV.

Conheça alguns dos relatórios prontos:

Acessos DNS: Sites acessados

Nesse relatório, é possível observar em tempo real todos os acessos a sites que estão ocorrendo na sua rede. Em cada registro identificamos a data e hora, site ou aplicação, equipamento e resultado da requisição DNS. Veja o funcionamento na imagem abaixo:

Acessos DNS: Segurança

Nesse relatório de segurança disponibilizamos dados das tentativas de acessos a sites nocivos e quais os equipamentos que mais estão efetuando essas requisições. Com isso, você consegue ter informações de equipamentos infectados por softwares maliciosos e bloquear o acesso através da ferramenta de segurança do Lumiun.

Acessos DNS: Categorias e sites mais acessados e bloqueados

Estes relatórios exibem através de gráficos e tabelas o ranking de categorias e sites mais acessados e bloqueados em um determinado período. Como por exemplo, podemos aplicar um filtro e identificar os acessos e bloqueios individualmente por equipamentos, usuários, grupos e categorias.

Velocidade de tráfego

No relatório de velocidade de tráfego é exibido um gráfico de linha com informações sobre a velocidade de Download e Upload utilizada em determinado período.

Construtor de relatórios

Além dos relatórios prontos, disponibilizamos uma nova ferramenta chamada “Construtor de relatórios“. Com essa ferramenta é possível:

Criar um relatório personalizado de acordo com as informações desejadas.
Agendar o período para gerar o relatório: Diário, Semanal ou Mensal.
Definir o e-mail para receber a notificação do relatório finalizado.

Galeria de relatórios personalizados

Para facilitar ainda mais, criamos uma galeria de relatórios personalizados que geram informações úteis para a tomada de decisão dos gestores.

Veja a lista de relatórios que você já pode ativar:

Grupos com mais acessos na semana
Sites mais acessados por dia, semana e mês
Sites mais bloqueados por dia, semana e mês
Equipamentos que mais acessam sites da categoria “Download de software” na semana
Equipamentos que mais acessam sites da categoria “Pornografia” na semana
Equipamentos que mais acessam sites da categoria “Redes sociais” na semana

Conheça todas as funcionalidades

Se você quer conhecer todas as funcionalidades e usufruir ao máximo do novo módulo de relatórios, é só acessar os diversos conteúdos que disponibilizamos em nossa Central de Ajuda.

Agora, se você ainda não é nosso cliente e deseja ver o funcionamento dos relatórios do Lumiun na prática, preencha o formulário abaixo para solicitar uma demonstração sem compromisso!

[Novidades Lumiun] Mais controle e segurança na sua internet

Nos últimos dias lançamos uma série de melhorias no painel de controle do Lumiun.

Veja abaixo, as principais mudanças e benefícios para você!

Menu principal com novas opções

Como você pode perceber na imagem abaixo, o menu principal ganhou novas opções para facilitar o acesso às funcionalidades do Lumiun.

Perceba que foram adicionados dois novos itens principais: Firewall e Velocidade. Além disso, adicionamos subitens para “Controle de acesso”, “Segurança” e “Relatórios”, que são exibidos apenas passando o mouse em cima destes. Estes subitens surgem como uma forma de atalho para facilitar o acesso à página de destino em um único clique.

Nova página de controle de acesso

O Controle de acesso foi divido em três novas abas para melhorar a visibilidade dos recursos. Veja na imagem abaixo que agora você tem uma aba especial para os “Sites específicos”, outra para as “Categorias de sites” e a última para a nova “Busca protegida”.

Isso mesmo, a Busca Protegida agora permite mais controle sobre o conteúdo trazido pelos buscadores do Google, Bing e Youtube. Alguns clientes sempre nos falavam que com a Busca Protegida ativa, muitos vídeos do Youtube que eram úteis não estavam mais disponíveis. Agora, com essa melhoria, o Youtube está com dois filtros de busca protegida: Moderado, que é mais leve e irá bloquear grande parte do conteúdo impróprio; e Rigoroso, que é mais intenso e como efeito colateral bloqueará também alguns conteúdos a mais, nem sempre impróprios.

Mais segurança

Ainda falando das melhorias, também criamos uma nova página para a “Segurança”. Se você já é nosso cliente lembra que na página de segurança havia apenas a opção de bloquear o acesso a sites através do “Nível de reputação”. Pois bem, como pode perceber na imagem abaixo, agora existe uma nova aba chamada “Sites nocivos” com 5 novos tipos de sites com opção de bloquear.

Recomendo muito que após você ler esse post acesse a página “Segurança > Sites nocivos” e marque todos como bloqueados para melhorar a segurança da sua rede. 😉

Gostou das novidades ou tem alguma dúvida? Entre em contato, deixe seu comentário. Estamos sempre trabalhando para melhorar a experiência dos nossos clientes.

Se você ainda não é cliente, peça uma demonstração gratuita e veja na prática como o Lumiun pode ajudar na gestão do acesso à internet na sua empresa.

[Novidades Lumiun] Nova página para o limite de velocidade

Olá pessoal, estou de volta para contar a mais nova atualização no painel de controle do Lumiun para melhorar a funcionalidade “Limite de velocidade”.

O que é a funcionalidade Limite de velocidade?

Essa funcionalidade, como o próprio nome já diz, adiciona um limite de velocidade de downloads e upload para todos os equipamentos de um determinado Grupo. Dessa forma, você consegue utilizar o Lumiun para distribuir melhor a banda da sua internet evitando exageros de alguns equipamentos ou liberando uma melhor velocidade para o grupo de equipamentos que realmente necessita.

Essa funcionalidade está disponível apenas para o plano Enterprise.

Vamos à novidade!

A mais nova atualização que disponibilizamos para nossos clientes é a nova página para adicionar limite de velocidade.

Se você jé era cliente do plano Enterprise, vai lembrar que havia um campo para informar um número em Mbit/s na página de “Controle de acesso”. E esse número limitava tanto a velocidade de download quanto de upload. Era simples, funcional, mas bem limitado não acha?

Olha na animação abaixo o que foi atualizado =D

[clique na imagem para ver maior] Limite de velocidade

Como você pode reparar, removemos a opção de limite de velocidade da página “Controle de acesso” e criamos uma nova página na seção “Administrador” chamado “Limite de velocidade” que reúne todos os grupos criados e com os campos de download e upload distintos. Agora você consegue configurar de uma só vez o limite de velocidade para todos os grupos e também estipular velocidades diferentes para download e upload.

Para certificar que a regra foi aplicada, você pode clicar no link “Gráfico de velocidade de tráfego” que se localiza abaixo de cada grupo, conforme ilustra a imagem abaixo, e acompanhar se os limites estão realmente fazendo efeito.

E então, gostou da novidade, tem algum dúvida? Entre em contato, deixe seu comentário. Estamos sempre trabalhando para melhorar a experiência do nosso cliente.

Se você ainda não é cliente peça uma demonstração gratuita e veja na prática como o Lumiun pode ajudar na gestão do acesso à internet da sua empresa.

[Novidades Lumiun] Vincular controle de acesso com outro grupo

Uma das coisas que mais gostamos de fazer aqui na Lumiun é atender às necessidades de nossos clientes com novos recursos. Então, nada melhor do que contar mais essa novidade para vocês, pois desenvolvemos um recurso para vincular o controle de acesso com outro grupo, ou seja, ficou ainda mais prático configurar novos grupos.

Acompanhe o artigo para entender como esse recurso pode ser utilizado.

O que são os Grupos?

Primeiramente, se você ainda não é cliente do Lumiun, preciso antes lhe explicar sobre o recurso dos grupos. Caso já for cliente, pule para o subtítulo “Vamos à novidade” abaixo.

Se a sua empresa está utilizando o Lumiun, todos os equipamentos (computadores, celulares, tablets, etc.) e/ou usuários que se conectam na internet estão vinculados a Grupos. A partir disso, você consegue criar vários grupos e arrastar os equipamentos ou usuários entre eles para melhor organizar o controle de acesso.

Por exemplo, você pode criar um grupo chamado “Diretoria” e arrastar os equipamentos dos diretores para dentro dele, ou ainda, criar um grupo chamado “Financeiro” e arrastar os equipamentos do departamento financeiro para ele.

Com os equipamentos organizados entre os grupos, você pode então liberar ou bloquear sites e categorias somente para os equipamentos de um determinado grupo. Além disso, vai conseguir também visualizar detalhadamente todos os acessos dos equipamentos de um determinado grupo.

Se quiser saber mais detalhes, assista a esse vídeo.

Vamos à novidade

Essa atualização vai facilitar bastante a criação de novos grupos e evitar o desperdício de tempo adicionando sites e categorias de sites com bloqueios ou horários de liberações.

[clique na imagem para ver maior] Cadastro de grupo com vínculo

Conforme você pode ver na imagem animada acima, adicionamos um novo campo na página de cadastro de Grupos chamado “Vincular controle de acesso com outro grupo“.

Esse campo é opcional e se você selecionar uma opção, o grupo que estiver sendo criado ou alterado vai obter as mesmas regras de controle de acesso e segurança do grupo selecionado.

[clique na imagem para ver maior] Replicar o controle de acesso para os grupos vinculados

Agora você pode cadastrar as regras em um só grupo e replicar para todos os vinculados automaticamente. Pode também, criar um novo grupo iniciando com regras pré-definidas e depois remover o vínculo continuando com as regras anteriores. Ou ainda, remover o vínculo do grupo e limpar todas as regras do controle de acesso e segurança.

Gostou da novidade? tem algum dúvida? entre em contato, deixe seu comentário.

Estamos sempre trabalhando para melhorar a experiência de nossos clientes.

Se você ainda não é cliente, peça uma demonstração gratuita e veja na prática como o Lumiun pode ajudar na gestão do acesso à internet da sua empresa.

Registros escritos por Aléx de Oliveira