Pressione enter para ver os resultados ou esc para cancelar.

Arquivo de categorias para " Segurança"

A maneira mais fácil e rápida para proteger sua rede

Quando se é um analista ou diretor de TI de uma empresa é importante tomar algumas decisões importantes de controle e segurança da rede. Especialmente quando a internet é a principal ferramenta para a plena operação da empresa. Se não bastasse essa responsabilidade, cresce cada vez mais o volume e a sofisticação dos ataques cibernéticos que visam prejudicar as organizações. Portanto, é relevante que os profissionais da área tenham conhecimento de ferramentas que possam auxiliar no bloqueio desses ataques para evitar perdas de informações, produtividade e dinheiro.

Além disso, o orçamento para investimento em segurança da rede e controle da internet é sempre limitado na maioria das pequenas e médias empresas. Por isso, é necessário estudar todo o cenário da rede, agir rapidamente e encontrar uma solução integrada para aprimorar a segurança digital sem gastar excessivamente e não sobrecarregar a produtividade da equipe.

Uma das partes que mais se tem importância na rede, por ser na maioria das vezes a porta de entrada dos ataques, é a camada DNS. E com uma solução integrada, que utiliza a inteligência dos dados e estuda a reputação de cada site é possível identificar e bloquear antecipadamente sites maliciosos como anonimizadores de acessos, hacking, keylogger, malware, spyware, phishing e fraudes. Dessa forma, uma solução que ajuda proteger a camada DNS da rede de uma empresa se torna a primeira linha de defesa, uma vez que as requisições DNS precedem todas as atividades na internet.

Principais tipos de ataques na camada DNS

Não é somente as empresas que criam as soluções de segurança que são inovadoras. Os criminosos cibernéticos, por necessidade, também inovam agressivamente tentando achar brechas nos produtos e políticas de segurança das organizações.

Mas nos últimos anos, os criminosos se tornaram mais motivados e ambiciosos devido às crescentes recompensas financeiras decorrentes dos ataques com final “feliz”. Como o meio digital é cada vez mais utilizado, gerando muitas informações importantes, os dados dessas empresas se tornam valiosos e o principal alvo desses criminosos. Se esses dados são roubados, podem ser revendidos em campo aberto na internet por um valor muito expressivo. Outro tipo de ataque é o ransomware, cada vez mais comum, que força a organização pagar pelo acesso das próprias informações.

As técnicas mais comuns de ataques DNS fazem com que o usuário tente acessar uma certa página e seja direcionado para um destino incorreto. Essas técnicas são chamadas de envenenamento de cache (DNS Poisoning) e sequestro de servidor (DNS Hijacking).

O ataque DNS Poisoning ocorre quando um criminoso consegue se infiltrar no servidor DNS, com o objetivo de modificar as informações registradas no cache e com isso mudar o número do IP de destino, sem precisar mudar o endereço que o usuário digita no navegador.

Já o ataque DNS Hijacking, o criminoso utiliza um malware com objetivo de sequestrar as requisições de tradução de domínio e redirecionar o tráfego para um servidor DNS malicioso.

A diferença entre as duas técnicas é que o foco do criminoso na primeira (DNS Poisoning) é o servidor DNS e o segundo (DNS Hijacking) é o próprio dispositivo (computador, laptop).

As páginas maliciosas para as quais o usuário pode ser direcionado são, em geral, clonadas (uma técnica de phishing) com o objetivo de disseminar cargas de malware ou aplicações indesejadas, minerar criptomoedas, roubar informações em formulários de acesso falsificados etc. E como o usuário digitou o domínio correto, dificilmente identificará de forma ágil que foi vítima deste tipo de engenharia.

Vantagens do controle da camada DNS

Uma solução para o controle das requisições DNS trazem muitas vantagens para as empresas, as quais destacamos as seguintes:

    1. Segurança: Com uma solução de controle do acesso à internet é possível fazer a proteção proativa contra ameaças emergentes. Essas soluções são equipadas com serviços que possuem listas de sites suspeitos atualizados constantemente. Outra característica importante é a possibilidade de definir o nível de reputação necessário que um site deve possuir para ser acessível na rede, fazendo o bloqueio caso o nível for menor que o configurado.
    2. Produtividade: O uso indevido da internet pelos colaboradores pode comprometer e muito a produtividade da empresa. Esse desperdício de tempo pode ocorrer de inúmeras maneiras, no acesso a redes sociais como Facebook ou Instagram, acesso ao e-mail pessoal, serviços de comunicação como WhatsApp ou Skype, sites de entretenimento, compras, esporte, entre outros. No entanto, uma solução de controle do acesso à internet permite também o bloqueio de sites indesejados que estão fora do escopo de trabalho da empresa e que causam o desperdício de tempo dos colaboradores e comprometem a produtividade.
    3. Redução de custos: Com o aumento da segurança da rede, diminuição de custos com manutenção de equipamentos e aumento da produtividade da equipe, o investimento em uma solução de controle do acesso à internet muitas vezes se paga nos primeiros meses.
    4. Informação: Outro ponto importante é o levantamento de informações sobre o uso da internet, ter relatórios do que está sendo acessado e analisar essas informações em conjunto com relatórios de produtividade da equipe e entrega de tarefas, pode levar a otimização da sua política de acesso a internet.

Ferramentas para aumentar a segurança da rede

Como a camada DNS é a porta para os principais ataques cibernético na rede de uma empresa, a implantação de uma ferramenta para aumentar a segurança se torna um fator essencial para garantir a segurança das informações.

Por bloquear preventivamente todas as solicitações em qualquer porta ou protocolo, a segurança na camada DNS pode interromper a ação e evitar o ônus de precisar identificar a origem específica daquele ataque.

Para aumentar a segurança da rede na sua empresa, existem diferentes alternativas, como soluções tradicionais de proxy Linux fornecidas por empresas especializadas, que demandam maior investimento com servidores, mão de obra especializada e manutenção constante.

Outras opções são SonicWall, Fortinet FortiGate e semelhantes, ou então soluções mais modernas, que utilizam recursos em nuvem e são mais acessíveis, de fácil implementação e gerenciamento. Esse tipo de serviço é principalmente recomendado para pequenas e médias empresas, boas opções são Lumiun, OpenDNS ou DNSFilter.

Para escolher a melhor opção para gerenciar o acesso à internet é importante definir bem as necessidades da sua empresa e comparar os custos, características e benefícios de cada uma das soluções existentes.

Por que o Lumiun?

A empresa Lumiun é a única das opções citadas acima que é 100% brasileira. Nós realmente entendemos como funciona o ambiente de trabalho nas empresas brasileiras e criamos soluções que possam aumentar a segurança da rede e produtividade da equipe.

Relatório de segurança do Lumiun
Relatório de segurança do Lumiun

Diariamente são mais de 22 milhões de acessos controlados e 3,2 milhões acessos indesejados bloqueados. São dados que estudamos e que combinamos com serviços de terceiros na intenção e empenho de proteger as informações da empresa.

Principais funcionalidades que você encontra no Lumiun:

  • Controle de acesso
    • Liberação e bloqueio de aplicações, sites e categorias de sites. Inclusive por horário;
    • Busca protegida (Safesearch) no Google, Bing e Youtube para garantir que conteúdos impróprios não sejam exibidos nos resultados das pesquisas;
    • Pesquisa de domínios onde o Lumiun faz uma varredura e encontra sua categoria, reputação, descrição, últimos acessos e ainda um preview da página.
  • Segurança:
    • Opção para definir o nível de reputação mínimo para acessar um site;
    • Bloqueio de sites que pertencem a categorias consideradas nocivas como hacking, malware, phishing, etc.
  • Firewall:
    • Esqueça o conceito antigo e difícil de implantar regras de firewall na sua rede. No Lumiun é possível, com poucos cliques, adicionar regras de bloqueios e liberações por portas, protocolos, origem e destino. Além disso, existem configurações predefinidas que auxiliam os mais leigos no assunto.
  • Velocidade:
    • Com esse recurso você pode limitar a quantidade de Download e Upload para os grupos de equipamentos. Dessa forma pode distribuir seu link de internet conforme você achar melhor ou de acordo com a demanda de cada grupo.
  • Relatórios:
    • De nada adianta todos esses recursos se não fosse possível acompanhar o resultado. No Lumiun é possível acompanhar em tempo real quais os sites mais acessados ou bloqueados, acessos por período, bloqueios de segurança, logs de firewall, equipamentos que mais consomem a banda da internet e muito mais.

O que os clientes mais gostam no Lumiun é a facilidade de gerenciamento de múltiplas redes em um único painel de controle, na nuvem, simples e acessível de qualquer lugar.

20 minutos para aumentar a segurança da rede na sua empresa

Após repassar nossos principais recursos e benefícios, você pode estar apreensivo por achar que é uma solução complexa, que demora para implantar e tem custo alto.

Instalação do Lumiun Box na rede da empresa
Instalação do Lumiun Box na rede da empresa

Boa notícia! Após receber o Lumiun Box (enviado em comodato), nosso time de atendimento lhe auxilia em todas as etapas. Em média, desde a instalação do box na rede e configuração do painel de controle, nossos clientes levam até 20 minutos. São apenas 20 minutos para deixar a rede da sua empresa mais segura e sua equipe mais produtiva.

E sobre o custo para contratar o Lumiun? Você vai se impressionar com o baixo investimento. Solicite nosso contato no formulário abaixo ou acesse o site www.lumiun.com.


Como proteger as pessoas contra phishing e outros golpes

Se você acha que educá-los sobre maneiras de detectar e-mails suspeitos é a única resposta, pense novamente

Há cerca de 15 anos, o phishing passou de um fenômeno praticamente desconhecido para um tópico cotidiano da mídia. Com novos usuários entrando na Internet e a comercialização da Internet começando a sério, surgiram muitas oportunidades para os phishers, que se fazem passar por outra pessoa ou entidade para enganar usuários de email. Com isso, na ausência de proteções tecnológicas, os emails de phishing subitamente apareceram nas caixas postais de todos. Na prática, a única defesa foi o conselho oferecido por especialistas em segurança: cuidado com os emails mal redigidos; e não clique nos links dos emails.

Ao longo dos anos, a sofisticação dos ataques aumentou constantemente, e o número de variedades de emails fraudulentos aumentou rapidamente, com estratégias de ataque como se fazer passar por colegas (o chamado comprometimento de email corporativo) aumentam drasticamente. O aumento da sofisticação resultou em mais lucros, levando mais criminosos a tentarem a sorte nesse tipo de fraude.

Corporações e outras organizações continuam acreditando que podem treinar seus usuários para evitar ataques cibernéticos. O Gartner estima que o mercado de treinamento em conscientização sobre segurança crescerá a uma taxa de crescimento anual composta de 42% até pelo menos 2023, com uma base em 2018 de 451 milhões de dólares.

Mas atualmente a ênfase tradicional na educação do usuário é uma despesa e um incômodo para o usuário final que podem não ser justificáveis pelos resultados. À medida que as técnicas de fraude online proliferam e se tornam mais sofisticadas, torna-se cada vez mais difícil que o usuário detecte as fraudes. O retorno do investimento em qualquer esforço de conscientização de segurança caiu drasticamente.

A conscientização do usuário não deve mais ser a principal defesa contra a engenharia social. De fato, a tecnologia do crime cibernético evoluiu a tal ponto que só pode ser derrotada de forma confiável com a tecnologia oposta. Humanos sem ajuda não são mais capazes de se defender adequadamente contra o cibercrime, assim como lutadores com arcos e flechas não podem derrotar inimigos armados com helicópteros de ataque.

A maioria das defesas é mais adequada para algoritmos do que para usuários finais. Em vez disso, os profissionais de segurança e gerenciamento de riscos devem educar os usuários finais apenas sobre as ameaças que possam razoavelmente detectar, enquanto usam defesas técnicas para a grande maioria dos ataques.

No início, os ataques de phishing “tradicionais” foram relatados com eficiência da ordem de 3%, o que significa que a grande maioria das vítimas pretendidas não caiu nos ataques. Por outro lado, sabe-se que ataques sofisticados, como spear phishing, apresentam eficiência superior a 70%.

Os emails de phishing bem elaborados (assim como outros tipos de emails enganosos) são muito difíceis de serem identificados pelos usuários comuns.

Alguns tipos de ataques são quase impossíveis de identificar, mesmo para usuários altamente técnicos. Considere, por exemplo, um ataque no qual o invasor já teve acesso a uma conta de email legítima (enganando seu proprietário) e use essa conta comprometida para atacar os contatos do usuário.

Outros ataques, como aqueles que usam nomes e endereços forjados para se passar por um colega da vítima, são mais fáceis de identificar, pelo menos em teoria. Inspecionando sempre o endereço de email do remetente e certificando-se de que este é um usuário conhecido, é possível evitar cair em tais ataques. No entanto, o aumento do cuidado tem um preço: para cada etapa extra adicionada às tarefas rotineiras, nossa produtividade naturalmente cai.

Além disso, esses ataques são difíceis de detectar na prática, devido a erros humanos: muitas pessoas, pelo menos ocasionalmente, enviam emails acidentalmente de contas pessoais em vez de contas profissionais e vice-versa, criando uma ambiguidade sobre o que é confiável e o que não é confiável. Como resultado, 1 em cada 10 usuários clica em emails com nomes de exibição fraudados, conforme relatório da empresa de segurança Barracuda.

Dados os orçamentos finitos, tanto em termos financeiros quanto de atenção, as empresas e os indivíduos devem decidir quais batalhas de conscientização escolher, com base no que as pessoas enfrentam e em que tipos de contramedidas automatizadas funcionam bem. Pegue, por exemplo, o conselho “se parece bom demais para ser verdade, provavelmente é” – assim como a variante “se parece ruim demais para ser verdade, provavelmente é”. As pessoas têm emoções e julgamento para avisá-las quando algo cai nessa categoria; mas, até agora, os computadores não têm. Consequentemente, isso é algo digno de uma campanha de conscientização.

Por outro lado, o uso de nomes e endereços forjados é relativamente difícil para pessoas detectarem, mas é fácil para computadores detectarem. Esse é um problema em que as defesas automatizadas são mais adequadas do que os esforços de conscientização.

Tanto para a saúde digital quanto para a saúde humana, a influência relativa de comportamento versus tecnologia é a mesma. Desde a época em que são crianças pequenas, os humanos são ensinados a evitar riscos à sua segurança: não coma sujeira, não atravesse a rua sem olhar para os dois lados, não fume. Mas os grandes ganhos na expectativa de vida alcançados ao longo do último século vieram principalmente dos avanços na tecnologia médica para combater doenças.

A receita também é a mesma: para a saúde humana, cuide-se e evite riscos comuns, mas, se necessário, procure um bom médico e tome corretamente os remédios. Para saúde eletrônica, ensine a seus usuários os cuidados digitais básicos, mas comprometa-se também a estar sempre um passo à frente do inimigo nessa inevitável disputa tecnológica.

para a saúde humana, cuide-se e evite riscos comuns, mas, se necessário, procure um bom médico e tome corretamente os remédios. Para saúde eletrônica, ensine a seus usuários os cuidados digitais básicos, mas comprometa-se também a estar sempre um passo à frente do inimigo nessa inevitável disputa tecnológica

Fonte: https://blogs.scientificamerican.com/observations/how-to-protect-people-against-phishing-and-other-scams/


Tecnologia para segurança e proteção contra phishing

É importante utilizar antivírus no computador. No caso das empresas, é cada vez mais relevante usar também sistemas como firewall e controle do acesso à internet aplicados em toda a rede da empresa, independentemente dos dispositivos conectados na rede interna. Essa medida adiciona uma camada de segurança complementar, que reduz o risco de vazamento e perda de informações da empresa e dados de clientes e colaboradores, evitando grandes transtornos e perdas financeiras. Através de uma solução de controle de acesso à internet, também é possível definir que categoria de site poderá ser acessada por cada usuário, evitando desperdícios com navegação fora do escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.

No vídeo abaixo demonstramos o funcionamento de um phishing recebido por e-mail, que se faz passar pelo serviço de pagamentos PagSeguro com objetivo de roubar dados de acesso da vítima. Primeiro é demonstrado o acesso ao site de phishing sem proteção. Depois é demonstrada uma tentativa de acesso ao site de phishing porém com a proteção do Lumiun ativa na rede da empresa.

Dessa maneira, o vídeo apresenta um comparativo da eficácia de um ataque Phishing em uma rede desprotegida e outra com tecnologia de segurança e proteção.

 

10 Dicas de Segurança na Internet em 2020 para PMEs

Com o aumento da conectividade das empresas, pessoas e dispositivos, também aumentam os riscos associados a vulnerabilidade dos sistemas e usuários a malware, phishing, ransomware, hackers, vírus e tantas outras ameaças. Para ajudar na gestão da internet das pequenas e médias empresas, trazendo mais segurança na internet e também auxiliando na produtividade dos colaboradores, elencamos 10 dicas atualizadas que podem servir como base para a adoção de uma cultura de segurança da informação na sua empresa em 2020.

  1. Usar senhas seguras para todos usuários e equipamentos
  2. Ativar a autenticação de dois fatores (2FA)
  3. Proteger e controlar o acesso à internet
  4. Usar antivírus em todos computadores
  5. Limitar e registrar o tráfego de rede com um Firewall
  6. Ter cópias de backup dos dados importantes
  7. Manter software sempre atualizado
  8. Restringir permissões em arquivos compartilhados
  9. Educar os colaboradores sobre phishing e engenharia social
  10. Implantar uma política de uso dos recursos de TI

Usar senhas seguras para todos usuários e equipamentos

Ainda hoje a senha é a forma mais importante de autenticação para acesso a informações e recursos computacionais. Computadores cada vez mais velozes permitem quebrar em pouco tempo uma senha que há alguns anos seria impossível de ser quebrada. Portanto, atualmente é necessário utilizar senhas mais longas para aumentar a segurança na internet.

Adote como regra na empresa o uso de senhas fortes:

  • senhas com comprimento mínimo de 8 caracteres (preferencialmente 12 ou mais);
  • que combinem maiúsculas, minúsculas, números e símbolos; e
  • que não contenham informações óbvias ou sequências simples.

Mais informações sobre segurança de senhas você encontra no artigo com recomendações e dicas para criar senhas fortes e seguras e no guia para criação e gerenciamento de contas de usuário e senhas seguras.

Uma pesquisa da PreciseSecurity.com revelou que 30% das infecções por ransomware ocorreram devido ao uso de senhas fracas. Outra pesquisa, feita pelo Google, mostra que 2 em cada 3 pessoas reutilizam a mesma senha em diferentes serviços que acessam na internet, sendo que mais de 50% das pessoas informaram que usam uma mesma senha “favorita” na maior parte dos sites e sistemas que acessam.

Não esqueça também que é extremamente importante alterar a senha padrão de fábrica dos equipamentos conectados à rede. Por exemplo, muitos roteadores Wi-Fi e câmeras de vigilância vêm de fábrica com usuário admin e senha padrão admin. Se você não trocar essa senha, o equipamento estará vulnerável e poderá ser prejudicial à segurança de toda sua rede, incluindo problemas com privacidade e vazamento de informações. Da mesma forma, contas de usuário “administrador” e quaisquer outras não utilizadas também devem permanecer com senha forte ou então bloqueadas.

Ativar a autenticação de dois fatores (2FA)

A autenticação de dois fatores também é chamada de verificação em duas etapas, ou ainda, em inglês, de two-factor authentication – termo de onde deriva a abreviatura 2FA. Essa técnica complementa a senha e adiciona muita segurança no acesso a sistemas e recursos na internet.

Com a autenticação de dois fatores, o acesso irá depender da senha correta e também de mais algum fator, como um código enviado por SMS ou um código gerado em um aplicativo no smartphone. Dessa forma, mesmo que alguém descubra a senha da conta de email, não conseguirá acessar a conta pois dependerá do código que será enviado para o smartphone do proprietário da conta.

É recomendável que seja ativada, pelo menos nos recursos mais importantes. Nesse rol de recursos importantes a serem protegidos com certeza entra a conta de email, pois através do email é possível redefinir a senha de muitos outros serviços, por meio de funções do tipo “Esqueci minha senha”.

Para começar a usar 2FA, recomendamos que seja ativada a autenticação de dois fatores no Gmail e no WhatsApp. A autenticação de dois fatores é chamada de “verificação em duas etapas” pelo Google e aumenta bastante a segurança do Gmail. A mesma funcionalidade também é chamada de “confirmação em duas etapas” pelo WhatsApp, sendo muito recomendável que esteja ativada para tornar mais difícil o roubo ou “clonagem” do WhatsApp.

Verifique também nas demais aplicações importantes em uso na empresa se elas possuem a funcionalidade de 2FA ou autenticação de dois fatores e busque ativar essa proteção.

Proteger e controlar o acesso à internet

É recomendado utilizar ferramentas que evitem o acesso a conteúdo nocivo, como sites suspeitos que muitas vezes contém vírus ou malware. É comum que os colaboradores recebam emails falsos com links que direcionam para sites de fraudes. Além disso, muitas vezes a tentativa de download de músicas em mp3, ou conteúdo adulto e jogos podem terminar com uma instalação de vírus. A maioria dos ataques começa a partir do acesso a um site nocivo ou malicioso, ao ocorrer o acesso esse site instala um vírus de forma oculta no equipamento e com isso abre uma porta na rede para que outros ataques ocorram, prejudicando de forma geral a segurança na internet.

O uso de mecanismos de proteção contra o acesso a sites maliciosos é cada vez mais importante. Através deste tipo de controle, é possível definir quais grupos de usuários terão acesso a quais tipos de sites, evitando assim o uso de sites indevidos ao escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.

Como controlar a navegação e bloquear o acesso a sites nocivos? Veja o artigo sobre gestão e controle de acesso à internet para pequenas e médias empresas. Uma boa solução para proteção e controle do acesso à internet em pequenas e médias empresas é o Lumiun, que protege a navegação contra sites maliciosos e gera relatórios dos acessos, aumentando a segurança das informações e a produtividade dos colaboradores. É uma solução de fácil implementação e gerenciamento, demandando baixo investimento.


Usar antivírus em todos computadores

Especialmente nos computadores e servidores com sistema operacional Windows, é imprescindível o uso de um bom software antivírus, atualizado e configurado para realizar varreduras periódicas. Atualmente o antivírus não pode ser deixado de lado ou ser substituído por outras soluções, sendo essencial para a segurança na internet. Na empresa deve-se optar por uma licença paga e não utilizar software pirata ou continuar com versões de avaliação. É importante que o antivírus e/ou antimalware esteja sempre atualizado e ativado para oferecer sua proteção. Um antivírus desatualizado, ou com a proteção em tempo real desativada, perderia a eficiência e deixaria os computadores mais vulneráveis.

Algumas boas opções de antivírus para pequenas e médias empresas:

Limitar e registrar o tráfego de rede com um Firewall

O firewall controla o fluxo de dados, com ele é possível filtrar o tráfego, configurando o que deve passar e o que deve ser descartado. Quando configurado corretamente em uma rede de computadores, o firewall funciona como uma camada adicional de proteção contra ataques externos e aumenta a segurança da empresa na internet, incluindo suas informações, equipamentos e sistemas. Normalmente o firewall é uma das principais defesas no perímetro de uma rede privada, sendo um componente essencial na proteção contra tráfego indesejado e tentativas de invasão.

Verifique se você possui um firewall ativo e bem configurado que esteja fazendo a proteção e o registro das conexões entre a internet e os equipamentos da sua rede local. Se for possível, mantenha bloqueado no firewall os acessos da internet para seus servidores internos, especialmente o serviço de área de trabalho remota, ou remote desktop. Esse serviço é alvo constante de tentativas de invasão para implantação de ransomware com bloqueio e sequestro de dados. Já foi emitido um alerta pelo FBI a respeito da grande onda de ataques ao protocolo de área de trabalho remota (RDP). O alerta cita inclusive a existência no mercado negro de comercialização de listas de servidores vulneráveis a invasão, que possuem acesso irrestrito à porta padrão da área de trabalho remota (3389).

Entre boas soluções de firewall de rede para pequenas e médias empresas podemos citar FortiGate, SonicWall, Lumiun, Sophos e pfSense. Leia mais sobre isso no artigo “Firewall: sua rede precisa dessa proteção?

Ter cópias de backup dos dados importantes

Nunca é demais relembrar a importância de ter um backup confiável, a partir do qual possam ser recuperados os dados importantes após qualquer incidente. Em alguns tipos de ataque, como por exemplo o ransomware, que bloqueia os dados até o pagamento de um resgate, a principal maneira de solucionar o problema passa por restaurar os dados da empresa a partir de uma cópia de backup. O backup é fundamental na segurança das informações da empresa.

A estratégia de backup deve ser implementada de maneira que haja uma cópia de segurança mantida em um local desconectado do local original dos dados. Se a cópia de segurança for feita em um disco adicional constantemente conectado ao servidor ou à rede onde ficam os dados originais, no caso específico do ransomware, é possível que os arquivos do backup também sejam bloqueados no momento do ataque, tornando o backup inútil. É importante ter uma cópia de segurança em local separado do local original em que ficam os dados.

Para entender a importância de fazer cópia de segurança dos dados e documentos da sua empresa, imagine, de repente, a sua empresa perder todas suas planilhas financeiras, controles gerenciais, dados comerciais, informações de clientes, dos produtos e serviços oferecidos e históricos dos seus colaboradores. É muito difícil imaginar a profundidade do impacto de uma situação dessas em uma empresa. O prejuízo será enorme, e haverá comprometimento de todas atividades administrativas e comerciais da empresa.

Para evitar essa situação, é essencial manter uma estratégia de backup bem estruturada. Quanto mais automatizada for a tarefa de realizar o backup, maior a chance de tê-lo em dia quando houver a necessidade de uma restauração de dados. É importante documentar e testar periodicamente o processo de restauração: a real utilidade de um backup não é o backup em si, mas sim a restauração com sucesso.

Para empresas que ainda não possuem backup bem estruturado e desejam começar com uma cópia dos seus dados importantes na nuvem, algumas opções de serviços para backup simples em nuvem são as seguintes:

Manter software sempre atualizado

As empresas que produzem software estão continuamente fazendo correções em seus programas, para corrigir defeitos, melhorar desempenho e adicionar funcionalidades. Entre essas correções também se encontram soluções contra vulnerabilidades e melhorias de segurança nos pacotes de software. É cada vez mais importante manter o sistema operacional e demais pacotes de software com atualizações automáticas ativadas, ao menos para aquelas relacionadas à segurança da informação.

Exemplificando, o ransomware conhecido como WannaCry (ou WannaCrypt) – que se instala em computadores com Windows, criptografa os dados e exige resgate – pode atacar com sucesso computadores que não possuem a atualização MS17-010. De acordo com a Microsoft, “a atualização de segurança MS17-010 resolve várias vulnerabilidades no Windows Server Message Block (SMB) v1. O ransomware WannaCrypt está explorando uma das vulnerabilidades que faz parte da atualização MS17-010. Os computadores que não têm a MS17-010 instalada correm altos riscos devido às diversas variações do malware.Como verificar se a MS17-010 está instalada

Restringir permissões em arquivos compartilhados

Em muitas pequenas e médias empresas, é um item deixado de lado. No entanto, é relevante checar o nível de acesso que cada usuário ou grupo de usuários necessita em relação aos arquivos compartilhados na rede, por exemplo, no sentido de não fornecer acesso além do necessário. Se um grupo de usuários necessita apenas visualizar determinados arquivos, e não modificar, que tenha acesso somente leitura. Essa segregação das permissões de acesso de acordo com a necessidade de cada grupo de usuários é essencial para a segurança da informação. Com isso se evita que usuários não autorizados possam, por exemplo, alterar os arquivos do sistema utilizado pela empresa ou as planilhas do planejamento financeiro.

Também deve-se evitar o uso generalizado de contas de usuário de nível administrativo, como administrador ou root, nos computadores. Da mesma forma que o cuidado em relação às permissões de acesso a arquivos, essa medida limita a extensão do dano que um usuário, mesmo sem intenção, poderia provocar aos dados.

Educar os colaboradores sobre phishing e engenharia social

O phishing é um tipo de crime cibernético que utiliza técnicas de engenharia social com o objetivo de enganar os usuários de internet, por meio de mensagens e sites falsificados. O objetivo é roubar informações sigilosas, como senhas de acesso e dados de cartões de crédito, além de induzir, em alguns casos, ao pagamento de boletos fraudulentos.

O volume de ataques do tipo phishing tendo como alvo pessoas e empresas no Brasil continua muito alto: de cada 5 usuários brasileiros, 1 está suscetível a phishing. O Brasil está na 3ª posição do ranking dos países mais atacados por golpes de phishing. Um relatório publicado pela Cisco em 2019 apontou que 38% dos entrevistados enfrentaram problemas com phishing no último ano.

A empresa deve conscientizar seus colaboradores para um comportamento de segurança na internet.

Treinamento dos colaboradores sobre phishing

A orientação aos colaboradores em relação ao phishing deve contemplar especialmente os seguintes aspectos:

  • Atenção ao que a mensagem está oferecendo ou solicitando: desconfie de e-mails, SMS ou anúncios com ofertas de produtos a preços muito abaixo do normal, não acredite em ofertas enviadas com preço incrivelmente baixo. Não acredite em e-mails que solicitam que você responda com seu usuário e senha do webmail ou do banco, isso é fraude. Mensagens supostamente enviadas pela Receita Federal informando sobre irregularidade no CPF também são fraudulentas. Desconfie de e-mails supostamente enviados pelo banco com link para atualizar o módulo de internet banking. Não acredite em e-mails com orçamentos, faturas ou ordens de serviço que você nunca solicitou. E preste atenção ainda ao texto da mensagem, é muito comum que mensagens de phishing contenham erros de ortografia.
  • Atenção ao remetente e aos links contidos nas mensagens: observe com atenção o endereço de e-mail do remetente e também o endereço de destino dos links contidos na mensagem. Se parecerem estranhos, desconfie imediatamente, não clique.
  • Atenção ao endereço do site: caso tenha clicado em um link e foi direcionado para um site, um arquivo para download ou um formulário solicitando dados, tenha muita atenção ao endereço que aparece na barra de endereços do navegador. Aquela dica de verificar se o site possui o cadeado do HTTPS (criptografia) já não é suficiente, pois os sites de phishing novos também usam HTTPS. No entanto é importante analisar se o endereço do site está correto. Na dúvida, pesquise no Google o nome da empresa que deseja acessar e verifique o endereço real do site dela.

Para mais informações, incluindo exemplos de phishing e técnicas de proteção, veja o artigo Phishing: como se proteger e não cair no golpe.

Implantar uma política de uso dos recursos de TI

O ideal é que a empresa se preocupe em documentar e informar a todos os colaboradores sobre uma política do uso aceitável da internet e dos recursos de tecnologia, visando a segurança da informação e a produtividade dos colaboradores. Essa política deve descrever o que pode ser acessado na rede da empresa e quais as penalidades no caso de não cumprimento das regras. Por questões legais, a empresa pode exigir que o funcionário assine um termo de conhecimento dessa política, informando sua ciência quanto as regras e penalidades.

Os colaboradores devem ser orientados para boas práticas de segurança na internet e devem ter consciência sobre a sua responsabilidade de manter protegidos os dados e informações da empresa.

Disponibilizamos um modelo de documento sobre política de uso da internet nas empresas. Você pode utilizá-lo para informar e dar ciência aos colaboradores sobre a política de uso da internet no ambiente de trabalho da empresa, para assegurar o uso adequado da internet e recursos de tecnologia por parte do colaborador.

Um ponto a ser contemplado nessa política é a utilização de equipamentos pessoais no ambiente de trabalho, especialmente o celular – smartphone – a empresa deve deixar claro qual é a regra. Para facilitar a criação de uma política específica sobre de uso do celular na empresa, visando o uso adequado dos equipamentos sem prejudicar o foco e a produtividade, veja o modelo de documento sobre política de uso do celular nas empresas.

Para finalizar

Acreditamos que o cuidado com a segurança da informação é essencial para o sucesso das empresas em crescimento. Certamente terão uma boa segurança na internet em 2020 aquelas pequenas e médias empresas que implantarem, de forma gradual e consistente, os 10 fatores abordados nesse artigo: senhas seguras para todos usuários e equipamentos; autenticação de dois fatores (2FA); proteção e controle do acesso à internet; antivírus em todos computadores; firewall para limitar e registrar o tráfego de rede; backup dos dados importantes; software sempre atualizado; permissões restritas em arquivos compartilhados; educação dos colaboradores sobre phishing e engenharia social; e uma política de uso dos recursos de TI.

Esse artigo foi útil para você? Ficou com alguma dúvida? Pode escrever um comentário ou entrar em contato diretamente comigo em

Como desativar o compartilhamento de arquivos no Windows 10

Desativar o compartilhamento de arquivos é uma forma de proteger as informações armazenadas no computador, impedindo que outros usuários da rede acessem os dados e arquivos remotamente.

Para versões anteriores do Windows acesse o artigo Dica: como desativar o compartilhamento de arquivos no Windows

  1. Certifique-se de que você não precisa dos compartilhamentos. O compartilhamento de arquivos e impressoras permite que os arquivos armazenados e as impressoras instaladas nesse computador sejam acessados por outros computadores. Verifique se você realmente não possui, por exemplo, uma impressora ligada ao seu computador e que é utilizada por outras pessoas na empresa.
  2. Abra o menu Iniciar e clique no ícone Configurações, representado por uma engrenagem.
    Windows 10 - Menu Iniciar - botão Configurações
  3. Na janela Configurações do Windows, clique em Rede e Internet.
    Windows 10 - Configurações do Windows - item Rede e Internet
  4. Nas configurações de Rede e Internet, clique no item Opções de compartilhamento.
    Windows 10 - Configurações de Rede e Internet - item Opções de compartilhamento
  5. Na janela de Configurações de compartilhamento avançadas, clique em Particular e então selecione a opção “Desativar compartilhamento de arquivo e impressora“.
    Configurações de compartilhamento avançadas - Particular - Desativar compartilhamento de arquivo e impressora
  6. Clique no perfil “Convidado ou Público” e selecione também a opção “Desativar compartilhamento de arquivo e impressora“.
    Configurações de compartilhamento avançadas - Convidado ou Público - Desativar compartilhamento de arquivo e impressora
  7. Clique no botão Salvar alterações. Pronto!
    Windows 10 - botão Salvar alterações

Para saber mais sobre Segurança da Informação nas empresas, faça download gratuito de nossos Materiais Educativos.

14 dicas para ficar em conformidade com a LGPD

Como já escrevi em outro artigo aqui no blog, a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709) foi sancionada no dia 14 de agosto de 2018 e passa a entrar em vigor a partir de agosto de 2020. Essa regulamentação estabelece uma série de regras que todas as empresas e organizações atuantes no Brasil terão de seguir para permitir que o cidadão tenha mais controle sobre seus dados pessoais, garantindo uma transparência no uso dos dados das pessoas físicas em quaisquer meios.

Nesse artigo você vai encontrar algumas dicas para conseguir cumprir com alguns pontos da LGPD. Mas aviso de antemão que não existe nenhuma ferramenta ou software “canivete suíço” que vai solucionar tudo. Para o cumprimento dessa lei além de ferramenta será necessário a implantação de muitos processos.

Estude a LGPD

Antes de listar as dicas, é importante que seja definida uma equipe que seja responsável por analisar os procedimentos internos quanto a coleta dos dados e o fluxo dessas informações na empresa envolvendo terceiros. Por isso, é imprescindível que essas pessoas estudem a Lei profundamente para que consigam entender todos os princípios e hipóteses as quais se aplicam.

Seguem alguns conteúdos para você iniciar e se aprofundar no assunto:

Vamos às dicas

Agora chega de enrolar. Abaixo listo algumas dicas que vão auxiliar sua empresa entrar em conformidade com a LGPD.

Dica 1: Termo de Consentimento para Tratamento de Dados Pessoais

Recomenda-se a definição de um processo de obtenção do consentimento do titular a ser utilizado pela empresa que seja claro, distinto e que não esteja agrupado com outros acordos ou declarações e que seja ativo (fornecido pelo titular, sem o uso de caixas pré-marcadas). O consentimento deverá ser documentado, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento existente não tenha sido obtido de acordo com a LGPD, recomenda-se que o consentimento seja renovado antes da entrada em vigor da LGPD, se não for possível utilizar outra base legal.

Criamos um modelo de documento que você pode baixar, adaptar conforme suas necessidades e obter o consentimento dos colaboradores e usuários para a utilização dos dados pela empresa. Baixe agora o Modelo de documento para o Termo de Consentimento para Tratamento de Dados Pessoais.

Dica 2: Gerenciamento dos Direitos dos Titulares de Dados

Implementar um portal de privacidade (front-end) com uma solução de Gerenciamento dos Direitos dos Titulares de Dados com foco nos clientes da empresa, de forma tempestiva (15 dias para a LGPD). Esse portal gerenciará todo o workflow da solicitação e deve conter as seguintes funcionalidades:

  • Formulário de preenchimento da solicitação, que pode ser apresentado em diversos produtos digitais da empresa;
  • Validação da identidade dos titulares de dados;
  • Controlar prazos, atividades e custos da solicitação;
  • Identificar os dados pessoais dentro da empresa para proceder com a divulgação ao titular de dados, a correção, a exclusão ou portabilidade dos dados pessoais.

Dica 3: Elaborar uma Política de Retenção e Descarte de Dados

Esta política deve incluir os princípios de retenção e descarte apropriados de dados pessoais, observando os requisitos legais da LGPD. Além disso, a política deve conter:

  • Uma tabela de temporalidade atualizada para armazenamento das informações levando em consideração os dados pessoais coletados;
  • Procedimentos de descarte apropriado para ativos (papéis, computadores, mídias removíveis) que contenham dados pessoais;
  • Processo de exclusão ou anonimização de dados quando estes não forem mais necessários para a empresa, observando a necessidade de armazenamento de dados para atender obrigações legais;
  • Processo de backup de dados pessoais armazenados em sistemas;
  • Processo de pseudonimização para os dados sensíveis em repouso. Incorporar na cultura da empresa os princípios de minimização de dados, onde a empresa realiza a coleta apenas das informações estritamente necessárias, pelo período que for necessário.

Dica 4: Registro das Operações de Tratamento de Dados Pessoais

A LGPD exige a elaboração e manutenção de um Registro das Operações de Tratamento de Dados Pessoais, que deverá incluir:

  • Os nomes e os contatos do Controlador/ Operador e, quando aplicável, de qualquer responsável pelo tratamento em conjunto, dos representantes das entidades e do DPO (Data Protection Officer);
  • A finalidade do processamento dos dados;
  • A descrição das categorias dos titulares de dados e das categorias dos dados pessoais;
  • As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
  • Os prazos previstos para a exclusão das diferentes categorias de dados;
  • As bases legais estipuladas para tratamento de dados.

Dica 5: Processo para Análise de Impacto à Proteção de Dados (DPIA).

Implementar / adquirir uma solução para realização da DPIA de forma sistêmica e centralizada. Essa solução deve ter as seguintes funcionalidades:

  • Projetos de privacidade da empresa consolidados em um dashboard central para gerenciamento das atividades de proteção de dados;
  • Classificação dos projetos quanto ao envolvimento de dados pessoais e critérios de risco (se existe profiling, dados sensíveis, grande volume de dados processados, etc.);
  • Gerenciamento do workflow da DPIA, desde a seleção do fluxo de dados utilizando os critérios estabelecidos até a aprovação final do Encarregado;
  • Orientação e template para preenchimento da DPIA disponibilizado de forma centralizada para todo a empresa;
  • Análise de riscos e GAPs dos fluxos de dados pessoais;
  • Registro das atividades de proteção de dados realizadas ao longo do projeto para fins de conformidade.

Dica 6: Implementar um modelo de governança de DPO

Implementar um modelo de governança de DPO (Data Protection Officer), definindo os papéis e responsabilidades para atender às expectativas regulatórias conforme as mudanças trazidas pela LGPD.

Dentro da rotina do DPO, entendemos que haverá tarefas como (i) realização de Due Diligence de terceiros periódica; (ii) manutenção e atualização do ROPA; (iii) elaboração e manutenção da DPIA, quando necessário; (iv) realização de auditorias periódicas internas para análise do nível de conformidade; (v) rotina de treinamentos sobre a LGPD para funcionários e colaboradores periódica; (vi) rotina de acompanhamento de jurisprudências, consultas à ANPD, novas certificações, boas práticas de mercado e etc…

Dica 7: Contratação de um assessor externo

Recomenda-se a contratação de um assessor externo para assessorá-lo na análise do atual compliance da empresa com a LGPD, indicação dos pontos de melhoria e exigências legais, bem como definição de um plano de ação para implementação das ações necessárias para que a empresa esteja em conformidade com a LGPD.

Dica 8: Treinamento sobre privacidade para educar os funcionários

Elaborar um programa de treinamento sobre privacidade e proteção de dados para educar os funcionários sobre a importância da privacidade e proteção de dados pessoais, capacitando-os para realizar os processamentos de dados adequadamente, mitigando os riscos de alguma violação de dados acontecer.

Esse programa pode ter duas fases, de acordo com a sua abordagem. A primeira fase é comum para todos os funcionários e abordará o que são as leis de privacidade e proteção de dados, os seus princípios, os riscos de não estar em conformidade com elas, o que são dados pessoais e sensíveis, bases legais, o que é considerado como processamento de dados, como classificar o dado antes de armazená-lo, como descartá-lo corretamente, o que é o ROPA, a DPIA, o papel e importância do encarregado de dados (DPO) e como reportar uma violação de dados na empresa. A fase um pode ser um treinamento online, disponibilizado para os funcionários na intranet. Na segunda fase do programa, o treinamento deverá ser direcionado para cada área de negócio, de acordo com a natureza de relacionamento que elas possuem com os titulares de dados (relacionamento com cliente, financeiro, RH, etc.). Essa fase abordará com mais profundidade a aplicação das bases legais de acordo com os tipos de processamento que a área realiza e terá apresentação de cases específicos conforme a atuação da área (exemplo de cases de profiling para área de marketing). A fase dois pode ser presencial para os funcionários da área.

Os treinamentos devem ser reciclados periodicamente de acordo com a política interna da empresa ou quando houver mudanças significadas nas leis de privacidade.

Implementar métricas de aprovação/reprovação para medir a aplicação do treinamento e nível de aprendizado, tanto individualmente por funcionário quanto por área de negócio.

Dica 9: Gestão de Identidade e Acessos

Implementar um pool de soluções para Gestão de Identidade e Acessos para prover a governança e administração das identidades e seus respectivos direitos de acesso aos dados pessoais e sensíveis armazenados nos ativos da empresa.
É recomendável que todo o ciclo de vida dos usuários e seus acessos aos dados pessoais e sensíveis sejam gerenciados através de workflows para mitigar os riscos de dados pessoais e sensíveis serem acessados por pessoas não autorizadas, o que pode ocasionar uma violação de dados de acordo com a LGPD.

Dica 10: Gestão de Incidentes

Estruturar, definir e formalizar um processo de Gestão de Incidentes, visando contemplar planos de resposta à incidentes relacionados ao tema de privacidade de dados. Esse plano deve conter procedimentos e diretrizes que orientem as áreas envolvidas na identificação, monitoramento, remediação e reporte de incidentes de violação de dados, bem como abordar a categorização de um incidente de violação de dados e o seu registro nas ferramentas. O processo de gestão de incidentes de violação deve ser testado e validado regularmente para avaliar a capacidade de atendimento aos requisitos de privacidade relevantes.

Recomenda-se que seja definido um processo de comunicação formal com as autoridades de proteção de dados e os titulares de dados. Essa comunicação deve ter o envolvimento do Encarregado de Dados (DPO) da empresa e deve ser realizada dentro dos prazos estabelecidos pela LGPD.

Além disso, deve-se ser estabelecido um processo de notificação de violação de dados que contenha:

  • A identidade e o contato do encarregado de dados e outras partes relevantes da empresa;
  • Descrição das possíveis consequências (riscos) da violação de dados;
  • Descrição da natureza da violação, informando quais e a quantidade de titulares que foram afetados;
  • Medidas técnicas e organizacionais aplicadas para mitigar as consequências dessa violação.

Dica 11: Revisão de antigos contratos

Recomendamos revisar os antigos contratos e incluir cláusulas protetivas relacionadas à proteção de dados e conformidade com a LGPD, bem como ajustar os contratos padrão existentes de modo a incluir cláusulas neste sentido, inclusive sobre a possibilidade de auditoria. A depender do caso, pode-se indicar a forma da realização dos tratamentos de dados e medidas mínimas de segurança a serem respeitadas.

Conduzir avaliações de conformidades com terceiros/fornecedores novos e existentes (a cada renovação de contrato) para verificar se estão em conformidade com a LGPD.

Dica 12: Política de privacidade interna e externa

Não há uma definição legal dos tipos de política de privacidade interna e externa que uma empresa deve possuir. De todo modo, sugerimos que a empresa elabore e mantenha as políticas de privacidade abaixo com bases nas melhores práticas de mercado e visando maior compliance com o framework de proteção de dados pessoais.

Com relação às políticas externas, via de regra as empresas possuem:

  • Política de Privacidade
  • Política de Cookies

Já com relação às políticas internas, normalmente as empresas possuem:

  • Política de Privacidade e Proteção de Dados
  • Política de Retenção e Destruição de Dados
  • Política de Gerenciamento de Dados em Dispositivos Móveis
  • Política de Segurança de Dados

Dica 13: Definir um processo para acompanhar as mudanças regulatórias da LGPD

Esse processo irá auxiliar a empresa a manter-se atualizada sobre as leis em questão, fornecendo subsídio para tomadas de decisão.

Além disso, recomenda-se que um processo seja definido para atualizar as políticas, normativos, treinamentos, procedimentos, processos e demais operações, a fim de refletir as mudanças regulatórias quando estas acontecerem.

Dica 14: Implementar uma solução para aumentar a segurança da informação

De nada adianta implementar vários processos de coleta das informações se as mesmas estiverem desprotegidas ou os equipamentos (computadores, celulares, etc) dos colaboradores não possuírem ferramentas como Antivírus e Gerenciador de acesso à internet.

Por isso, é de extrema importância que a empresa possua soluções que aumentem a camada de segurança dos dispositivos e da rede. Segue algumas sugestões:

  • Antivírus:
    • Kaspersky Anti-Virus: costuma frequentar o top 3 das principais listas de melhores antivírus do mundo há tempos. Ele oferece recursos avançados de varredura e limpeza, além de ser capaz de desfazer ações realizadas por malwares e por isso está no topo desta lista;
    • Bitdefender Antivirus Plus: oferece proteção completa para quem quer se ver livre de malwares. Ele conta com ferramentas de recuperação para vírus persistentes, gerenciamento de senhas e ainda incrementa a segurança do seu navegador para você realizar transações financeiras;
    • F-Secure Anti-Virus: Uma das características mais marcantes do F-Secure Anti-Virus é a velocidade do seu modo de varredura rápida — e essa agilidade consegue ser ainda maior quando você refaz o processo. Isso garante praticidade e rapidez na hora de manter seu computador seguro. Além disso, ele tem recursos especiais para combater a ação de malwares, bloqueando e monitorando a ação de arquivos suspeitos.
  • Gerenciador de acesso à internet:
    • Soluções que necessitam um maior investimento, indicado para empresas grandes
    • Solução mais acessível, indicado para pequenas e médias empresas
      • Lumiun: O Lumiun é um serviço baseado em nuvem que protege sua empresa das ameaças da internet, tornando a rede mais segura e a equipe mais produtiva. O Lumiun funciona de forma diferenciada, pois o maior objetivo é ser uma solução fácil de ser implementada e gerenciada. Sabe-se que atualmente um dos maiores problemas das empresas é a baixa produtividade e a falta de segurança e é neste segmento que o Lumiun atua, simplificado às empresas de pequeno e médio porte.



Para escolher a melhor opção para aumentar a segurança da informação é importante definir bem as necessidades da sua empresa e comparar os custos, características e benefícios de cada uma das soluções existentes.


Gostou desse artigo? Então compartilhe com seus colegas de trabalho para que possam juntos deixar a empresa compliant com a LGPD.

Tem alguma dúvida? Escreva aqui nos comentários e terei o enorme prazer de te responder.

Phishing: como se proteger e não cair no golpe

O volume de ataques do tipo phishing tendo como alvo pessoas e empresas no Brasil continua muito alto: de cada 5 usuários brasileiros, 1 está suscetível a phishing. O Brasil está na 3ª posição do ranking dos países mais atacados por golpes de phishing.

Mapa dos países mais atacados por golpes de phishing no segundo trimestre de 2019

Um relatório publicado pela Cisco em 2019 apontou que 38% dos entrevistados enfrentaram problemas com Phishing no último ano.

Uma história de Phishing

Um usuário habitual do Facebook vê em seu feed um anúncio de uma TV Samsung 4K 58″ por R$ 999,00. Preço imperdível. Saldão da Americanas. Nem cogita avaliar se o anúncio é da Americanas, pois as cores, o logotipo, as escritas, são da Americanas, ele já conhece. E o anúncio está veiculado pelo Facebook. Por isso não há tempo a perder, com esse preço em breve não terá mais estoque. Além de uma TV de 58 polegadas, ele terá também a satisfação de ter feito um excelente negócio. Oportunidade imperdível. Essa análise toda demora menos de 5 segundos.

Exemplo de anúncio phishing da Americanas no Facebook - TV Samsung 4K 58"

O usuário clica no anúncio e agora está no site da Americanas. Novamente, não pensa em avaliar se o site é da Americanas, porque as cores, logotipo, tudo é exatamente como ele já conhece. O endereço desse site é  https://www37.sucessodevendason*.com/tkn3025574/smart-tv-led-58-samsung-58mu6120-ultra-hd-4k[…] mas isso passa batido. Talvez ele viu o cadeado do HTTPS e sentiu segurança. Cego imaginando essa TV em sua casa, conclui a compra, informa o endereço de entrega – a ansiedade já começa a bater – e gera o boleto. No boleto consta o beneficiário “Americanas.com – B2W Companhia Digital”. Show. Então ele abre o aplicativo do banco, paga o boleto e agora surge a preocupação: como controlar a ansiedade até a hora da campainha tocar com a maravilhosa encomenda à sua porta.

Pois bem, essa hora não chegará.

Esse usuário caiu em um golpe de phishing

Infelizmente ele não teve atenção com alguns aspectos:

  • Promoção com preço muito fora do normal. Poderia ter pesquisado no Google e em sites como Zoom.com.br quais são faixas de preço razoáveis para aquele produto.
  • O endereço do site que abriu quando clicou no anúncio. O domínio que apareceu na barra de endereços do navegador não tinha nada a ver com Americanas.com. Esse é um grande indício de fraude.
  • O nome do beneficiário do boleto exibido pelo sistema do banco antes de concluir o pagamento. Antes da efetivação do pagamento, o banco informa o real beneficiário do boleto registrado, e certamente não era Americanas ou B2W (grupo de e-commerce integrado pela Americanas).
  • Tecnologia de proteção contra phishing. Um filtro de segurança contra sites de phishing funciona como uma proteção em tempo real para esse tipo de ameaça da internet. Se houvesse no computador, no celular, ou então naquela rede inteira, um mecanismo de proteção contra phishing, o acesso ao site fraudulento provavelmente teria sido bloqueado – apesar da desatenção do usuário no momento em que caiu no golpe.

O que é Phishing

Phishing é um tipo de crime cibernético que consiste em enganar os usuários de internet, por meio de mensagens e sites falsificados, para roubar informações sigilosas como senhas de acesso e dados de cartões de crédito, além de induzir, em alguns casos, ao pagamento de boletos fraudulentos.

A modalidade mais comum de phishing começa com um e-mail com conteúdo falsificado, se fazendo passar por uma empresa conhecida e induzindo o usuário a clicar em links que direcionam para o site falsificado onde é concluído o golpe. Em muitos casos também são utilizadas mensagens SMS. Atualmente há campanhas ainda mais elaboradas que, ao invés de e-mail Spam ou SMS, transmitem a “isca” aos usuários através de anúncios pagos em redes sociais. O objetivo é sempre enganar o usuário, utilizando engenharia social e se fazendo passar por outra pessoa ou outra empresa, para que o usuário indevidamente forneça dados sigilosos ou envie pagamentos.

Jesse Burns, Diretor Técnico de Segurança no Google Cloud, afirmou, em um artigo de outubro de 2019 para o site Forbes, a que ninguém consegue reconhecer com total consistência se um endereço web (URL) é seguro para ser clicado. Até mesmo especialistas em segurança não conseguem distinguir com total confiança páginas falsas. Basta um pouco de cansaço ou estresse e qualquer um pode se tornar uma vítima. Segundo ele, a proteção contra phishing necessita do uso de tecnologia, pois não é suficiente somente treinar as pessoas.

O termo phishing é uma adaptação da palavra em inglês fishing, que significa pescaria.

Exemplos de anúncios fraudulentos no Facebook

Você pode clicar nas imagens para visualizar em uma nova aba.

Exemplo de anúncio phishing da Americanas no Facebook - Samsung Galaxy S9 Exemplo de anúncio phishing da Americanas no Facebook - Ar condicionado Samsung Exemplo de anúncio phishing da Americanas no Facebook - Ar condicionado Electrolux Exemplo de anúncio phishing da Americanas no Facebook - Geladeira Electrolux

Passo a passo caindo no golpe e comprando um smartphone

  1. Anúncio fraudulento veiculado no Facebook, ofertando um smartphone por preço muito inferior ao normal.
    Exemplo de anúncio phishing da Americanas no Facebook - Samsung Galaxy J8
  2. Após clicar no anúncio, usuário é direcionado para um site de comércio eletrônico “fake”, que imita perfeitamente o site da Americanas. Veja que o endereço do site é outro.
    Site phishing - página do produto
  3. Clicando em Comprar, é exibido o produto já no carrinho de compras do e-commerce.
    Carrinho de compras no site falsificado
  4. Avançando na compra, o site fraudulento solicita dados cadastrais do usuário.
    Dados cadastrais no site falso
  5. O site solicita que o usuário escolha forma de pagamento. Nesse exemplo, foi selecionado boleto.
    Seleção da forma de pagamento no site falso
  6. Após gerar o boleto, o site falso exibe a confirmação da compra, simulando o funcionamento do site real.
    Site phishing - confirmação da compra
  7. Boleto fraudulento que foi gerado no site de phishing. Observe que no campo beneficiário consta “Americanas.com – B2W Companhia Digital” para ludibriar o usuário.
    Boleto fraudulento

Como evitar golpes Phishing?

A proteção contra phishing baseia-se em dois elementos principais: atenção do usuário para detectar indícios de fraude; e tecnologia de proteção contra phishing.

O usuário de internet deve ter a responsabilidade de manter protegidos os seus dados pessoais e também os dados e informações da empresa. Ao gestor da empresa cabe buscar educar os colaboradores para boas práticas de segurança da informação, bem como determinar a implementação de recursos tecnológicos para a proteção da rede.

Atenção ao que a mensagem ou anúncio está oferecendo ou solicitando

Desconfie de e-mails, SMS ou anúncios com ofertas de produtos a preços muito abaixo do normal. Em caso de dúvida, pesquise o preço normal dos produtos no Google ou em sites como Zoom.com.br. Não acredite em ofertas enviadas com preço incrivelmente baixo. Da mesma forma, também não acredite em e-mails que solicitam que você responda com seu usuário e senha do webmail ou do banco – para uma suposta atualização necessária para manter a conta ativa – isso é fraude. Mensagens supostamente enviadas pela Receita Federal informando sobre irregularidade no CPF também são fraudulentas. Desconfie de e-mails supostamente enviados pelo banco com link para atualizar o módulo de internet banking. Não acredite em e-mails com orçamentos, faturas ou ordens de serviço que você nunca solicitou. E preste atenção ainda ao texto da mensagem, é muito comum que mensagens de phishing contenham erros de ortografia.

Atenção ao remetente e aos links contidos nas mensagens

Observe com atenção o endereço de e-mail do remetente e também o endereço de destino dos links contidos na mensagem. Se forem estranhos, como “https://serwer1982897.home*.pl/pNPjj/[…]” em um e-mail supostamente enviado pela Americanas, desconfie imediatamente.
Exemplo de e-mail phishing Americanas Exemplo de e-mail phishing Itaú

 

Atenção ao endereço do site

Caso você tenha clicado em um link ou anúncio e foi direcionado para um site contendo um produto para comprar, um arquivo para download ou um formulário solicitando dados, tenha muita atenção ao endereço que aparece na barra de endereços do navegador. Aquela dica de verificar se o site possui o cadeado do HTTPS (criptografia) já não é suficiente, pois os sites de phishing novos também usam HTTPS. No entanto é importante analisar se o endereço do site está correto. Na dúvida, acesse o Google e pesquise o nome da empresa que você deseja acessar. Por exemplo, o site da Americanas tem o endereço https://www.americanas.com.br e não seria aceitável usar um suposto site da Americanas em endereços como https://www242.ofertaexclusivadodia-liquida*.com, https://www217.vai-rolar-festa-confira-as-novidades*.com, https://geladeirapromocao*.com ou https://www212.apostoqueaquitemoquevocequer*.com (* colocado para invalidar os links nocivos aqui no artigo).

Tecnologia para segurança e proteção contra phishing

É importante utilizar antivírus no computador. No caso das empresas, é cada vez mais relevante usar também sistemas como firewall e controle do acesso à internet aplicados em toda a rede da empresa, independentemente dos dispositivos conectados na rede interna. Essa medida adiciona uma camada de segurança complementar, que reduz o risco de vazamento e perda de informações da empresa e dados de clientes e colaboradores, evitando grandes transtornos e perdas financeiras. Através de uma solução de controle de acesso à internet, também é possível definir que categoria de site poderá ser acessada por cada usuário, evitando desperdícios com navegação fora do escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.

No vídeo abaixo demonstramos o funcionamento de um phishing recebido por e-mail, que se faz passar pelo serviço de pagamentos PagSeguro com objetivo de roubar dados de acesso da vítima. Primeiro é demonstrado o acesso ao site de phishing sem proteção. Depois é demonstrada uma tentativa de acesso ao site de phishing porém com a proteção do Lumiun ativa na rede da empresa.

Dessa maneira, o vídeo apresenta um comparativo da eficácia de um ataque Phishing em uma rede desprotegida e outra com tecnologia de segurança e proteção.

Se você tiver uma dica adicional sobre phishing ou quiser esclarecer alguma dúvida, deixe seu comentário aqui no artigo ou me escreva diretamente em .

Saiba como proteger a sua empresa das ameaças durante a Black Friday e Cyber Monday

Todos os anos os consumidores esperam por datas muito marcantes para o comércio de produtos ou serviços: a Black Friday e a Cyber Monday. E, além disso, criminosos virtuais também aguardam ansiosamente por datas comemorativas ou grandes promoções para aplicar diferentes tipos de golpes digitais, gerando ameaças à segurança de dados de sua empresa.

Em 2019 a BlackFriday está marcada para o dia 29 de novembro e a Cyber Monday para o dia 02 de dezembro. Com isso, não é novidade que muitos colaboradores utilizam o ambiente corporativo para fazer compras e outras atividades que não correspondem e não têm ligação com as suas funções na empresa.

Por isso, abordamos neste artigo um pouco sobre a Black Friday e Cyber Monday. Veja como essa data pode prejudicar a sua empresa, diminuindo a produtividade dos colaboradores e colocando os dados e a segurança da sua empresa em situação de risco, confira dicas para gerenciar estas questões.

O que é Black Friday?

O nome que no português significa sexta-feira negra, foi um termo criado pelo varejo nos Estados Unidos para nomear a ação de vendas anual que acontece na sexta-feira após o feriado de Ação de Graças, que é comemorado na 4ª quinta-feira do mês de novembro nos Estados Unidos.

A ideia vem sendo adotada por outros países como Canadá, Austrália, Reino Unido, Portugal, Paraguai e Brasil (desde 2010). Nesta data muitas lojas físicas e principalmente virtuais aderem ao movimento e baixam os valores de seus produtos, visando garantir mais lucros, movimentar consumidores e vendas, além de gerar clientes fiéis.

No entanto, mesmo essa data sendo muito especial para empresas e consumidores, com ela chegam também inúmeros problemas, desde em questão de segurança na empresa quanto dificuldades de manter a produtividade dos colaboradores em alta. Sabe-se que em datas como essa eles costumam acompanhar sites, redes sociais e até mesmo lojas virtuais e preços de produtos do seu interesse.

O que é Cyber Monday?

A Cyber Monday, em tradução literal, significa segunda-feira cibernética. Este termo foi criado em 2005 para impulsionar ainda mais as vendas online do final do ano. A promoção ocorre no mês de novembro em lojas online na primeira segunda-feira após o feriado de Ação de Graças nos Estados Unidos.

A Cyber Monday vem sendo realizada no Brasil desde 2012, com a participação de muitas lojas online que oferecem grandes descontos em vendas feitas através da internet.

Datas promocionais X Produtividade

A Black Friday e a Cyber Monday podem prejudicar a produtividade dos seus colabores de variadas formas, principalmente por meio do desperdício de tempo enquanto pesquisam produtos na internet, como também quando realizam compras online.

Para evitar que compras pessoais sejam realizadas durante o expediente, o ideal é dialogar com os colaboradores nos dias que antecedem essas datas, explicando que o ambiente de trabalho não é o local correto para esse tipo de atividade, podendo registrar em um documento a política de uso da internet na empresa, comprovando a ciência do profissional sobre as regras de utilização da Internet, visando a utilização adequada dos recursos de tecnologia.

Caso você não veja problema em disponibilizar um tempo para seus colaboradores acessarem os descontos, uma ideia é utilizar um sistema para gestão do acesso à internet com liberação por horários, que possibilita um equilíbrio entre bloqueio e liberação da internet. Por exemplo, com a utilização de um sistema você pode liberar o acesso a sites de compras durante o intervalo do meio-dia e bloquear automaticamente o acesso a sites desta categoria às 13h30min.

Como manter a segurança?

Para você gestor, a Black Friday e a Cyber Monday são motivos de grandes preocupações. Em meio a toda essa ansiedade gerada pelas datas em si, funcionários tendem a usar as redes corporativas para efetuar compras sem se preocupar com a segurança.

Do outro lado, hackers e grupos criminosos sabem que essa é uma grande oportunidade para ataques, porque atraídos pelas promoções, os usuários acabam criando novas brechas de segurança.

Entre os dados guardados nos servidores e trafegados pelas redes corporativas, tudo necessita estar seguro e essa proteção pode ser ameaçada por um simples link que esteja corrompido, uma URL maliciosa e até a armadilhas em páginas de ofertas falsas.

Dessa maneira, estar atento em relação às medidas de segurança que são utilizadas e quais devem ser implementadas é fundamental para evitar problemas e proteger a sua empresa contra as ameaças virtuais durante a Black Friday e a Cyber Monday.

Veja algumas dicas de segurança para evitar ataques virtuais na Black Friday e Cyber Monday:

Cuidado com os e-mails:

Durante os dias que antecedem as promoções de Black Friday e Cyber Monday oriente os funcionários, pois o volume de Spams enviados aos e-mails aumenta muito, podendo até mesmo congestionar o servidor de e-mails. Grande parte desses e-mails recebidos são propagandas, porém podem existir arquivos ou anexos com malwares e conteúdos maliciosos, caso algum colaborador venha a clicar ou abrir há a possibilidade de ocasionar problemas sérios de segurança de dados na empresa.

 

Mantenha o antivírus atualizado e utilize Firewall:

O antivírus, quando atualizado corretamente, pode proteger contra muitos ataques e por conta disso é de grande importância que esteja atualizado. Além disso, é necessário que os colaboradores saibam que esse antivírus não deve ser desconectado, pois caso isso ocorra, estarão deixando o computador suscetível aos ataques.

Utilize a proteção de um firewall na fronteira com outras redes não confiáveis, pois se trata de um recurso de segurança que controla o fluxo de dados em rede.

 

Oriente os colaboradores:

Nada melhor do que uma boa comunicação interna entre você e seus colaboradores. É muito importante orientar a todos os membros da sua equipe sobre esse evento e as possibilidades de ataques existentes, inclusive deixar claro o quanto o alto índice de ataques de hackers nessa época, podendo chegar a um aumento de 30%.

Sabe-se que hackers tendem a aproveitar datas como a Black Friday e Cyber Monday para realizar diferentes ataques virtuais, pois nesse momento há um aumento significativo nas compras online e com isso torna-se um momento favorável para o aumento de golpes.

Além disso, quando a empresa não possui uma solução competente para bloqueios de malwares para monitorar de forma preventiva esses ataques, as invasões geralmente são identificadas somente tempos depois, quando o prejuízo já se concretizou e torna-se incalculável.

Por isso, fique atento e guie os seus colaboradores para que não acessem as “promoções tentadoras” durante o horário de trabalho e que tomem cuidado até mesmo quando estiverem em casa e na hora da compra, para que não sofram nenhum tipo de ataque, golpe ou roubo de dados pessoais e corporativos.

 

Utilize o Lumiun para gestão e controle do acesso à Internet:

As vantagens de um sistema de gestão da internet como o Lumiun são muitas e vão além da facilidade em implementar de regras de acesso e gestão da produtividade da equipe. A segurança e a proteção contra ameaças na internet são fatores relevantes, pois são focadas em diminuir riscos de perda de dados, evitar o acesso a sites nocivos e problemas com incidência de vírus, resultando em economia em relação aos gastos com manutenção de equipamentos.

O Lumiun é de fácil instalação, não demanda de grandes servidores e também pode ser gerenciado de forma prática através de um painel de controle, não sendo necessário conhecimentos técnicos avançados para implementar e utilizar a solução.

Confira os benefícios do Lumiun para sua empresa, entre em contato e agende uma demonstração do sistema!

 

Esse conteúdo foi útil para você? Compartilhe conosco nos comentários como pretende evitar problemas na sua empresa decorrentes da Black Friday e Cyber Monday!

LGPD: o que é e como aplicar na empresa?

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em completo vigor em agosto de 2020 para todo o território nacional. O Brasil terá então uma legislação específica para proteger os dados e a privacidade de todos os cidadãos brasileiros. Por ser um projeto de interesse de todos os cidadãos, a LGPD está deixando…

Continuar lendo

Ransomware: como manter sua empresa protegida do sequestro de dados

No mundo  da segurança da informação, esse ano de 2017 será marcado por ataques de Ransomware, método também conhecido como sequestro de dados, no qual as informações relevantes de usuários e empresas são criptografadas e ficam inacessíveis. A partir disso os criminosos cobram valores que ficam em torno de R$ 400,00 para devolver o acesso às informações sequestradas, embora esse valor possa variar bastante, de acordo com o porte da empresa e a relevância dos dados sequestrados.

Especialistas apontam que essa forma de ataque está se generalizando e terá novas variantes ao longo do ano, podendo passar a afetar também serviços de backup baseados em nuvem. Estimativas indicam que o lucro dos criminosos que realizam esse tipo de ataque deve chegar em valores próximos de US$ 5 bilhões ao longo do ano de 2017.

Em pesquisa realizada pela Trend Micro, constatou-se que 51% das empresas brasileiras foram vítimas de ataques de Ransomware no ano de 2016. Outro dado preocupante que a pesquisa apontou é que 56% não contam com tecnologias para monitoramento e detecção de comportamentos suspeitos ou ataques na rede.

Ataques por Ransomware se tornaram tão comuns, que viraram até um serviço de assinatura, onde qualquer usuário de internet sem necessidade de conhecimento técnico em informática pode aplicar o ataque. Esse serviço ficou conhecido como “Ransomware as a service” ou “Crime as a service” – “Ransomware como um serviço” ou “Crime como um serviço”, traduzindo para o português.

Em dados divulgados pelo FBI, em 2016 apenas nos Estados Unidos os prejuízos causados por ataques de Ransomware alcançaram US$ 1 bilhão. E a estimativa é que esse número aumente significativamente em 2017. Imagine então os riscos para as empresas brasileiras, onde 50% não possuem formas de prevenção contra o problema.

Empresas que sofrem esse tipo de ataque estão sujeitas a várias formas de problemas e prejuízos: desde a perda total de dados, em casos onde não há backup nem liberação do acesso aos arquivos sequestrados; até a interrupção de sistemas, rede de computadores e operações relevantes ao negócio, como atendimento a clientes.

Para considerar o quão importante é tomar medidas para reduzir os riscos, tente imaginar o impacto que a perda de informações pode causar para a sua empresa!

Infelizmente não há como estar 100% protegido contra o Ransomware. Porém é possível mapear os riscos e tomar medidas que reduzam significativa as chances de ocorrências do problema.

Há formas bem distintas de ocorrer um ataque, vejamos algumas:

  •  Mensagens de e-mail:
    • Phishing, por exemplo com simulação de promoções
    • Arquivos anexados infectados
  • Ataques em contas de usuário e servidores com senhas fracas
  • Site de internet hackeados, que são usados como direcionamento para ataques
  • Publicação de notícias falsas com referência pra sites nocivos
  • Publicação de links nocivos em redes sociais
  • Anúncios na internet, inclusive em redes sociais e serviços de busca como o Google
  • Via aplicativos e SMS em smartphones e tablets
  • Funcionários descontentes e vingativos nas empresas

Realmente temos formas bastante diferentes para a ocorrência de Ransomware, porém é possível reduzir os ricos com algumas medidas:

Treinamento de usuários

Essa é sem dúvida a principal porta de entrada da maioria dos vírus e ataques virtuais nas empresas. A maioria dos profissionais não consegue identificar possíveis riscos, como uma mensagem de e-mail falsa e acaba clicando em links maliciosos ou abrindo arquivos infectados, quando isso acontece é muito difícil evitar que o ataque ocorra.

Por isso é importante treinamentos periódicos com os colaboradores, abordando principalmente como identificar ameaças e quais os possíveis riscos para a empresa e para os profissionais. Sugerimos o download desse material que aborda formas seguras de utilização da internet.

Defina uma política de utilização de senhas seguras

Senhas fracas e inseguras é um problema recorrente nos usuários de internet, afinal quem nunca usou senhas relacionadas a datas, endereços e familiares, até mesmo em contas importantes como bancos ou e-mail. Mas o problema é que os criminosos sabem disso e exploram muito essa vulnerabilidade, com sistemas que testam combinações de senhas repetidamente, até que seja descoberta.

Felizmente esse problema é simples de resolver, basta criar regras de utilização de senhas com mais de 8 caracteres, que combinem letras maiúsculas, minúsculas, números e preferencialmente símbolos do teclado, com troca periódica das senhas, por exemplo a cada 3 meses. Também deixo a sugestão de download desse guia de utilização de senhas e contas de usuário seguras.

Serviços de inspeção de e-mail e anti-spam

Sabemos que mensagens de e-mail falsas são usadas com frequência em ataques. Para atenuar os riscos, primeiro é necessário que o e-mail corporativo esteja com serviços de anti-spam ativados, isso vai garantir que boa parte das mensagens com riscos seja barrada e sequer aberta pelos  usuários.

Além disso, também recomendamos a inspeção de e-mail (Email Inspection), onde o conteúdo, arquivos e links das mensagens de e-mail são avaliados e qualquer item suspeito fará com que o e-mail seja barrado. Esse filtro pode ser considerado complementar e até mesmo mais inteligente que o controle de spam.

Serviços de WebFilter e controle de navegação

Esses serviços que permitem gerenciar o que os usuários da rede corporativa acessam na internet, evitando que estejam naveguem em sites nocivos e maliciosos. É importante que esse controle de navegação seja baseado na reputação dos sites, para que consiga identificar com eficiência sites que ofereçam riscos.

Existem dezenas de serviços diferentes para o controle de navegação nas empresas. A Lumiun Tecnologia é uma excelente alternativa por ter uma implementação simples e acessível, e ao mesmo tempo fácil de ser gerenciada.

Manter sistemas sempre atualizados

Criminosos estudam possíveis vulnerabilidades em sistemas e exploram essas falhas para ataques. Por isso que praticamente todos sistemas possuem atualizações, que corrigem possíveis vulnerabilidades.

É fundamental manter todos softwares sempre atualizados, desde o seu sistema operacional, antivírus e demais programas instalados.

Evitar acesso remoto a computadores e servidores da sua rede

Manter o acesso externo a computadores e servidores da sua empresa é o mesmo que permitir o acesso a porta dos dados, essa prática combinada a utilização de senhas fracas é fatal, facilmente criminosos terão acesso aos dados da sua empresa. Portanto, permita esse tipo de acesso somente em casos realmente necessários.

Monitoramento interno de comportamento de usuários

Essa é uma solução geralmente baseada em Machine Learning, que utiliza a inteligência de dados e sistemas para detectar comportamentos incomuns dentro da sua rede, tanto por usuários como equipamentos. Qualquer atividade suspeita pode gera um alerta para os responsáveis, por exemplo, usuários copiando dados do negócio ou baixando programas da internet que não têm relação com as atividades da empresa.

Backup e monitoramento de backup

Possuir cópia dos dados relevantes da empresa é fundamental. Mas mais do que isso, é necessário que a política de backup seja constante e eficiente, com cópias diárias e mídias de armazenamento distribuídas em locais diferentes. Uma boa opção é a utilização de serviços de backup em nuvem.

Se ocorrer o sequestro de dados da sua empresa, não é recomendado a pagamento do resgate aos criminosos. Por isso o backup se torna importante para a restauração das informações. Não deixe acontecer a situação de você precisar do seu backup e só então perceber que os dados salvos são do mês anterior – infelizmente essa situação é mais comum do que você imagina.

 

Como podemos perceber, as medidas para evitar ataques de Ransomware são relativamente simples de serem implementadas e não demandam grandes investimentos, considerando os riscos e prejuízos que possíveis problemas podem gerar. Também é importante perceber que essas medidas estão organizadas em camadas, passando principalmente pela prevenção, até o que pode ser feito no caso de sequestro de dados.

Por fim, investir em segurança da informação é evitar prejuízos maiores para a sua empresa. Não espere ter seus dados sequestrados para se prevenir.

Segurança da informação em 2018: fatos relevantes e o aumento dos ataques virtuais

O ano de 2018 foi marcado por diversos acontecimentos em relação à segurança da informação e tecnologia, como a determinação do GDPR (Regulamento Geral sobre a Proteção de Dados) que representa a ascensão para a regulamentação de privacidade da União Europeia e também com o aumento significativo nos registros de ataques cibernéticos como golpes, sequestro de dados, malwares,  vazamento de dados e mineração de criptomoedas.

Aqui no blog já apresentamos dados relevantes sobre o aumento de ataques virtuais em 2018 e a importância de educar os usuários, mas você sabia que além disso, durante o ano de 2018 foram detectados mais de 350 mil vírus por dia pela Kaspersky Lab? Então, os números são assustadores e representam a realidade da internet global.

A Kaspersky Lab afirma que houve um aumento de 43% para o ransomware (de 2,1 em 2017 para 3,1 milhões em 2018) e de 44% para os backdoors usados por cibercriminosos para acesso remoto ao PC (de 2,2 para 3,2 milhões), estes resultados comprovam que malwares, principalmente backdoors e ransomware, continuam sendo um perigo significativo.

O dfndr lab, laboratório de cibersegurança da PSafe, elaborou o 5º Relatório de Segurança Digital no Brasil com um acúmulo de dados comparativos entre o 2º e o 3º trimestre de 2018, gerados através das detecções de ciberataques aos smartphones Android dos mais de 21 milhões de usuários do aplicativo de segurança dfndr security.

  • O Relatório da dfndr lab mostra que houve queda de 31,4% em ciberataques (de 63,8 a 43,8 milhões) por conta da redução do foco em grandes eventos, porém apresenta o aumento de 7% em fake news (de 4,4 a 4,8 milhões) que abordam principalmente assuntos sobre política, saúde ou formas de ganhar dinheiro fácil.
  • Confira o gráfico de detecções de links maliciosos:

    grafico-links-maliciosos-dfndr-lab-2018
    Phishing via mensagens, publicidade suspeita e notícias falsas lideram ranking de links maliciosos. (Fonte: PSafe / dfndr lab)
  • Apesar da sensível queda percebida entre os trimestres (31,4%), não podemos olhar para essa informação de forma simples e genérica. Os ciberataques não estão diminuindo. O que vimos, neste trimestre, foi uma combinação de fatores que englobam a redução do foco em grandes eventos que envolvam questões público-financeiras, como FGTS e PIS/Pasep, e de datas comemorativas de alta relevância para o varejo.Emilio Simoni, diretor do dfndr lab.

Os números seguem sendo preocupantes, e a cada ano que passa os ataques tornam-se cada vez mais diversificados. Cibercriminosos “renovam estratégias” para aprimorar a criptografia, buscando evitar a detecção de ataques. Dessa maneira, sem dúvidas, podemos afirmar que o ano de 2018 foi marcado por uma série de ataques, contabilizando vítimas no mundo inteiro.

Entre e-mails e sites falsos, mensagens no WhatsApp, fake news, ataques para sequestro de dados e até para mineração de criptomoedas, com o objetivo de explorar a capacidade de dispositivos e utilizar o processamento sem a autorização do usuário, preparamos uma lista com alguns dos ataques cibernéticos que ocorreram em 2018, acompanhe o artigo.

Hotéis Marriott

Setembro, 2018.

A partir de um grande ataque ao banco de dados, em média 500 milhões de clientes da rede hoteleira Starwood Hotels and Resorts, subsidiária da Marriott International, tiveram seus dados pessoais como nome, telefone, número de passaporte, endereço, entre outros, acessados por criminosos. O ataque foi detectado em setembro de 2018, mas o acesso não autorizado ao banco de dados já acontecia desde 2014.
O Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou um Inquérito Civil Público para investigar o caso.

Facebook

  1. Março, 2018.
    Cambridge Analytica:
    Com a utilização de um aplicativo de teste de personalidade, usuários permitiram acesso a suas informações, mas acabaram permitindo acesso também às informações de amigos. A empresa usou os dados ilegalmente para propaganda política.
  2. Setembro, 2018.
    Ataque hacker:
    Os criminosos aproveitaram-se de uma vulnerabilidade da opção “Ver como” e tiveram acesso a dados do perfil de 30 milhões de pessoas, após o ataque, em média 90 milhões de pessoas foram redirecionadas para realizar login novamente e informadas do ocorrido.
  3. Dezembro, 2018.
    Fotos publicadas sem autorização:
    A partir de um “bug”, cerca de 6 milhões de usuários que permitiram o acesso à mídia para aplicativos de terceiros tiveram “fotos não publicadas” (como stories e fotos que foram carregadas, mas não publicadas), expostas na rede social. O Facebook notificou os usuários e sugeriu que verifiquem os acessos dos aplicativos.
    Fonte: TechTudo

Banco Inter

  1. Maio, 2018.
    Em maio de 2018, a equipe do site TecMundo recebeu um manifesto composto de 18 páginas, assinado por um hacker chamado “John”. Este documento detalhava de forma técnica como o hacker teve acesso à dados, além disso, os detalhes da extorsão aplicada ao Banco Inter. A condição era: se o banco não pagasse o valor dentro do prazo, os dados seriam enviados para a imprensa e vendidos na internet.
    O banco agiu corretamente, conforme as indicações sobre como agir em casos de invasão ou roubo de dados e não cedeu à extorsão.
    Como não houve pagamento ao hacker, os dados pessoais de milhares de clientes, funcionários e executivos do Banco Inter, um dos maiores bancos totalmente digitais do Brasil, foram colocados em um arquivo criptografado de 40 GB. Os dados consistem em fotos de cheques, documentos, transações, e-mails, informações pessoais, chaves de segurança e senhas de aproximadamente 100 mil pessoas.
    .
    • O hacker informa que trabalhou por cerca de 7 meses na invasão ao Banco Inter e explicou que através de um erro de um funcionário foi possível entrar nos sistemas do banco e copiar os dados.
    • O Banco Inter negou ter ocorrido uma invasão.
  2. Julho, 2018.
    Comissão de Proteção dos Dados Pessoais, com colaboração do TecMundo, instaurou inquérito civil público para investigar caso. No curso da investigação, o MPDFT constatou, com comprovação do Centro de Produção, Análise, Difusão e Segurança da Informação (CI), o comprometimento de:
    .
    • Dados cadastrais de 19.961 correntistas do Banco Inter.
    • Desses, 13.207 contêm dados bancários, como número da conta, senha, endereço, CPF e telefone.
    • Outros 4.840 dados de clientes de outros bancos que fizeram transações com usuários do Inter também foram comprometidos.
    • Também ficou confirmada a exposição dos certificados digitais, já revogados, e da chave privada do banco.
    .
    O Ministério Público do Distrito Federal e Territórios (MPDFT) pediu a condenação do banco ao pagamento de R$ 10 milhões, a título de indenização, em razão de não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus clientes e não clientes. O valor, no caso de condenação, será revertido ao Fundo de Defesa de Direitos Difusos (FDD).
  3. Dezembro,2018.
    Foi homologado um acordo entre o Banco Inter e o Ministério Público do Distrito Federal e Territórios (MPDFT), onde o Banco Inter deve pagar R$ 1,5 milhão para reparar os danos morais coletivos de caráter nacional decorrentes do vazamento de dados.
    Fonte: TecMundo

Phishing

Os casos de fraudes realizadas com a utilização de phishing não são novidade e seguem acontecendo via e-mail, WhatsApp e outras redes sociais. É frequente a circulação de promoções falsas, principalmente nas datas comemorativas e foram estes exemplos que trouxemos.

Em relação ao phishing no ano de 2018, a Kaspersky Lab identificou o aumento de 110% de incidentes, levando o Brasil ao lugar no ranking mundial, conforme dados apresentados no início deste artigo.

  1. Durante o ano de 2018, principalmente em períodos próximos à atualizações do catálogo da Netflix.
    E-mail falso da Netflix: O e-mail solicita que o usuário atualize seus dados de pagamento pois a suposta conta estaria suspensa. Com uma construção de e-mail convincente, divulgando filmes e séries que estão em alta ou são novos no catálogo da Netflix, os criminosos convencem muitas pessoas, principalmente por ser um e-mail de conteúdo atual. Dessa maneira, muitas pessoas acabam caindo neste golpe e fornecendo dados sensíveis para criminosos. Cabe alertar que é o mesmo link suspeito em todos os botões do e-mail.
    A Netflix tem um canal oficial disponível para denúncias de phishing, então se você receber qualquer e-mail deste tipo, encaminhe-o para

    phishing-netflix
    Phishing – E-mail falso solicita atualização da forma de pagamento, alegando que o usuário está com a conta suspensa.
  2. Novembro, 2018.
    Brinde de natal da O Boticário: As promoções reais com brindes da O Boticário foram vistas como oportunidade por cibercriminosos. Uma das últimas ocorrências de 2018 foi a falsa promoção via WhatsApp que oferecia diferentes brindes da marca e para “ganhar”, o usuário deveria fornecer o número de CPF e convidar amigos, gerando um grande fluxo de pessoas fornecendo seus dados a criminosos. A O Boticário se pronunciou oficialmente em sua página no Facebook, alertando o público sobre a falsa promoção.

    Phishing-brinde-natal-oboticario-2018
    Phishing –  Novembro,2018 – Falsa promoção da O Boticário oferecia brindes após o cadastro com CPF e indicação de amigos.
  3. Dezembro, 2018.
    Brinde de natal da Coca Cola: Aconteceu via WhatsApp a circulação de uma falsa promoção que oferecia brindes de natal. Para “ganhar o brinde”, o usuário deveria clicar em um link e realizar o cadastro, acontece que o link redirecionava o usuário a um site de Phishing para captação de dados, principalmente números de CPF. A Coca Cola se pronunciou oficialmente informando que a promoção era falsa e reiterando que o site oficial da empresa é: natal.cocacola.com.br

    Phishing-brinde-natal-coca-cola-2018
    Phishing – Dezembro,2018 – Falsa promoção da Coca Cola prometeu brindes de natal e captou o CPF de usuários que se cadastraram.

Fake news

A ocorrência de fake news (notícias falsas) foi tão alta durante o ano de 2018 que a dfndr lab identificou que 11% dos links maliciosos, eram notícias falsas. Representando o aumento de 7% em fake news (de 4,4 a 4,8 milhões) que abordam principalmente assuntos sobre política, saúde ou formas de ganhar dinheiro fácil, entre o 2º e 3º trimestre de 2018.

  1. Julho, 2018.
    Fato ou Fake: A equipe G1 procurou ajudar os internautas a ter um canal que analisa casos de fake news. A seção identifica as mensagens que causam desconfiança e esclarece o que é real e o que é falso. A apuração é feita em conjunto por jornalistas de G1, O Globo, Extra, Época, Valor, CBN, GloboNews e TV Globo. Discursos de políticos também são conferidos. Veja aqui a categoria
  2. Top 5 notícias falsas sobre política (dfndr lab)
    No 5º Relatório de Segurança Digital no Brasil da dfdr lab foi apresentado um ranking de detecção de notícias falsas sobre política. Em primeiro lugar está uma notícia falsa sobre Jean Wyllys, esta foi detectada 625 mil vezes pela empresa de segurança.

    Noticia-falsa detectada-625mil-vezes-entre-o-2-e-3-trimestre-de-2018.Fonte-PSafe-Dfndr-Lab
    Notícia falsa detectada 625mil vezes entre o 2º e 3º trimestre de 2018. (Fonte: PSafe / dfndr lab)

 

Levando em consideração as notícias marcantes para a segurança no uso da internet em 2018, é importante ressaltar que métodos preventivos contra ataques cibernéticos devem estar sempre em primeiro lugar, para todo e qualquer usuário conectado.




Gestores e profissionais de TI devem priorizar a segurança da informação, mas a principal dúvida é: como fazer? Por onde começar?

As ações mais importantes para melhorar a segurança da informação na empresa são baseadas em prevenção. Listamos 5 ações das mais relevantes que devem ser implementadas e periodicamente revisadas para que a empresa tenha um excelente nível básico de atenção à segurança da informação.

  • Backup dos dados: há determinados tipos de incidentes de segurança em que a única opção para recuperar as informações da empresa passa pela restauração de cópias de segurança. É essencial manter uma estratégia de backup, com rotinas atualizadas e verificadas. Deve-se analisar, entre outros aspectos, quais dados serão protegidos, a periodicidade de atualização, o tempo de retenção das cópias e o local de armazenamento das cópias (lembrando que é importante manter cópias em local externo ao ambiente onde ficam os dados na empresa).
  • Antivírus: é importante utilizar um bom software antivírus. Outros mecanismos de proteção da rede são complementares e não substituem o antivírus. Há pacotes gratuitos que oferecem um nível básico de proteção, no entanto, para proteção efetiva é recomendado que as empresas invistam na aquisição de uma boa solução antivírus e anti-malware.
  • Firewall e controle do acesso à internet: proteger a rede com firewall e bloquear links prejudiciais e sites nocivos é uma medida muito relevante para a segurança da informação. É importante que a solução tenha uma interface de gerenciamento funcional e fácil de usar, pois a facilidade na visualização de relatórios e a correta configuração da ferramenta impactam diretamente na eficiência da proteção. Uma solução para gerenciamento do acesso à internet como o Lumiun é um excelente recurso para aumentar a segurança da informação na empresa, além de promover a conscientização no uso da internet e auxiliar na produtividade dos colaboradores.
  • Atualizações de software: todos os programas utilizados nos computadores e equipamentos devem estar atualizados com versões recentes. A prática de aplicar atualizações rotineiramente, e sempre que são disponibilizadas, é importante para proteção contra ataques que se aproveitam de novas vulnerabilidades que são descobertas, publicadas e exploradas. O sistema operacional e os navegadores de internet devem ter atenção extra e mantê-los atualizados auxilia bastante na segurança.
  • Orientar colaboradores sobre boas práticas de segurança da informação: atualmente a maioria dos ataques passa por alguma ação indevida realizada por um colaborador da empresa. Falhas como clicar em um link de um email que contém uma promoção totalmente incrível, sem o devido cuidado e atenção em verificar o link que será aberto, são exemplos de como o descuido pode ser uma vulnerabilidade e uma porta de entrada de problemas de segurança. Procure orientar os colaboradores sobre a importância do cuidado com a segurança da informação na empresa.

Quer mais dicas sobre segurança na internet para pequenas e médias empresas? Veja 11 dicas de segurança na internet para pequenas e médias empresas