Como saber se o site é seguro?

Quando um usuário de internet navega por sites desconhecidos, nem sempre há como saber se o site é seguro. Em casos de recebimento de e-mail com link de uma fonte não muito comum ou pessoal, basta um clique para que seu dispositivo seja contaminado ou os dados vazados.

Nos piores cenários, ao navegar num site falso o usuário leigo insere seus dados bancários ou cartão pensando estar seguro.

Não é a toa que o golpe do link falso, do famoso “clique aqui” funciona tão bem. Esse golpe, é conhecido como Phishing.

A pergunta é: como saber se o site é seguro? É possível identificar?

A resposta é: sim! É possível identificar! E é o que vou demonstrar nas 9 dicas a seguir.

Dica nº 1 – Ferramentas de segurança do navegador

Os navegadores mais famosos possuem recursos de segurança para ajudar a mantê-lo seguro na navegação. Tais ferramentas podem bloquear pop-ups irritantes, desativar conteúdos inseguros, impedir downloads maliciosos e controlar quais sites podem conter riscos à segurança da informação.

Verifique no seu navegador favorito onde se encontram as configurações de privacidade e segurança e habilite as que são condizentes com seu uso diário. Talvez, esta ação já identifique por você, se o link que está prestes a clicar é seguro ou não.

Dica nº 2 – Ferramenta para identificar sites inseguros

Existem ferramentas que ajudam você a saber de forma rápida se um site é seguro. O Navegação Segura do Google é uma delas.

link e site seguro

De acordo com a página da ferramenta, “o Navegação Segura do Google examina bilhões de URLs, softwares e conteúdos nessas páginas em busca de sites não seguros”, tornando-o uma forma excelente de checagem de segurança. Para verificar, basta copiar o endereço do site,+ colar na caixa de pesquisa e apertar a tecla Enter. Simples e rápido. O Navegação segura do Google testa o URL e retorna um relatório sobre sua reputação.

Dica nº 3 – Verifique as URLs

Outra forma simples de testar a segurança de um site é conferir a URL. Se você não sabe, URL é o endereço de um link. Resumidamente, descubra onde o link vai te levar antes de clicar nele. Para isso, basta arrastar o ponteiro do mouse sobre o link para verificar a URL ao qual ele está vinculado.

Na maior parte dos navegadores você deverá ver a URL vinculado ao link no canto inferior esquerdo do seu navegador.

Visualizando a URL, certifique-se que tudo está escrito corretamente. A maior parte dos links nocivos contem erros ortográficos, como por exemplo “h00tma1l.com” em vez de “hotmail.com”. Em um olhar rápido e sem atenção o erro passa despercebido facilmente.

Dica nº 4 – Cuidado com URLs encurtadas

Os criminosos encontram muitas formas de burlar formas de se proteger. Uma forma bem eficaz é usar encurtadores de URL.

Com o link encurtado, não é possível identificar o destino do site. Portanto, muito cuidado com URLs encurtadas, confira bem o conteúdo da página ou e-mail que se encontra este link.

Dica nº 5 – Encontre o HTTPS

HTTP (Hypertext Transfer Protocol) é o protocolo fundamental para enviar dados entre seu navegador web e os sites visitados. HTTPS é apenas sua versão segura, sendo “seguro” o significado do “S”.

Verificar se o site que você está acessando usa o HTTPS é uma forma eficaz de garantir que um site é seguro.

O protocolo é frequentemente usado para transações bancárias e compras online, pois sua comunicação é criptografada, a fim de evitar que criminosos roubem informações sigilosas, como números de cartão de crédito e senhas.

Mas, como descobrir se um site usa HTTPS? Simples! Verifique se há um cadeado na barra de navegação do seu navegador. Se estiver lá você saberá que o site acessado está usando um certificado confiável e sua conexão está protegida.

como saber se o site é seguro

Porém, há uma notícia ruim. Alguns sites de phishing podem usar HTTPS para parecerem legítimos. A principal lição é: Se qualquer site que você acessar não tiver o cadeado, não insira sua senha ou número de cartão de crédito.

Dica nº 6 – Política de privacidade

Em muitos países é uma exigência legal o site ter uma política de privacidade. Portanto, se você não consegue dizer com clareza se o site é legítimo, procure pela política de privacidade.

Sites com boa reputação irão possuir, normalmente no rodapé, um botão ou texto para acessar a política de privacidade.

como saber se o site é seguro

Infelizmente muitas delas estão cheias de citações jurídicas incompreensíveis, mesmo assim, é uma boa ideia verificar se ao menos existe uma política de privacidade, já que este é um bom indicio do site ser legítimo.

Dica nº 7 – Desconfie dos selos de segurança

O objetivo de mostrar selos de segurança é tentar mostrar que o site é confiável e por isso, muitas empresas utilizam. O detalhe é que não é muito difícil de colocá-los lá.

como saber se o site é seguro

Este é um tema inclusive muito controverso, pois alguns sites legítimos utilizam selos de outras empresas, alguns não utilizam, e há quem diga que ter seus próprios selos aumenta as vendas.

Na teoria, seria interessante clicar no selo de segurança e conferir se é possível verificá-lo. Caso não consiga, comece uma busca com “o site x é verdadeiro” ou procure avaliações sobre o site. Se for falso, você certamente encontrará muitas reclamações sobre ele. Se nada disso tudo der certo, é melhor evitar este site em particular.

Dica nº 8 – Sinais óbvios de site falso

Muitas pessoas julgam umas as outras pela aparência, mas não fazem isso com os sites. Na sua grande maioria a aparência do site já denuncia que ele é falso. Se você sentir que algo está estranho, visualmente existem alguns sinais bem evidentes, normalmente carregados de malware, que você pode procurar:

  1. Alertas que ficam piscando – se o site apresenta muitos pontos de exclamação e alertas que ficam piscando existem grandes chances de ser falso repleto de spam.
  2. Muitos pop-ups – se você acessar um site e ele apresentar um número muito grande de pop-ups, feche o site imediatamente.
  3. Redirecionamento – ao acessar o site, se você for redirecionado imediatamente para um site completamente diferente, pode significar que o site original era falso ou que ele foi atacado por um malware. Portanto, você não vai querer visitá-lo.
  4. Alertas de pesquisa – o Google por exemplo, exibe ao lado de alguns links de resultado de pesquisa uma indicação de que o site pode ter sido invadido como “Este site pode ter sido invadido” ou “Este site pode ser perigoso para seu computador”. Mesmo que esses alertas não sejam precisos, é bom evitar.

Dica nº 9 – Use uma ferramenta de bloqueio

Existem muitas soluções no mercado para bloqueio de sites e domínios considerados nocivos. De uma forma prática, eles impedem que o site seja acessado e exibem (normalmente) um aviso na tela informando o usuário que aquele site pode ser perigoso.

Talvez entre todas as soluções, esta seja a mais eficiente, pois, não necessita de conhecimento, estudo, ou atenção, deixando apenas para a ferramenta identificar para você se o site é legítimo ou não.

Para finalizar

Fórmulas mágicas e permanentes de saber se um site é seguro não existem. Os criminosos constantemente buscam novos meios de ludibriar os usuários de internet. Porém, dicas básicas de segurança e que funcionam para a grande maioria das tentativas dos golpes são o primeiro passo para se proteger de links e sites maliciosos.

Espero ter ajudado.

Até a próxima!

Veja 6 novos ataques cibernéticos que surgiram em 2020

Novos ataques cibernéticos orquestrados por hackers ainda vão dar muita dor de cabeça para empreendedores e profissionais responsáveis pela segurança de dados das empresas.

Muitas empresas de segurança tem divulgado dados sobre o aumento de ataques cibernéticos à empresas no Brasil, e isso não é nenhuma novidade para os empresários.

Esse aumento de ataques se deve ao fato de diferentes setores empresariais habilitarem o trabalho remoto para toda ou parte da equipe. Os criminosos perceberam a vulnerabilidade das redes domésticas, a falta de controle dos empresários e também, o uso de dispositivos particulares com grau de proteção menor que os usados nas empresas.

Embora a empresa tenha disponibilizado uma estação de trabalho remota, há quem utilize um smartphone pessoal para acessar arquivos internos, responder e-mails ou interagir por meio de aplicativos de produtividade adotados pela companhia.

Isso abre espaço para vulnerabilidades, e caso a equipe remota não tenha treinamento sobre práticas de segurança na internet, uma invasão aos sistemas internos da empresa pode (facilmente) acontecer.

Essa probabilidade pode ser multiplicada neste momento, pois constantemente hackers têm adotado novos métodos de ataque, adaptando-as para contextos atuais durante a pandemia.

A seguir, você vai conhecer alguns ataques cibernéticos que estão em ascensão e alguns que surgiram a pouco tempo.

1. Aplicativos sobre a pandemia

aplicativos pandemia

Com o anúncio do auxílio emergencial no Brasil, diversos aplicativos em nome da Caixa Econômica Federal surgiram. Foram mais de 60 sites e aplicações falsas, desenvolvidos em um mês apenas, com o objetivo de furtar os dados do usuário, ou o próprio benefício.

Além disso, empresas como Google e Apple, desenvolveram aplicativos de rastreamento para identificar pessoas que estiveram próximas a outra infectada pelo vírus. Porém, os hackers desenvolveram 12 aplicativos maliciosos que prometiam a mesma funcionalidade, porém, serviam apenas para baixar um malware nos dispositivos dos usuários.

2. Sites sobre COVID-19

novos ataques cibernéticos

O número de pesquisas na internet sobre informações sobre a COVID-19 é gigantesco. Este fato se tornou uma oportunidade para os cibercriminosos. Segundo a Palo Alto Networks, foram criados 86 mil domínios com palavras-chave relacionadas à pandemia. Estes apenas considerados de “alto risco” ou “maliciosos”, sem contabilizar os demais com conteúdo legítimo.

Lembrando, que os melhores canais para se informar sobre dados do coronavírus são os veículos de imprensa tradicionais e governamentais, como o Ministério da Saúde.

3. Golpes de doação

novos ataques cibernéticos

Com grandes quebras financeiras em muitas regiões devido ao fechamento de grande parte do comércio no início da pandemia, o envio de e-mails com pedidos de doações para organizações de saúde e outras entidades na linha de frente do combate ao novo coronavírus, foi intensificada.

O problema é que estas organizações (falsas), tinham suas marcas falsificadas pelos golpistas, facilitando o objetivo de enganar o usuário leigo que recebeu este tipo de e-mail.

Em meio à pandemia, o movimento Black Lives Matter se tornou alvo de golpistas, que dispararam vários e-mails para diferentes públicos em nome da iniciativa.

4. Spear-Phishing

novos ataques cibernéticos

Com poucos casos registrados, este ataque é relativamente novo na internet, e como o nome já denuncia, é muito parecido com o ataque de Phishing, que falamos bastante aqui no blog da Lumiun.

Se no phishing existem disparos em massa de e-mails de forma genérica, tentando atingir o máximo de usuários possíveis, o spear-phishing traz uma complexidade maior, pois, é um ataque direcionado a uma pessoa ou instituição.

Com técnicas e informações mais elaboradas, esse tipo de ameaça cibernética vai disparar e-mails que vão parecer legítimos na tentativa de enganá-lo. Inclusive, à pouco tempo, a OMS sofreu uma tentativa de ataque desse tipo.

Escrevemos com mais detalhes sobre o Spear Phishing em outro artigo aqui no blog.

5. Vishing

novos ataques cibernéticos

Este tipo de ataque não surgiu este ano, mas, retomou suas tentativas de sucesso e ganhou força desde que o trabalho remoto começou a ser implantado nas empresas.

Na prática, antes mesmo do e-mail, o uso de voz era bem comum na tentativa de roubar informações de alguém, e é exatamente assim este ataque. Os criminosos fingem ser do suporte técnico da companhia para convencer os funcionários a divulgar login e senha ou inseri-los em um site falso.

O usuário em home office, com pouco ou nenhum contato com o suporte técnico, tem mais dificuldade de verificar a veracidade da solicitação e acaba passando os dados requisitados pelo criminoso.

6. Currículos maliciosos

novos ataques cibernéticos

Um tanto peculiar, esta ameaça tem se tornado comum no momento. O desemprego em quase todos os países aumentou devido a pandemia, e consigo, o envio de formulários, currículos e licenças médicas para o e-mail das empresas.

O ataque carrega no arquivo em formato Word ou em planilha Excel, um malware, que faz o roubo de dados de diversas formas.

Este tipo de cibe crime pode ser intensificado nos próximos meses com a volta de abertura total das empresas, retomando a necessidade de contratação de mais integrantes na equipe.

Como se proteger?

Como já falamos em outros artigos em nosso blog, o principal canal de entrada para ataques cibernéticos são usuários com pouco ou nenhum entendimento sobre segurança de dados, dentro e fora das empresas. Porém, muitos dos ataques poderiam ter sido evitados com medidas básicas de segurança, como as listadas no artigo sobre segurança da informação nas empresas: proteção da rede, sistemas atualizados e educação dos usuários, que você pode ler em nosso blog quando quiser.

Mas, como sabemos, usuários e funcionários, em sua grande maioria, tendem a não se preocupar com processos e regras relacionadas à segurança da informação. Neste momento, muitos empresários se perguntam de que forma seria possível automatizar o processo de controle de acesso à sites considerados nocivos e maliciosos. A resposta ideal é: controle de acesso à internet para empresas.

No mercado existem algumas soluções como DNS Filter, Open DNS e o Lumiun. Entre as citadas, apenas o Lumiun é uma solução brasileira, com suporte 100% no idioma português e com pagamento em moeda local. Identificando o crescimento vertical do valor do dólar, é interessante para as empresas fazer pagamentos de valor fixo em moeda local por ferramentas de segurança de dados para empresas.

Além disso, com o Lumiun, gestores e empresários tem a possibilidade de:

  • Fazer o controle de acesso à internet por usuário
  • Definir bloqueio e filtros de acesso específicos por grupo
  • Liberar ou bloquear o acesso por categorias
  • Liberação de acesso por horários
  • Visualizar os site acessados, categoria que estes pertencem, data e horário do acesso
  • Visualizar em tempo real do que é acessado por usuário ou equipamento
  • Proteger a rede da empresa contra sites nocivos e fazer a redução de problemas com vírus, malware e ransomware
  • Fazer o acesso remoto seguro usando a VPN Empresarial do Lumiun
  • Além de muitas outras funcionalidades

Em conjunto as funcionalidades a facilidade no gerenciamento e instalação do serviço é um dos principais atrativos.

Para finalizar

Conscientizar empresas à introduzir medidas para evitar ataques cibernéticos é um dos principais objetivos deste artigo.

Para facilitar mais ainda que este processo seja identificado como importante, disponibilizamos um teste de segurança da sua internet. É rápido e prático.

No teste serão feitas requisições de acessos a vários sites que estão dentro das categorias consideradas inseguras.

A partir da sua conexão de internet, serão verificados tipos de sites como: phishing e fraudes online, malware e spyware, pornografia e nudez, entre outros.

Findando este artigo, espero ter ajudado você e sua empresa a perceber a importância do tema e também, os perigos que podem ser encontrados na internet.

Até a próxima!

Como funciona o golpe de e-mail falso?

Um dos métodos mais efetivos utilizados por hackers é o golpe de e-mail falso. Sabendo sobre a inocência de muitos usuários, este tipo de ataque malicioso se propaga na internet de forma bastante eficaz.

De acordo com dados do relatório de atividade criminosa online no Brasil divulgado pela Axur, o Brasil bateu recorde de ataques já no primeiro trimestre de 2020. Foram 10.910 casos únicos de phishing no período de 1º de janeiro a 31 de março no país. Esse dado representa um aumento de 238,82% se comparado com o mesmo período de 2019, quando foram detectados 3.220 casos.

Mas, nada de pânico. Existem diversas formas de identificar e-mails falsos e proteger os dados da sua empresa, e é sobre isso que iremos falar a seguir.

O que é um e-mail falso (phishing)?

golpe de e-mail falso

Normalmente, um e-mail com mensagem fraudulenta, utilizando uma forma de comunicação intimidadora e contendo links e informações na tentativa de imitar grandes empresas (normalmente bancos), se enquadram como phishing.

E-mails deste tipo, afirmam que a falta de uma ação resultará no bloqueio da conta do destinatário do e-mail.

A ação por sua vez, normalmente é feita dentro de um site (falso) disponibilizado para acesso no próprio e-mail enviado pelo criminoso, e, tem a aparência idêntica ao site verdadeiro.

Por possuir um conteúdo que gera interesse em “resolver” um grande problema da vítima e também, possuir uma aparência extremamente parecida com a verdadeira, é que esse tipo de ataque tem tanto sucesso.

Como é o e-mail de phishing?

golpe de e-mail falso

Com o objetivo de enganar os usuários de internet, por meio de mensagens falsas na tentativa de roubar informações sigilosas, como senhas de acesso, dados de cartão de crédito ou pagamento de boletos fraudulentos, o site de destino do ataque normalmente é muito bem estruturado.

Idêntico ao verdadeiro no cabeçalho, botões, cores e logotipo, tudo exatamente igual ao original.

Na imagem abaixo, há um exemplo de e-mail de phishing supostamente do banco Itaú, solicitando a sincronização do dispositivo de segurança.

Perceba que o texto inicial cria um senso de urgência para que você acesse o link mais abaixo. Veja também, que o link de destino não faz referência nenhuma ao banco Itaú.

No vídeo abaixo demonstramos o funcionamento de um phishing recebido por e-mail, que se faz passar pelo serviço de pagamentos PagSeguro com objetivo de roubar dados de acesso da vítima. Primeiro é demonstrado o acesso ao site de phishing sem proteção. Depois é demonstrada uma tentativa de acesso ao site de phishing porém com a proteção de um sistema de controle de acesso à internet ativa na rede da empresa.

Dessa maneira, o vídeo apresenta um comparativo da eficácia de um ataque Phishing em uma rede desprotegida e outra com tecnologia de segurança e proteção.

Quais perguntas devo fazer ao receber um e-mail assim?

golpe de e-mail falso

Bom, você já deve ter percebido que um e-mail de phishing pode passar despercebido facilmente por usuários leigos. Mas, para alívio de muitos empresários preocupados com esse tipo de acesso por parte dos funcionários, alguns cuidados simples, podem resolver vários problemas, como veremos a seguir.

  • O e-mail foi uma solicitação minha? Não abra anexos nem faça ações que não foram solicitadas por você.
  • Minha senha é forte e segura? Mantenha suas senhas sempre protegidas, tentando não utilizar a mesma senha para todos os locais, pois, caso você caia no golpe, todos os acessos estarão em posse dos criminosos.
  • O URL do site é condizente com o conteúdo ou empresa do e-mail? Em muitos casos de phishing, o endereço de e-mail pode parecer legítimo, mas a URL pode estar com erro de grafia ou o domínio pode ser diferente (.com quando deveria ser .gov). Isso geralmente denuncia na hora a utilização de phishing.
  • Faço as atualizações de segurança do navegador, computador e sistema? Atualizações trazem consigo melhores sistemas de proteção, em alguns casos, bloqueando o acesso à sites considerados nocivos.
  • Possuo um sistema de firewall e controle de acesso à internet na minha empresa? Utilizar sistemas de segurança, bloqueando o acesso à sites nocivos é uma forma “automática” de se manter protegido contra ataques deste tipo, sem a necessidade de treinamento ou cuidados em excesso.

Visto algumas formas de evitar cair em golpes deste tipo, podemos perceber que a maior parte das dicas envolve o comportamento correto e discernimento do usuário. Inclusive, em outro artigo aqui no blog falamos mais sobre a educação dos colaboradores em ataques deste tipo.

Não deixe a segurança de dados da sua empresa à merce dos criminosos cibernéticos.

Espero ter ajudado você a perceber a importância da proteção contra e-mails de phishing nas empresas.

Até a próxima!

 

A Semana da Segurança da Informação – Edição Nº27

Na edição Nº 27 da Semana da Segurança da Informação, hackers do bem, cibersegurança na organização, como evitar riscos escondidos em anúncios na internet, nome da Netflix é usado por hackers, dicas e recomendações para criar senhas fortes e seguras, golpes vindos de domínios legítimos e muito mais.


Notícias

Hackers do Bem protegem sistemas computacionais da Universidade

A Superintendência de Tecnologia da Informação (STI), em parceria com o Instituto de Matemática e Estatística (IME), criou o programa Hackers do Bem, uma iniciativa inédita da USP que tem como objetivo identificar as vulnerabilidades e recomendar correções no sistema computacional da Universidade.

Por Adriana Cruz em Jornal da USP

É possível um celular ser espionado sem nenhum aplicativo?

De modo geral, um celular só pode ser espionado de duas formas: com monitoramento de rede ou com alterações no funcionamento do aparelho.

Por Altieres Rohr em G1

Cibersegurança é um tabu na sua organização? Traga o tema para a mesa

As organizações precisam levar o tema para a alta liderança como um requisito de negócio.

Por João Rocha em Computerworld

O caminho da cibersegurança passa pela nuvem

Com organizações cada vez mais distribuídas, manter dispositivos em todos os locais ou usar produtos diferentes para trabalhadores remotos cria inúmeras brechas de segurança, além de custar muito e sobrecarregar os recursos de TI.

Por Felipe Canale em Convergência Digital

Saiba como evitar os riscos escondidos em anúncios da internet

Quem nunca ficou encucado com a ‘coincidência’ de anúncios que aparecem após pesquisar algum produto na internet? De acordo com o analista de sistemas e especialista em segurança da informação, Bruno Guerra, essa é uma das estratégias mais comuns que os aplicativos e redes sociais usam para gerar monetização diariamente.

Por Juliana Melo e Raquel Almeida em Infonet

Novo golpe, velho truque: nome da Netflix é utilizado por hackers

Mensagem por e-mail que alerta sobre ‘atraso no pagamento’ da plataforma de streaming vem sendo utilizada para levar usuários a fornecer seus dados de pagamento.

Por Renato Mota em Olhar Digital

Recomendações e dicas para criar senhas fortes e seguras

Com ações simples é possível aumentar a segurança das suas contas e garantir que não sejam facilmente descobertas por hackers que possam fazer uma má utilização dessas informações.

Por Cledison Eduardo Fritzen em Blog do Lumiun

Golpes para roubar credenciais vindos de domínios legítimos

Resumidamente o golpe se baseia no uso de serviços de hospedagem para evadir detecções automáticas e a utilização de marcas legítimas para aumentar a aparência de legitimidade da campanha, que tem como objetivo a obtenção de credenciais corporativas e do Office 365.

Por Arjun Sambamoorthy em Armorblox

Golpes através de contas clonadas do Instagram

Por que alguém poderia roubar e clonar uma conta do Instagram? Saiba como evitar ser vítima desse tipo de golpe.

Por Jake Moore em Welivesecurity

Pesquisadores alertam para domínios inativos que levam a páginas maliciosas

No mundo digital, ao registrar um domínio, você está pagando por um “terreno virtual” onde poderá construir seu site do jeito que quiser. Caso deixe de bancar, porém, ele se torna inativo e inacessível.

Por Ramon De Souza em Canaltech


Dicas de Ferramentas

Teste a Segurança da sua Internet

Você sabe se seus funcionários, alunos ou família estão protegidos contra sites de phishing, malware, pornografia, conteúdo de racismo ou terrorista?

segurança da informação

No teste serão feitas requisições de acessos a vários sites que estão dentro das categorias consideradas inseguras, a partir da sua conexão de internet, como:

  • Phishing e fraudes online
  • Malware e spyware
  • Anonimizadores de acesso
  • Drogas e bebidas alcoólicas
  • Jogos e apostas
  • Pornografia e nudez
  • Violência, terrorismo e racismo

Materiais

guia de home office
Powered by Rock Convert

Cursos

Cursos Abertos – ITS – Instituto de Tecnologia e Sociedade do Rio

  • Gratuitos
  • Online

Você ainda não está inscrito na nossa newsletter para receber esse conteúdo semanalmente no e-mail? Então se inscreva através do link abaixo:

https://conteudo.lumiun.com/semana-da-seguranca-da-informacao

Compartilhe o link com seus colegas e amigos.

A Semana da Segurança da Informação – Edição Nº26

Na edição Nº 26 da Semana da Segurança da Informação, teste a segurança da sua internet, relatório de ameaças às nuvens públicas, empresas podem ser invadidas por hackers em apenas 30 minutos, maior operadora de cruzeiros do mundo foi alvo de ataque, possível vírus no Android e muito mais.


Notícias

Relatório de Segurança da Check Point destaca ameaças às nuvens públicas

O relatório mostra que a segurança da nuvem pública continua a ser um dos maiores desafios: 75% dos entrevistados afirmaram estar “muito preocupados” ou “extremamente preocupados” com isso.

Em Infor Channel

93% das empresas podem ser invadidas por hackers em apenas 30 minutos

Hackers de nível básico podem invadir empresas e suas respectivas redes em apenas 30 minutos, fazendo-se valer de vulnerabilidades de softwares. 

Por Felipe Ribeiro em Canal Tech

Maior operadora de cruzeiros do mundo é alvo de ataques de ransomware

Carnival Corporation reconheceu que incidente pode ter afetado dados pessoais de clientes e funcionários; cibercriminosos fizeram download de arquivos dos sistemas da companhia.

Por Victor Pinheiro em Olhar Digital

Android pode pegar ‘vírus’ após conectar o celular ao computador?

Como você sabe que o seu celular está com vírus? Embora que o computador contamine um smartphone com vírus por meio da conexão USB, esse é um cenário bem raro.

Por Altieres Rohr em G1

Conheça duas falhas básicas que deixam empresas vulneráveis a ciberataques

Uso de senhas fracas e versões vulneráveis de softwares são os principais problemas apontados em relatório produzido por hackers éticos e pesquisadores científicos.

Em Olhar Digital

Como verificar a segurança do seu smartphone

Se você se preocupa com a segurança do seu smartphone, é essencial sempre se atualizar sobre as principais ameaças que são criadas para atingir dispositivos móveis.

Em 33 Giga

235 milhões de perfis são expostos a grande vazamento de dados

A equipe de pesquisa de segurança da Comparitech divulgou como um banco de dados inseguro deixou quase 235 milhões de perfis de usuários do Instagram, TikTok e YouTube expostos online, o que só pode ser descrito como um vazamento de dados massivo.

Por Maria Eduarda em Windows Team

Crimes cibernéticos: Como agir em caso de invasão e roubo de dados?

Crimes cibernéticos, um assunto que precisa estar presente e ser debatido no cotidiano, mas que ainda é pouco discutido, e principalmente, são poucas as empresas que sabem a importância de entender sobre esse assunto e manter a segurança para evitar invasão e roubo de dados.

Por Aléx de Oliveira em Blog do Lumiun


Dicas de Ferramentas

Teste a Segurança da sua Internet

Você sabe se seus funcionários, alunos ou família estão protegidos contra sites de phishingmalwarepornografia, conteúdo de racismo ou terrorista?

segurança da informação

No teste serão feitas requisições de acessos a vários sites que estão dentro das categorias consideradas inseguras, a partir da sua conexão de internet, como:

  • Phishing e fraudes online
  • Malware e spyware
  • Anonimizadores de acesso
  • Drogas e bebidas alcoólicas
  • Jogos e apostas
  • Pornografia e nudez
  • Violência, terrorismo e racismo

Materiais

guia de home office
Powered by Rock Convert

Vídeos

Webinar | Segurança da informação e privacidade conforme a ISO/IEC 27701:2019

https://www.youtube.com/watch?v=sZjkeyPElY8

Eventos

Treinamento em Segurança da Informação Organizacional

  • 26 de agosto de 2020, 17h – 18h
  • Evento on-line

Você ainda não está inscrito na nossa newsletter para receber esse conteúdo semanalmente no e-mail? Então se inscreva através do link abaixo:

https://conteudo.lumiun.com/semana-da-seguranca-da-informacao

Compartilhe o link com seus colegas e amigos.

A Semana da Segurança da Informação – Edição Nº10

E chegamos na décima edição da Semana da Segurança da Informação com muitas dicas de notícias, vídeos, eventos e materiais. Se você ainda não é assinante, assine agora a nossa newsletter para receber o material no seu e-mail.

Nesta edição Google libera uso gratuito do Meet, investimento em segurança de dados, prorrogação da LGPD, plano eficiente de combate ao ciberataque, celulares Xiaomi, Gifs maliciosos, videos sobre segurança da informação no trabalho remoto e regras básicas para segurança da informação.


Notícias

Google libera uso gratuito do Meet

Ferramenta de videoconferência poderá ser utilizada a partir do início de maio sem limite de tempo.

Por Luana Rosales em Baguete

Segurança de dados: investimento ou custo?

A pandemia do Covid-19 que atingiu em cheio a população mundial e praticamente todas empresas públicas e privadas. A partir daí, fomos obrigados a repensar as formas de trabalho e o relacionamento com clientes. Investir em tecnologia e cibersegurança voltou a ser palavra de ordem já que a forma de trabalhar também mudou.

Por José Masson Jr em O Bom da Notícia

Medida Provisória que prorroga a Lei Geral de Proteção de Dados Pessoais – LGPD

Lei passa a vigorar a partir de 3 de maio de 2021.

Em Diário Oficial da União

Empresas devem montar plano eficiente de combate ao ciberataque

Em momentos de desaceleração do mercado e mudanças globais, a área de segurança da informação segue demandando atenção constante.

Por Rafael Sampaio em IT Forum 365

Líderes de segurança do setor de saúde adotam novas medidas para conter ameaças da COVID-19

Desde o início da pandemia de coronavírus, a área de segurança da informação tem estado em uma situação constante de adaptação, em especial no setor de saúde, com os avanços do trabalho remoto. Hoje, além de gerenciar a proteção dos ativos digitais das organizações, os líderes de segurança precisam lidar com os obstáculos à continuidade do negócio.

Por Geraldo Bravo em The Hack

As 10 maiores fusões e aquisições do setor de cibersegurança em 2019

O ano passado foi marcado por transações de empresas que buscavam ampliar seu portfólio; como será o mercado de fusões e aquisições em 2020?

Por Dan Swinhoe, para a CSO Internacional

Celulares da Xiaomi estão espionando navegação de usuários, dizem especialistas

Pesquisadores descobriram que navegadores da Xiaomi “espionam” o usuário mesmo quando são executados em modo anônimo.

Por Felipe Junqueira em CanalTech

GIFs podiam ser usados para roubar contas no Microsoft Teams

Pesquisadores de segurança descobriram uma vulnerabilidade no serviço de videoconferência da Microsoft, que pode permitir que hackers sequestrem contas usando GIFs maliciosos.

Por Joel Khalili em Techradar

Boas práticas para uso do celular no ambiente de trabalho

A utilização do celular no ambiente de trabalho se tornou essencial nos dias de hoje. Com evolução constante os smartphones atuais são capazes de realizar tarefas com muito mais rapidez e eficiência que a maior parte dos computadores da década passada, ajudando e facilitando muitas tarefas no dia a dia empresarial.

Por Cledison Eduardo Fritzen em Blog do Lumiun


Vídeos

ISO 27001 e a Segurança da Informação no Trabalho Remoto

Novas perspectivas da privacidade, proteção de dados e segurança da informação

Segurança da Informação – Como proteger a sua empresa durante o home office?

Segurança da Informação no Teletrabalho – Regras Básicas


Eventos

HOME OFFICE Alinhado à LGPD – Lei Geral de Proteção de Dados Pessoais

  • 04 de maio de 2020, 20h-21h30
  • Evento online

Webinar: Tudo o que você precisa saber sobre a LGPD

  • Evento online
  • 06 de maio de 2020, 10h-12h

Vencendo a Crise com Tecnologia: A Importância do SST no combate ao COVID 19

  • 06 de maio de 2020, 16h-17h
  • Evento online

Você ainda não está inscrito na nossa newsletter para receber esse conteúdo semanalmente no e-mail? Então inscreva-se através do link abaixo:

https://materiais.lumiun.com/semana-da-seguranca-da-informacao

Compartilhe o link com seus colegas e amigos.

A Semana da Segurança da Informação – Edição Nº9

Nesta nona edição da Semana da Segurança da Informação como funcionam os e-mail de extorsão, alerta da FEBRABAN, ataques de malware, ransomware e “credential stuffing”, vídeos sobre a exploração do medo através do coronavírus e passos para criar cultura de cibersegurança na empresa.


Notícias

Ameaça de divulgação de vídeo íntimo, senha exposta e pagamento em Bitcoin: como funcionam os e-mails de extorsão?

Hacker afirma que obteve senha invadindo o smartphone ou computador da vítima, mas e-mail é falso e a ameaça não representa perigo.

Por Altieres Rohr em G1

FEBRABAN alerta para aumento de golpes durante a pandemia

Quadrilhas se aproveitam do aumento das transações digitais causado pelo isolamento social para aplicar golpes e capturar dados de clientes; um deles está relacionado ao auxílio emergencial criado pelo governo federal.

Em FEBRABAN

10 fatores que caracterizam um ótimo programa de cibersegurança

Quão forte é o seu programa de segurança? Esses dez indicadores ajudarão você a reconhecer a grandeza em sua própria organização e servirão de guia

Por Mary K. Pratt, para CSO internacional

Ataques hackers contra empresas cresceram 148% em março

A adoção repentina de regimes de home office e a dificuldade maior de aplicar medidas de segurança para funcionários que trabalham de casa levou a um aumento de 148% no número de ataques hackers contra empresas em março.

Por Felipe Demartini em CanalTech

Saiba os top 10 malware mais procurados no mundo

Ranking elaborado pela Check Point Research traz diversos alertas

Em ComputerWorld

Novo ransomware também rouba dados e coloca hospitais na mira

Hospitais, centros médicos e instituições de saúde são os alvos preferidos de uma nova categoria de ransomware, batizada de “dupla extorsão”.

Por Felipe Demartini em CanalTech

Brasil é o 4º país mais atacado por malware financeiro em 2019

Kaspersky revela que mais de um terço dos ataques financeiros em 2019 foi contra usuários corporativos

Em ComputerWorld

O que é “credential stuffing”? E como se proteger

Um total de 500 milhões de contas Zoom estão à venda na dark web graças ao “credential stuffing”.

Por Chris Hoffman em How-To Geek


Vídeos

[WEBINAR] Como cibercriminosos estão explorando o medo do coronavírus

Por André Luiz R. Silva em Blog da Axur

9 passos para criar cultura de cibersegurança com gamificação

Por Perallis Channel


Eventos

Workshop: Trabalho Remoto e Produtividade do Microsoft Teams

  • 28 de abril de 2020, 10h-10h40
  • Evento online

Home Office Decorrente da Covid-19: MP 927 e 936/20, LGPD, Segurança de Dados e Vulnerabilidade

  • 28 de abril de 2020, 16h-17h30
  • Evento online

Webinar Segurança na Internet – Para profissionais e estudantes

  • 29 de abril de 2020, 19h30-21h
  • Evento online

Material

Apresentação: VPN Empresarial

Faça download da apresentação VPN Empresarial. Novo recurso do Lumiun para aproximar os colaboradores externos.


Você ainda não está inscrito na nossa newsletter para receber esse conteúdo semanalmente no e-mail? Então inscreva-se através do link abaixo:

https://materiais.lumiun.com/semana-da-seguranca-da-informacao

Compartilhe o link com seus colegas e amigos.

Semana da Segurança da Informação – Edição Nº3

Nesta terceira edição da Semana da Segurança da Informação, política de gestão de dados, riscos de outros vírus com o home office, 40% das empresas brasileiras sem políticas de cibersegurança, ataques dirigidos a dispositivos móveis, falha no site “Galo na Veia”, vantagens da VPN para empresas e manual de utilização segura na internet.


Notícias

Por que é tão importante criar uma política de gestão de dados?

LGPD não vai impactar apenas área de tecnologia das empresas. Em um mundo cada vez mais interconectado, dados pessoais estão cada vez mais expostos.

Por Maximiliano de Carvalho Jácomo em CIO

Home office traz risco de outros vírus para as empresas. Saiba se proteger

Medidas básicas podem ser adotadas pelos funcionários para fortalecer a segurança digital dos sistemas da companhia.

Por Allan Gavioli em InfoMoney

Cerca de 40% das empresas brasileiras não têm políticas de cibersegurança estabelecidas

Pesquisa revela ainda riscos que empresas e funcionários estão expostos por não implementarem adequadamente medidas de proteção contra golpes online.

Em CIO

Como funcionam os ataques dirigidos a dispositivos móveis

Eset América Latina explica o funcionamento de ameaças em smartphones e tablets, desde os métodos mais comuns de distribuição até os mecanismos que se implementam para não serem detectados.

Em INFOR CHANNEL

Site do ‘Galo na Veia’ falha e vaza dados de usuários do sistema

A ferramenta, lançada na terça-feira, 10 de março, apresentou falhas, que foram relatadas por um torcedor, que recebeu apoio até de Alexandre Kalil.

Em Terra

Ciberataques: corrida contra o tempo

Esta reportagem dá conta de que o ritmo e sofisticação de ataques cibernéticos crescem, enquanto empresas brasileiras são alvo prioritário de hackers. Cenário ameaçador e proximidade da LGPD aumentam cobrança sobre fornecedores, que também enxergam oportunidades de negócio.

Por Marcelo Gimenez Vieira em INFOR CHANNEL

Vantagens da Rede Virtual Privada (VPN) para empresas

Neste artigo, você vai conhecer o que é rede virtual privada (VPN), como funciona e quais as vantagens e benefícios da VPN para empresas.

Por Aléx de Oliveira em Blog do Lumiun


E-book

Manual de utilização segura da internet para profissionais e empresas – Versão 2

No material é abordado as principais formas de utilização da internet e como se proteger em cada caso. Também são mostrados quais os tipos de conexão existentes e como identificar ameaças na rede.


Vídeos

Conceitos Indispensáveis da Segurança da Informação

Segurança da Informação para Concursos: Prof. Jósis Alves


Você ainda não está inscrito na nossa newsletter para receber esse conteúdo semanalmente no e-mail? Então inscreva-se através do link abaixo:

https://materiais.lumiun.com/semana-da-seguranca-da-informacao

Compartilhe o link com seus colegas e amigos.

Tendências de segurança da informação para 2018 e como ficar protegido

O ano de 2017 ficou marcado por muitos acontecimentos no mundo da segurança da informação. Tivemos o enfático 12 de maio e os ataques de Ransomware com o WannaCrypt, onde milhares de empresas e organizações de todo o mundo foram afetadas, além de várias outras ondas de ataques a nível mundial.

Esses acontecimentos mostraram o quanto o mundo corporativo está vulnerável em relação a segurança da informação e reafirmaram a necessidade de investimentos em prevenção contra ataques virtuais e proteção de dados corporativos. Infelizmente o tema Segurança da Informação ainda não é prioridade e a maioria das empresas não possui políticas para utilização da tecnologia e internet, procedimentos de prevenção e controles eficientes para gerir vulnerabilidades e atenuar riscos e prejuízos em caso de ataques.

A sequência de ataques ressalta que o mercado também deve considerar a expansão do cibercrime, em especial em forma de Ransomware, que, com a utilização de criptomoedas para movimentações financeiras, dificulta o rastreio e identificação dos criminosos.

É claro que, com os incidentes de segurança e prejuízos financeiros causados, muitas lições já foram aprendidas e até mesmo comprovadas. A principal é que nenhuma empresa está 100% segura, já que as formas de ataquem mudam constantemente e as vulnerabilidades estão nos mais variados pontos, como por exemplo os próprios usuários. Outra lição é sobre a importância das informações das empresas e a necessidade de proteção dos dados, independentemente do tamanho das organizações, grandes corporações e pequenas empresas podem ter prejuízos enormes ou simplesmente deixar de operar sem acesso aos dados e sistemas do seu negócio.

Esse cenário também não é novidade, organizações e empresas da área reforçam de forma permanente a necessidade de se dar maior atenção a cibersegurança. E criar políticas que possam prevenir incidentes, orientar usuários e proteger infraestruturas e informações corporativas é muito mais que uma tendência, atualmente é uma urgência.

Felizmente algumas mudanças estão sendo percebidas e ganharão força em 2018, segundo o Gartner o investimento em segurança da informação crescerá 8% nesse ano. Como tendência se destaca a necessidade de medidas continuadas de prevenção, acompanhando a evolução dos riscos e formas de ataques. Não basta investimento em infraestrutura ou sistemas de segurança, sem acompanhamento e atualização mensal e até diária, qualquer solução pode se tornar ineficiente ou obsoleta em poucos dias.

Embora seja praticamente impossível ficar totalmente protegido, com um planejamento adequado e medidas devidamente bem executadas, é possível se prevenir de muitos problemas. Para auxiliar nesse planejamento listamos alguns pontos e tendências que a sua empresa deve direcionar atenção e investimentos em relação a segurança da informação:

Comece orientando os usuários

Em pesquisa realizada pela PWC constatou-se que 41% dos incidentes de segurança no Brasil tem origem nos próprios colaboradores da empresa, acima da média mundial que é de 35%. Outra pesquisa realizada pela Intel mostrou que somente 3% dos usuários são capazes de identificar um ataque de phishing.

Com a falta de conhecimento e atenção dos usuários, praticamente 4 em cada 10 incidentes ocorre a partir do mau uso dos recursos de tecnologia e internet por parte dos usuários. Por exemplo, clicando em mensagens de e-mail falsas ou links desconhecidos em sites duvidosos da rede, um erro simples como esse pode abrir a porta para instalação de vírus ou Ransomware na rede da empresa.

Por isso orientar e treinar os usuários para que consigam identificar riscos e utilizem a internet de forma segura, é fundamental. Os usuários também precisam entender da sua responsabilidade em relação ao uso da tecnologia e prejuízos causados por possíveis incidentes, dessa forma irão utilizar os recursos de maneira mais responsável no ambiente corporativo.

Sistemas de segurança e antivírus (sempre atualizados)

Um bom sistema de antivírus é uma das formas mais eficaz de prevenir e combater ataques contra a rede corporativa e informações da empresa. Para uma proteção mais confiável, o recomendado é adquirir um bom sistema de antivírus, que tenha suporte técnico disponível e atualizações diárias.

Para atuação em nível de rede, também é recomendado possuir um sistema de firewall na rede corporativa, onde é possível criar bloqueios entre a internet e a rede interna da empresa. Da mesma forma é importante manter esses sistemas devidamente atualizados para que consigam barrar ataques que surgem diariamente em diferentes formatos.

Política para uso dos recursos de tecnologia

Hoje em dia a utilização da tecnologia e internet faz parte do cotidiano dos colaboradores no ambiente de trabalho, com o uso dos computadores, smartphones, sistemas gerenciais, e-mails, navegação na internet e tantas outras atividades.

Como a tecnologia e a internet são muito amplas e estão tão presentes, é necessário definir de que forma esses recursos podem ser usados no ambiente de trabalho. Por exemplo, usar um pendrive pessoal com vírus na empresa pode contaminar toda a rede, e acessar sites de jogos ou pornografia no trabalho, que geralmente contém links para sites nocivos, pode abrir uma porta para ataques virtuais.

Gestão e controle do uso da internet

A internet é a principal porta de entrada para incidentes e falhas de segurança, que podem ocorrer de inúmeras formas. Por exemplo, não é raro um usuário clicar em um link de uma mensagem falsa no e-mail corporativo, que irá direcioná-lo para um site nocivo na rede, que por sua vez irá instalar (de forma oculta) um vírus na máquina do usuário. Com o vírus instalado e combinado a outras vulnerabilidades, como a utilização de senhas fracas, é possível ter acesso a rede interna da empresa, servidores e dados corporativos. Essa é a mecânica da maioria dos ataques virtuais.

Considerando o exemplo, seria possível evitar o acesso a sites nocivos na internet através de ferramentas de controle de navegação, que possam identificar esses riscos.

Em relação ao uso da internet, também é importante orientar os usuários sobre os riscos da rede, qualquer erro ou falta de atenção pode tornar a empresa vulnerável a ataques. Para isso pode-se criar um documento conteúdo orientações e diretrizes sobre o uso da internet, informando a política da empresa em relação ao uso da rede.

Política de senhas seguras

Estima-se que 90% das senhas são vulneráveis e poderiam ser descobertas com facilidade por sistemas especializados.

Considerando que a senha é o principal recurso para comprovar a autenticidade de um usuário e proteger o acesso em sistemas de bancos, sistemas gerenciais, contas de e-mail, redes sociais e tantos outros sistemas, é muito importante seguir algumas dicas e recomendações na criação e gerenciamento de senhas.

Backup de dados

Manter uma (ou mais) cópia(s) de todos os dados da empresa é fundamental. Tente imaginar sua empresa sofrer algum tipo de ataque ou perder todos dados corporativos de alguma forma (planilhas, banco de dados de sistemas, dados de cliente e vendas, e-mails etc.), com certeza os prejuízos são imensos.

Infelizmente milhares de empresas no Brasil já passaram por essa situação com ataques de Ransomware (sequestro de dados). Se sua empresa não possuir cópia das informações, pode ficar na mão dos criminosos, tendo que pagar para ter acesso aos dados, sem garantias de que os dados serão resgatados com integridade.

Hoje em dia com recursos em nuvem manter cópias atualizadas se tornou bastante acessível e prático. Veja alguns pontos que devem ser avaliados para uma boa política de backups:

  • periodicidade: mensal, semanal, diário, a cada hora?
  • tempo de armazenamento: guardar cópias semanais por 10 semanas, cópias diárias por 30 dias?
  • nível de cada backup: integral, diferencial, incremental?
  • mídia ou local de armazenamento: em nuvem, HDs externo, fitas?
  • origem dos dados: arquivos, planilhas, documentos, bancos de dados, e-mails?

Como já foi dito, não há uma maneira de garantir 100% de proteção contra os riscos da rede. Mas com algumas medidas preventivas como as mencionadas acima, é possível prevenir incidentes e evitar problemas como perda de dados do negócio.

Por fim, não deixe de dar a devida atenção à segurança da informação na sua empresa, os riscos são muito altos, os prejuízos podem ser elevados e os criminosos estão cada vez mais ativos e audaciosos.