Veja 6 novos ataques cibernéticos que surgiram em 2020

Novos ataques cibernéticos orquestrados por hackers ainda vão dar muita dor de cabeça para empreendedores e profissionais responsáveis pela segurança de dados das empresas.

Muitas empresas de segurança tem divulgado dados sobre o aumento de ataques cibernéticos à empresas no Brasil, e isso não é nenhuma novidade para os empresários.

Esse aumento de ataques se deve ao fato de diferentes setores empresariais habilitarem o trabalho remoto para toda ou parte da equipe. Os criminosos perceberam a vulnerabilidade das redes domésticas, a falta de controle dos empresários e também, o uso de dispositivos particulares com grau de proteção menor que os usados nas empresas.

Embora a empresa tenha disponibilizado uma estação de trabalho remota, há quem utilize um smartphone pessoal para acessar arquivos internos, responder e-mails ou interagir por meio de aplicativos de produtividade adotados pela companhia.

Isso abre espaço para vulnerabilidades, e caso a equipe remota não tenha treinamento sobre práticas de segurança na internet, uma invasão aos sistemas internos da empresa pode (facilmente) acontecer.

Essa probabilidade pode ser multiplicada neste momento, pois constantemente hackers têm adotado novos métodos de ataque, adaptando-as para contextos atuais durante a pandemia.

A seguir, você vai conhecer alguns ataques cibernéticos que estão em ascensão e alguns que surgiram a pouco tempo.

1. Aplicativos sobre a pandemia

aplicativos pandemia

Com o anúncio do auxílio emergencial no Brasil, diversos aplicativos em nome da Caixa Econômica Federal surgiram. Foram mais de 60 sites e aplicações falsas, desenvolvidos em um mês apenas, com o objetivo de furtar os dados do usuário, ou o próprio benefício.

Além disso, empresas como Google e Apple, desenvolveram aplicativos de rastreamento para identificar pessoas que estiveram próximas a outra infectada pelo vírus. Porém, os hackers desenvolveram 12 aplicativos maliciosos que prometiam a mesma funcionalidade, porém, serviam apenas para baixar um malware nos dispositivos dos usuários.

2. Sites sobre COVID-19

novos ataques cibernéticos

O número de pesquisas na internet sobre informações sobre a COVID-19 é gigantesco. Este fato se tornou uma oportunidade para os cibercriminosos. Segundo a Palo Alto Networks, foram criados 86 mil domínios com palavras-chave relacionadas à pandemia. Estes apenas considerados de “alto risco” ou “maliciosos”, sem contabilizar os demais com conteúdo legítimo.

Lembrando, que os melhores canais para se informar sobre dados do coronavírus são os veículos de imprensa tradicionais e governamentais, como o Ministério da Saúde.

3. Golpes de doação

novos ataques cibernéticos

Com grandes quebras financeiras em muitas regiões devido ao fechamento de grande parte do comércio no início da pandemia, o envio de e-mails com pedidos de doações para organizações de saúde e outras entidades na linha de frente do combate ao novo coronavírus, foi intensificada.

O problema é que estas organizações (falsas), tinham suas marcas falsificadas pelos golpistas, facilitando o objetivo de enganar o usuário leigo que recebeu este tipo de e-mail.

Em meio à pandemia, o movimento Black Lives Matter se tornou alvo de golpistas, que dispararam vários e-mails para diferentes públicos em nome da iniciativa.

4. Spear-Phishing

novos ataques cibernéticos

Com poucos casos registrados, este ataque é relativamente novo na internet, e como o nome já denuncia, é muito parecido com o ataque de Phishing, que falamos bastante aqui no blog da Lumiun.

Se no phishing existem disparos em massa de e-mails de forma genérica, tentando atingir o máximo de usuários possíveis, o spear-phishing traz uma complexidade maior, pois, é um ataque direcionado a uma pessoa ou instituição.

Com técnicas e informações mais elaboradas, esse tipo de ameaça cibernética vai disparar e-mails que vão parecer legítimos na tentativa de enganá-lo. Inclusive, à pouco tempo, a OMS sofreu uma tentativa de ataque desse tipo.

Escrevemos com mais detalhes sobre o Spear Phishing em outro artigo aqui no blog.

5. Vishing

novos ataques cibernéticos

Este tipo de ataque não surgiu este ano, mas, retomou suas tentativas de sucesso e ganhou força desde que o trabalho remoto começou a ser implantado nas empresas.

Na prática, antes mesmo do e-mail, o uso de voz era bem comum na tentativa de roubar informações de alguém, e é exatamente assim este ataque. Os criminosos fingem ser do suporte técnico da companhia para convencer os funcionários a divulgar login e senha ou inseri-los em um site falso.

O usuário em home office, com pouco ou nenhum contato com o suporte técnico, tem mais dificuldade de verificar a veracidade da solicitação e acaba passando os dados requisitados pelo criminoso.

6. Currículos maliciosos

novos ataques cibernéticos

Um tanto peculiar, esta ameaça tem se tornado comum no momento. O desemprego em quase todos os países aumentou devido a pandemia, e consigo, o envio de formulários, currículos e licenças médicas para o e-mail das empresas.

O ataque carrega no arquivo em formato Word ou em planilha Excel, um malware, que faz o roubo de dados de diversas formas.

Este tipo de cibe crime pode ser intensificado nos próximos meses com a volta de abertura total das empresas, retomando a necessidade de contratação de mais integrantes na equipe.

Como se proteger?

Como já falamos em outros artigos em nosso blog, o principal canal de entrada para ataques cibernéticos são usuários com pouco ou nenhum entendimento sobre segurança de dados, dentro e fora das empresas. Porém, muitos dos ataques poderiam ter sido evitados com medidas básicas de segurança, como as listadas no artigo sobre segurança da informação nas empresas: proteção da rede, sistemas atualizados e educação dos usuários, que você pode ler em nosso blog quando quiser.

Mas, como sabemos, usuários e funcionários, em sua grande maioria, tendem a não se preocupar com processos e regras relacionadas à segurança da informação. Neste momento, muitos empresários se perguntam de que forma seria possível automatizar o processo de controle de acesso à sites considerados nocivos e maliciosos. A resposta ideal é: controle de acesso à internet para empresas.

No mercado existem algumas soluções como DNS Filter, Open DNS e o Lumiun. Entre as citadas, apenas o Lumiun é uma solução brasileira, com suporte 100% no idioma português e com pagamento em moeda local. Identificando o crescimento vertical do valor do dólar, é interessante para as empresas fazer pagamentos de valor fixo em moeda local por ferramentas de segurança de dados para empresas.

Além disso, com o Lumiun, gestores e empresários tem a possibilidade de:

  • Fazer o controle de acesso à internet por usuário
  • Definir bloqueio e filtros de acesso específicos por grupo
  • Liberar ou bloquear o acesso por categorias
  • Liberação de acesso por horários
  • Visualizar os site acessados, categoria que estes pertencem, data e horário do acesso
  • Visualizar em tempo real do que é acessado por usuário ou equipamento
  • Proteger a rede da empresa contra sites nocivos e fazer a redução de problemas com vírus, malware e ransomware
  • Fazer o acesso remoto seguro usando a VPN Empresarial do Lumiun
  • Além de muitas outras funcionalidades

Em conjunto as funcionalidades a facilidade no gerenciamento e instalação do serviço é um dos principais atrativos.

Para finalizar

Conscientizar empresas à introduzir medidas para evitar ataques cibernéticos é um dos principais objetivos deste artigo.

Para facilitar mais ainda que este processo seja identificado como importante, disponibilizamos um teste de segurança da sua internet. É rápido e prático.

No teste serão feitas requisições de acessos a vários sites que estão dentro das categorias consideradas inseguras.

A partir da sua conexão de internet, serão verificados tipos de sites como: phishing e fraudes online, malware e spyware, pornografia e nudez, entre outros.

Findando este artigo, espero ter ajudado você e sua empresa a perceber a importância do tema e também, os perigos que podem ser encontrados na internet.

Até a próxima!

Como funciona o golpe de e-mail falso?

Um dos métodos mais efetivos utilizados por hackers é o golpe de e-mail falso. Sabendo sobre a inocência de muitos usuários, este tipo de ataque malicioso se propaga na internet de forma bastante eficaz.

De acordo com dados do relatório de atividade criminosa online no Brasil divulgado pela Axur, o Brasil bateu recorde de ataques já no primeiro trimestre de 2020. Foram 10.910 casos únicos de phishing no período de 1º de janeiro a 31 de março no país. Esse dado representa um aumento de 238,82% se comparado com o mesmo período de 2019, quando foram detectados 3.220 casos.

Mas, nada de pânico. Existem diversas formas de identificar e-mails falsos e proteger os dados da sua empresa, e é sobre isso que iremos falar a seguir.

O que é um e-mail falso (phishing)?

golpe de e-mail falso

Normalmente, um e-mail com mensagem fraudulenta, utilizando uma forma de comunicação intimidadora e contendo links e informações na tentativa de imitar grandes empresas (normalmente bancos), se enquadram como phishing.

E-mails deste tipo, afirmam que a falta de uma ação resultará no bloqueio da conta do destinatário do e-mail.

A ação por sua vez, normalmente é feita dentro de um site (falso) disponibilizado para acesso no próprio e-mail enviado pelo criminoso, e, tem a aparência idêntica ao site verdadeiro.

Por possuir um conteúdo que gera interesse em “resolver” um grande problema da vítima e também, possuir uma aparência extremamente parecida com a verdadeira, é que esse tipo de ataque tem tanto sucesso.

Como é o e-mail de phishing?

golpe de e-mail falso

Com o objetivo de enganar os usuários de internet, por meio de mensagens falsas na tentativa de roubar informações sigilosas, como senhas de acesso, dados de cartão de crédito ou pagamento de boletos fraudulentos, o site de destino do ataque normalmente é muito bem estruturado.

Idêntico ao verdadeiro no cabeçalho, botões, cores e logotipo, tudo exatamente igual ao original.

Na imagem abaixo, há um exemplo de e-mail de phishing supostamente do banco Itaú, solicitando a sincronização do dispositivo de segurança.

Perceba que o texto inicial cria um senso de urgência para que você acesse o link mais abaixo. Veja também, que o link de destino não faz referência nenhuma ao banco Itaú.

No vídeo abaixo demonstramos o funcionamento de um phishing recebido por e-mail, que se faz passar pelo serviço de pagamentos PagSeguro com objetivo de roubar dados de acesso da vítima. Primeiro é demonstrado o acesso ao site de phishing sem proteção. Depois é demonstrada uma tentativa de acesso ao site de phishing porém com a proteção de um sistema de controle de acesso à internet ativa na rede da empresa.

Dessa maneira, o vídeo apresenta um comparativo da eficácia de um ataque Phishing em uma rede desprotegida e outra com tecnologia de segurança e proteção.

Quais perguntas devo fazer ao receber um e-mail assim?

golpe de e-mail falso

Bom, você já deve ter percebido que um e-mail de phishing pode passar despercebido facilmente por usuários leigos. Mas, para alívio de muitos empresários preocupados com esse tipo de acesso por parte dos funcionários, alguns cuidados simples, podem resolver vários problemas, como veremos a seguir.

  • O e-mail foi uma solicitação minha? Não abra anexos nem faça ações que não foram solicitadas por você.
  • Minha senha é forte e segura? Mantenha suas senhas sempre protegidas, tentando não utilizar a mesma senha para todos os locais, pois, caso você caia no golpe, todos os acessos estarão em posse dos criminosos.
  • O URL do site é condizente com o conteúdo ou empresa do e-mail? Em muitos casos de phishing, o endereço de e-mail pode parecer legítimo, mas a URL pode estar com erro de grafia ou o domínio pode ser diferente (.com quando deveria ser .gov). Isso geralmente denuncia na hora a utilização de phishing.
  • Faço as atualizações de segurança do navegador, computador e sistema? Atualizações trazem consigo melhores sistemas de proteção, em alguns casos, bloqueando o acesso à sites considerados nocivos.
  • Possuo um sistema de firewall e controle de acesso à internet na minha empresa? Utilizar sistemas de segurança, bloqueando o acesso à sites nocivos é uma forma “automática” de se manter protegido contra ataques deste tipo, sem a necessidade de treinamento ou cuidados em excesso.

Visto algumas formas de evitar cair em golpes deste tipo, podemos perceber que a maior parte das dicas envolve o comportamento correto e discernimento do usuário. Inclusive, em outro artigo aqui no blog falamos mais sobre a educação dos colaboradores em ataques deste tipo.

Não deixe a segurança de dados da sua empresa à merce dos criminosos cibernéticos.

Espero ter ajudado você a perceber a importância da proteção contra e-mails de phishing nas empresas.

Até a próxima!

 

A Semana da Segurança da Informação – Edição Nº29

Na edição Nº 29 da Semana da Segurança da Informação, inteligência artificial ajuda a te proteger de fraudes, pandemia acentua falhas de segurança, 8 tipos de ataques cibernéticos e como se proteger, empresas brasileiras já sofreram ataques cibernéticos em 2020 e muito mais.


Notícias

Golpes envolvendo educação online crescem incríveis 20.000% no 1º semestre

O Brasil foi o quinto país mais atacado por campanhas dessa categoria, voltadas para roubar dados, interromper os trabalhos ou infectar dispositivos.

Por Felipe Demartini em Canaltech

IA identifica até a velocidade da sua digitação para te proteger de fraudes

Agora as tecnologias da segurança da informação passam por uma “quarta revolução” com a biometria comportamental.

Por Vinícius de Melo em Uol

Pandemia acentua falhas em proteção de privacidade dos usuários

Segundo a Kaspersky, entre fevereiro e abril, ataques direcionados a ferramentas que permitem acesso remoto aumentaram 333%.

Em TI Inside

8 tipos de ataques cibernéticos e como se proteger

Se você, gestor, empresário, ou profissional de TI quer manter sua empresa livre de qualquer ameaça hacker, o primeiro passo é saber como agem, e quais os principais tipos de ataques existentes hoje.

Por Kelvin Zimmer em Blog do Lumiun

Ransomware e phishing lideram golpes mais populares no segundo trimestre de 2020

De acordo com dados publicados pela ESET, ataques envolvendo ransomware e tentativas de phishing foram os principais destaques do período, com os criminosos se aproveitando das preocupações relacionadas à doença e do estado de isolamento social e home office para roubar dados sigilosos.

Por Felipe Demartini em Canaltech

Ataques usando a Covid-19 como desculpa foram as principais ameaças do segundo trimestre deste ano, aponta relatório da ESET

Além disso, pesquisadores também identificaram um aumento no número de campanhas de phishing e de falhas em protocolos de segurança remotos.

Por Manuel Quilarque em Segs

350 empresas brasileiras já vazaram dados de usuários na internet em 2020

Esse movimento refletiu na plataforma, que, em seis meses, conta com a participação de mais de 2.000 especialistas em segurança e já identificou mais de 350 vulnerabilidades em empresas brasileiras.

Por Léo Müller em Tecmundo

Segurança da informação nas empresas: proteção da rede, sistemas atualizados e educação dos usuários

Devido aos riscos gerados por ataques e pelos números de incidentes com segurança da informação, dar a devida atenção a esse tema deve fazer parte da estratégia dos gestores e responsáveis por setores de tecnologia nas empresas.

Por Cledison Eduardo Fritzen em Blog do Lumiun


Dicas de Ferramentas

Teste a Segurança da sua Internet

Você sabe se seus funcionários, alunos ou família estão protegidos contra sites de phishing, malware, pornografia, conteúdo de racismo ou terrorista?

segurança da informação

No teste serão feitas requisições de acessos a vários sites que estão dentro das categorias consideradas inseguras, a partir da sua conexão de internet, como:

  • Phishing e fraudes online
  • Malware e spyware
  • Anonimizadores de acesso
  • Drogas e bebidas alcoólicas
  • Jogos e apostas
  • Pornografia e nudez
  • Violência, terrorismo e racismo

Materiais

Powered by Rock Convert

Eventos

Webinar | Segurança da informação e privacidade conforme a ISO/IEC 27701:2019

  • 5 de setembro de 2020, 19h – 20h
  • Evento online

Você ainda não está inscrito na nossa newsletter para receber esse conteúdo semanalmente no e-mail? Então se inscreva através do link abaixo:

https://conteudo.lumiun.com/semana-da-seguranca-da-informacao

Compartilhe o link com seus colegas e amigos.

8 tipos de ataques cibernéticos e como se proteger

BÔNUS: Ao final desse artigo, disponibilizamos um Infográfico com 8 tipos de ataques cibernéticos, para download totalmente gratuito.

Vivemos na era digital e todos sabemos que a tecnologia não espera adaptações. Junto com ela, a segurança cibernética não disponibiliza tempo de espera. É sempre bom reforçar que na internet devemos ter muito cuidado.

A segurança da informação vem sendo difundida como estratégia de contingência, principalmente no ano em que este cenário se tornou muito favorável para os criminosos cibernéticos com o home office.

Se você, gestor, empresário, ou profissional de TI quer manter sua empresa livre de qualquer ameaça hacker, o primeiro passo é saber como agem, e quais os principais tipos de ataques existentes hoje.

Nas próximas linhas, citamos alguns dos principais ataques e algumas variações que vem sendo aprimoradas nos últimos meses.

1. DDoS Attack

O objetivo principal deste ataque, traduzindo para “Navegação Atribuída de Serviço”, é sobrecarregar as atividades do servidor, provocando lentidão no sistema e tornando os sites e acessos indisponíveis.

Como muitos profissionais estão mais conectados por causa do isolamento social, este tipo de ataque, se for bem distribuído, pode passar despercebido pela segurança. Um ataque DDoS é uma das maiores ameaças ao funcionamento pleno dos sistemas de uma empresa..

Em fevereiro deste ano, a empresa Bitfinex sofreu um ataque DDoS, veja na notícia mais informações.

2. Port Scanning Attack

Se existe alguma vulnerabilidade no sistema da empresa, este malware faz uma busca no servidor na tentativa de encontrar esta vulnerabilidade. Caso consiga encontrar a brecha de segurança no servidor da empresa, rouba informações e dados a fim de danificar o sistema ou sequestrar os dados.

O portal SempreUpdate disponibilizou um estudo sobre as 3 portas mais vulneráveis nas empresas.

3. Ransomware

Muito difundido como “sequestro de dados”, o ransomware bloqueia o acesso a todos os arquivos do servidor atacado, e são liberados somente após o pagamento de uma quantia em dinheiro (normalmente bitcoins) e o valor do “resgate” é determinado pelo sequestrador.

Com uma maior vulnerabilidade de segurança das empresas, vinda da rápida e necessária migração para home office, o aumento desse tipo de ataque é evidente.

Um bom exemplo de ataque do tipo ransomware foi o ataque recente à Honda Motor. A empresa de automóveis multinacional suspendeu sua produção até resolver o problema de segurança.

4. Cavalo de Troia

Popular na internet, este malware só funciona com “autorização” do usuário. De forma simples, o indivíduo executa algum anexo de e-mail de remetente suspeito ou desconhecido, ou então, executou algum download suspeito, contendo o vírus camuflado.

Existem inúmeros objetivos no ataque com Cavalo de Troia. Entre eles estão, roubar informações pessoais e interromper funções no computador.

O portal Computerworld listou alguns dos maiores vírus do tipo cavalo de troia da história.

5. Ataques de força bruta

Imagine que para abrir um cadeado com código numérico, você terá que tentar todas as combinações possíveis. Parece demorado né? Mas no mundo digital isso pode ser feito bem rápido. Um Ataque de Força Bruta furta contas através de diversas tentativas de combinações de usuário e senha em pouquíssimo tempo.

Em posse destas informações, o criminoso poderá enviar diversas mensagens com remetente conhecido do usuário com conteúdo como phishing e spam, solicitando depósitos, transferências, senhas de acesso e muitas outras informações delicadas.

Segundo a Kaspersky, empresa referência em softwares de segurança, os números de ataque de força bruta à empresas, cresceu 333% em dois meses.

6. Phishing

Geralmente realizado por e-mail, o Phishing é um ataque virtual no qual os hackers levam os usuários a revelarem informações sigilosas, incluindo senhas, dados bancários e CPF.

O ataque normalmente é bem construído e leva o usuário à uma página idêntica à página verdadeira, de agência bancária, por exemplo.

Como o nome sugere, os hackers “pescam” os dados dos usuários, lançando uma “isca” para enganá-los.

É um dos ataques mais comuns e que têm mais sucesso nas tentativas.

Segundo uma nova pesquisa da empresa de segurança alemã HSB e publicado em nosso blog, quase metade dos funcionários que receberam e-mails de phishing(47%) responderam transferindo fundos da empresa, causando perdas na faixa de US$ 50.000 a US$ 100.000, mais de meio milhão de reais na cotação atual.

7. Cryptojacking

Este crime virtual usa o computador ou qualquer outro dispositivo conectado à internet, para fazer mineração de criptomoedas.

De maneira geral, o ataque envolve a disseminação de um tipo de malware que se instala nas máquinas das vítimas, explorando a capacidade e os recursos do computador para a geração de moedas.

Normalmente a vítima leiga nem percebe, salvos casos onde a lentidão de navegação e desempenho do computador é realmente notável.

O Uol noticiou que em 2018 mais de Mais de 4 mil sites em todo o mundo, incluindo páginas dos governos dos Estados Unidos, Reino Unido e Austrália, foram afetados por um programa malicioso para mineração de criptomoedas.

8. ZeroDay

Ou “dia zero”, é um ataque buscando falhas de segurança em programas ou aplicativos recém lançados, explorando brechas e bugs antes que elas sejam corrigidas.

É um ataque um pouco menos comum, pois é específico à lançamentos de novidades no meio digital, mas, para quem trabalha com desenvolvimento, é algo bem cotidiano.

Um bom exemplo deste ataque, foi a Microsoft que corrigiu 113 falhas de segurança este ano na ultima atualização do sistema operacional, 14 das quais foram listadas como críticas e três delas foram ativamente exploradas em ataques recentes.

10 dicas para se proteger de qualquer tipo de ataque

ataques cibernéticos

Podemos dizer que a porta de entrada principal dos ataques está relacionada às atitudes dos próprios usuários no uso dos computadores. Nesse sentido, valem medidas básicas de segurança, como educação aos usuários e treinamento adequado, fortalecendo o ponto mais frágil da segurança de dados nas empresas.

Para ajudar empresas, listamos abaixo algumas dicas para se proteger da maior parte dos ataques cibernéticos:

  1. E-mails com ofertas surpreendentes e megalomaníacas devem despertar a atenção, pois podem estar camufladas com malwares.
  2. Instalar o bom e básico anti-vírus, escolhendo um software de preferência pago e que ofereça proteção completa para seu sistema, de acordo com a necessidade.
  3. Manter sistemas operacionais e softwares sempre atualizados. Lembre-se que versões antigas estão mais vulneráveis a sofrer ciberataques.
  4. É essencial manter um bom firewall sempre ativo, evitando sofrer ataques de vários dos ataques citados acima.
  5. Manter senhas fortes e seguras. Faça uma mudança periódica das suas senhas e evite gravá-las em computadores onde há alta rotatividade de usuários.
  6. Faça backup regular e correto dos seus arquivos. Manter sempre uma cópia atualizada de todos os seus dados é imprescindível e vai facilitar muita coisa caso você sofra um ataque.
  7. Para equipes em home office fazendo acesso remoto, é indispensável o uso de uma conexão VPN para que todos esses acessos aos dados sensíveis da empresa estejam seguros e controlados.
  8. Faça o bloqueio de acesso à sites e aplicações fora do escopo de trabalho, evitando acesso à sites que normalmente carregam grandes chances de infecção e ataques cibernéticos.
  9. Faça um teste de vulnerabilidade da sua rede de internet. Dessa forma é possível identificar quais são os pontos mais frágeis da sua proteção contra ataques cibernéticos.
  10. Tenha soluções e ferramentas para o setor de TI sempre atualizadas e condizentes com as necessidades da empresa, facilitando processos e identificando problemas da forma mais automatizada possível, tornando o tempo do profissional responsável mais otimizado, eliminando tarefas de baixa importância e priorizando as de grande importância, como a segurança de dados.

Infográfico: 8 tipos de ataques cibernéticos

Para ajudar a compreender e identificar as características de cada tipo de ataque cibernético, criamos um infográfico que reúne informações relevantes sobre os 8 tipos de ataques citados no artigo. Faça o download gratuito clicando na imagem abaixo. Você pode compartilhar com colegas e amigos e difundir a importância da proteção de dados.

Powered by Rock Convert

Conclusão

Por fim, vale a pena destacar que empresários e gestores de todos os segmentos devem estar cientes que o maior artifício utilizado pelos hacker é o desconhecimento e o descuido dos usuários, utilizando brechas de segurança e identificando vulnerabilidades para retirar dados e recursos da empresa.

Nesse cenário, é fundamental investir em medidas preventivas que envolvam funcionários, tecnologias e o correto gerenciamento das ações para criar uma cultura de segurança da informação nas empresas e evitar ataques cibernéticos.

Espero ter ajudado você e sua empresa a identificar quais são os perigos na internet e como evitar alguns destes ataques da forma mais fácil possível.

Até a próxima!

Segurança da informação nas empresas: proteção da rede, sistemas atualizados e educação dos usuários

Devido aos riscos gerados por ataques e pelos números de incidentes com segurança da informação, dar a devida atenção a esse tema deve fazer parte da estratégia dos gestores e responsáveis por setores de tecnologia nas empresas.

A edição semestral do Relatório de Ameaças Cibernéticas 2020 da SonicWall, traz dados preocupantes em relação ao número de malwares, ataques de Ransomware e demais ameaças existentes. De acordo com o relatório, foram registrados quase 10 bilhões de ataques de malware em todo o mundo no último semestre de 2019. Número que deve crescer, devido ao cenário favorável para ataques em 2020, com muitos profissionais trabalhando em home office. Inclusive, listamos as 10 maiores falhas de segurança de dados em 2020 até agora, com casos de multinacionais.

Já no Brasil, segundo a Fortinet, houveram mais de 1,6 bilhão de tentativas de ataques cibernéticos no primeiro trimestre do ano, de um total de 9,7 bilhões da América Latina.

Embora empresas de todos os setores sofram com incidentes de segurança como a perda de dados, os segmentos mais visados nos ataques são os da saúde, finanças e manufatura, já que estes possuem uma dependência muito maior dos dados e da disponibilidade de sistemas.

Diante desse cenário alarmante, a pergunta que todos gestores devem fazer: o que fazer para manter a empresa protegida contra os riscos de segurança?

A resposta para essa pergunta é muito ampla e complexa, principalmente porque uma rede e os dados das empresas podem sofrer ataques de inúmeras formas diferentes e de origens distintas.

Mesmo que sua empresa conte com proteção de Firewall e antivírus atualizado, um usuário pode infectar um computador ou a rede toda, apenas conectando um pendrive com arquivos maliciosos. Existe também grandes chances da infecção ser causada por um usuário ao clicar em um link nocivo em um e-mail falso, comprometendo rapidamente a segurança da rede.

Por isso quando se fala em segurança da informação, deve-se sempre buscar uma visão ampla dos riscos e a palavra chave para evitar incidentes é sempre: PREVENÇÃO!

Embora seja muito difícil estar completamente protegido, com algumas medidas até mesmo simples, é possível reduzir consideravelmente os riscos de ataques de Malware e Ransomware. Empresas e profissionais especializados apontam 3 pontos a serem abordados nas medidas tomadas na empresa:

  • Proteção da rede e da navegação na Internet
  • Manutenção e atualização constante de sistemas
  • Orientação dos usuários para identificar riscos e prevenir ataques

Vamos abordar cada um desses pontos em separado de forma mais detalhada a seguir.

Proteção da rede e da navegação na Internet

Para manter a rede da empresa protegida é fundamental a utilização de um Firewall, com regras e bloqueios adequadamente configurados e atualizados. A solução de Firewall é bastante ampla e pode ser implementada de forma simples com regras padrão para proteção contra vulnerabilidades mais conhecidas ou uma implementação mais completa e complexa, com proteção em diferentes camadas de rede e níveis de riscos.

Uma das principais portas de entrada para ataques e incidentes é a navegação na internet. Usuários sem atenção podem facilmente clicar em links desconhecidos ou mensagens de e-mail falsas, que levam para sites nocivos, os quais instalam um malware na rede, muitas vezes sem a percepção do próprio usuário. Depois que o vírus está instalado, é muito difícil evitar problemas maiores, como sequestro de dados, que é o tipo de ataque muito comum hoje em dia, conhecido como Ransomware.

Para evitar esse tipo de situação é importante proteger e controlar a navegação, através de ferramentas que evitam o acesso a sites nocivos e permitam até mesmo a restrição de alguns tipos de conteúdo que apresentam maiores riscos, como sites de download, jogos, violência e pornografia.

Claro que é sempre importante avaliar o investimento necessário para ficar protegido, no mercado existem soluções avançadas a custos altíssimos, geralmente viáveis apenas para empresas de grande porte, mas também há soluções práticas e acessíveis, que mantêm a rede protegida de forma confiável e eficiente.

Para definir a solução de Firewall e proteção da navegação a ser utilizada deve ser feito uma análise das alternativas, avaliando o investimento necessário, custos de manutenção e atualizações e a relação dos benefícios com o investimento.

São muitas as alternativas, começando por soluções complexas com servidores de rede em Linux com firewall, proxy e outros serviços. Também pode ser utilizado o pfSense como alternativa de software livre ou ainda soluções conhecidas como Firewall UTM, opções do mercado são o SonicWall, FortinetJuniper Networks, Sophos, entre outros. Essas soluções têm como característica comum a necessidade de alto investimento em equipamentos e necessidade de manutenção constante por profissionais especializados.

Para empresas que buscam uma solução eficiente e profissional, sem a necessidade de alto investimento e grande envolvimento de profissionais técnicos especializados, uma excelente alternativa é o sistema da Lumiun Tecnologia, que oferece possibilidade de proteção com Firewall e controle da navegação de forma prática e eficiente, com custos bem acessíveis e ótima relação entre retorno e investimento. A solução tem uma implementação bastante simples e pode ser gerenciada até mesmo por usuários sem conhecimento técnico em TI, o que torna a manutenção e atualizações muito mais fácil.

Manutenção e atualização constante de sistemas

As formas de ataque mudam e evoluem constantemente, geralmente explorando vulnerabilidades de sistemas e servidores de rede ou a falta de conhecimentos e curiosidade dos usuários.

Fabricantes de sistemas e antivírus acompanham em tempo real o surgimento de novos métodos ou técnicas de ataque e sempre que identificado algo novo, rapidamente implementam correções e a proteção adequada em seus sistemas.

Por isso é fundamental manter todo e qualquer sistema utilizado na sua empresa sempre atualizado! Atualizar periodicamente os sistemas operacionais e navegadores como o Chrome, utilizar uma versão de antivírus credenciada mantendo sempre atualizado, além de revisar as políticas de segurança e configurações de roteadores para identificar possíveis falhas ou vulnerabilidades na rede.

Entre as medidas mais importantes e eficientes para prevenção é a utilização de um bom antivírus. Não é recomendado a utilização de versões gratuitas de antivírus nas empresas, pois as atualizações podem demorar e a proteção pode ficar ineficiente. Em nosso Guia de TI, citamos as características e informações dos melhores antivírus do mercado como:

Orientação dos usuários para identificar riscos e prevenir ataques

Tão importante quanto as medidas anteriores, é orientar os usuários a identificarem possíveis ameaças e evitarem ações que possam permitir a entrada de algum vírus. Antes de qualquer medida a ser implementada, comece orientando os colaboradores da sua empresa sobre os riscos e prejuízos, formas de ataque e o que fazer para evitar incidentes.

Os criminosos buscam explorar a falta de conhecimento e curiosidade dos usuários, enviando mensagens falsas por e-mail, com assuntos populares ou se passando por pessoas conhecidas e confiáveis, induzindo os usuários a clicarem em links contidos no conteúdo das mensagens, que direcionam para sites nocivos, essa técnica é conhecida como phishing.

Esses métodos usam técnicas de engenharia social, tentando enganar os usuários com mensagens que parecem verdadeiras. Bons exemplos, são mensagens de cobranças bancárias, ofertas e promoções de produtos ou oportunidades de trabalho. Ao clicar em um destes links nocivos, o usuário será direcionado para uma página falsa extremamente parecida com a página verdadeira, que pode capturar dados importantes ou instalar um vírus, malware ou Ransomware na rede.

Seria ideal definir regras e desenvolver um manual para uso seguro dos equipamentos de tecnologia e da internet na empresa.

Outro item que deve ter atenção e orientação para os colaboradores, é quanto a utilização de senhas seguras. Mais de 50% das falhas em segurança da informação tem relação com a utilização de senhas fracas e dedutíveis. Portanto é importante a empresa compartilhar com os profissionais orientações para criação de senhas e gestão de contas de usuários.

Mesmo tomando todas essas medidas, nunca será possível afirmar que a sua rede e informações da empresa estão totalmente seguras. Por isso, nunca deixe de ter uma política de backup adequada, fazendo cópia dos dados relevantes periodicamente e armazenando essas informações em locais distintos e protegidos.

Não espere passar por situações críticas como perda de dados para tomar medidas de prevenção!

As medidas abordadas nesse artigo podem ser implementadas sem maiores investimentos e esforços e com certeza podem evitar muita “dor de cabeça” para você como gestor ou responsável pela área de tecnologia da sua empresa.

Espero ter contribuído para melhorar a conscientização sobre a importância da segurança de dados nas empresas.

Até a próxima!

Recomendações e dicas para criar senhas fortes e seguras

Com a constante evolução da tecnologia e o aumento do poder de processamento dos computadores, surgem todos os dias, equipamentos capazes de realizar operações cada vez mais complexas. Esses recursos também são usados por hackers para a quebra de senhas, com o uso de softwares que testam milhões de combinações possíveis a cada segundo, é possível descobrir uma senha vulnerável em poucos minutos.

Estima-se que 90% das senhas são vulneráveis e podem ser descobertas com facilidade, e para se proteger dos hackers, é importante não utilizar a mesma senha para contas distintas, pois, uma vez que um hacker está em poder da senha de uma de suas contas, pode ter acesso a todos os seus perfis e contas importantes. Você também deve certificar-se de cada senha é diferente de suas senhas anteriores ou outras senhas existentes.

Considerando que a senha é o principal recurso para comprovar a autenticidade de um usuário e protegê-lo do acesso indevido em sistemas de bancos, perfis em redes sociais, contas de e-mail e tantos outros sistemas, é muito importante seguir algumas dicas e recomendações na criação e gerenciamento, a fim de criar senhas fortes e seguras e que não são descobertas tão facilmente.

Com ações simples é possível aumentar a segurança das suas contas e garantir que não sejam facilmente descobertas por hackers que possam fazer uma má utilização dessas informações.

Conceitos importantes e recomendações para criar senhas fortes e seguras

senha fortes e seguras

O que é uma senha forte?

A força e segurança de uma senha depende da combinação e tipos de caracteres usados, do seu tamanho, da complexidade e da sua imprevisibilidade. Portanto, uma boa senha deve ser longa, com no mínimo 8 caracteres, ter a combinação de números, letras maiúsculas, minúsculas e símbolos, porém, uma senha longa é inútil quando a palavra ou frase utilizada é comum e pode ser facilmente adivinhada.

Manter senhas fortes e que realmente auxiliam para a segurança não é uma tarefa fácil e muito menos está sendo realizada pela maioria das pessoas. A seguir, veremos algumas dicas para criar senhas fortes e seguras.

  • Crie uma senha longa, com 8 caracteres ou mais. Uma senha com 14 caracteres é considerada muito segura.
  • Utilize caracteres alfanuméricas, letras maiúsculas e minúsculas, números e símbolos. Quanto maior a variedade de caracteres em sua senha, melhor.
  • Não use palavras reais de qualquer idioma, evite palavras escritas de trás para frente, com abreviações ou erros ortográficos comuns.
  • Use caracteres de todo o teclado, não somente as letras e caracteres mais usados ou vistos. Evite repetições e sequências de caracteres, como “12345678” ou “asdfghjk”.
  • Não tenha senhas com seu nome ou de conhecidos, datas importantes, número de documentos e informações semelhantes.

Se você quer começar a criar senhas mais seguras, que fiquem longe do alvo dos cibercriminosos, pode utilizar esse Guia completo para a criação e gerenciamento de contas de usuário e senhas seguras. Com esse guia você aprende como se prevenir e evitar que as senhas sejam descobertas, além de algumas regras e dicas para criar senhas mais fortes e seguras.

Sugestões para o gerenciamento e utilização das senhas

  • Altere suas senhas com frequência, preferencialmente a cada 90 dias.
  • Evite enviar suas senhas por e-mail, SMS, mensagens em comunicadores instantâneos ou de qualquer outra forma.
  • Não armazene as senhas em locais desprotegidos ou de fácil acesso.
  • Utilize técnicas de memorização ou algum método ou serviço de gerenciamento de senhas.

Utilize um gerenciador para verificar a força da sua senha

Existem inúmeros sistemas disponíveis na Internet que verificam a força da senha, uma boa opção é o verificador de segurança de senha da Microsoft.

Os problemas gerados pelo uso de senhas fracas e vulneráveis é tão grande, que foi criado o World Password Day. A data que neste ano foi dia 4 de maio, é reservada para conscientizar sobre a importância de criar senhas fortes e seguras, para evitar crimes virtuais.

Além disso, no Brasil, o CERT.br, em sua Cartilha de Segurança para a Internet, reserva o capítulo 8 – Contas e Senhas, para informações completas e avançadas sobre segurança e melhores práticas para criação e utilização de senhas e gerenciamento de contas. Dessa forma é possível entender um pouco mais sobre a importância de utilizar senhas fortes e seguras, que realmente protejam contra ameaças, ataques de ransomware e phishing.

E você, já teve alguma experiência negativa com senhas ou problemas de invasão? Compartilhe sua experiência conosco e continue acompanhando o nosso blog!

Crimes cibernéticos: Como agir em caso de invasão e roubo de dados?

Crimes cibernéticos, um assunto que precisa estar presente e ser debatido no cotidiano, mas que ainda é pouco discutido, e principalmente, são poucas as empresas que sabem a importância de entender sobre esse assunto e manter a segurança para evitar invasão e roubo de dados.

A falta de segurança é o principal gatilho para que aconteçam crimes cibernéticos, que estão ligados com problemas muito frequentes, que aumentam a cada dia, como sequestro de dados, mais conhecido pelo nome de Ransomware; perda de informações; roubo de contas, entre outros problemas.

Por que acontecem os crimes cibernéticos?

A maioria dos crimes via internet acontecem pela falta de segurança das redes, acesso indevido à sites perigosos que contém ameaças ou até mesmo falta de atualização de sistemas operacionais e versões mais atualizadas de softwares.

Sabemos que existem pessoas que estão na internet à trabalho, pesquisando ou obtendo informações, mas também, as que têm como foco principal prejudicar e levar malefícios aos demais usuários da rede. Por isso é importante prestar atenção no que é acessado e manter a segurança, para que o acesso à internet não ocasione situações complicadas e prejudiciais.

No entanto, após ter conhecimento sobre o ataque você precisa tomar decisões rápidas. O custo cresce exponencialmente conforme o tempo for passando até que você resolva o problema. Ou seja, limitar o alcance dos danos é crucial:  ative todas as ferramentas de segurança que estejam ao seu alcance, priorizando as áreas que foram alvos principais do ataque.

Existem Manuais de utilização segura da internet, que ajudam à manter a segurança na internet, porém, elaboramos algumas dicas que podem lhe auxiliar em caso de invasão e roubo de dados e também para prevenção contra esse tipo de situação. Confira:

1) Faça o backup imediatamente em casos de crimes cibernéticos

Quando falamos de backup, imediatamente as pessoas acreditam que devem copiar tudo o que precisam em um pendrive, HD externo ou outro computador por exemplo.

Graças à tecnologia, hoje existem softwares que permitem fazer backup de forma rápida e automática, e nesses casos de invasões é a melhor opção. Porém, é importante que o usuário comum tenha em mente que fazer backup é, antes de tudo, uma filosofia de trabalho que exige disciplina e constância.

Atualmente, grande parte das ferramentas que geram dados tem previsão de backup automático, com tempos podendo ser programados pelo usuário. É de grande valia, pois quando perdem-se arquivos em um ataque virtual, dificilmente conseguirão ser recuperados no futuro.

2) Bloquear extensões

Algumas extensões instalados nos navegadores podem servir de ferramenta para espionar seus dados e navegação diária. É recomendável não instalar extensões de sites ou softwares desconhecidos, ou que possuem baixa reputação no mercado, assim, evitando qualquer tipo de problema.

3) Faça uma varredura com um bom antivírus

Um programa com recursos antivírus e anti-spyware pode detectar e, quase sempre, remover ameaças de malware que, do contrário, permaneceriam ocultas no seu computador.

É importante entender que Antivírus é uma das armas mais poderosas de proteção que um PC, notebook e smartphone pode ter contra os crimes cibernéticos. Além de protegê-los contra ataques de cibercriminosos e detectar vírus, a ferramenta de segurança tem um dos recursos mais básicos e essenciais, a varredura completa nos aparelhos.

Desta forma, elimina-se as ameaças e arquivos corrompidos ou mesmo aqueles que são apenas suspeitos da máquina.

4) Colete as evidências do crime cibernético

Caso uma invasão ou roubo de dados venha à acometer a sua empresa, o melhor a fazer é salvar os arquivos, e-mails, capturas de telas (Print Screen), e qualquer outro material que comprove o crime. Mas é preciso que seja rápido, pois, no mundo virtual, as evidências desaparecem logo e o hackers e cibercriminosos são ardilosos e fazem de tudo para não serem descobertos.

5) Não faça nenhum tipo de pagamento

Em caso de ataque Ransomware, onde acontece o sequestro de dados e os criminosos pedem um valor em bitcoins, como se fosse um resgate, para desbloquear ou devolver os seus dados. Nesse tipo de situação o melhor a fazer é não realizar o pagamento, pois muitos cibercriminosos pegam o valor pago e não devolvem seus dados, com isso você e a sua empresa acabam saindo no prejuízo.

Além disso, eliminar um Ransomware já instalado é quase impossível. Se por acaso sua máquina estiver contaminada, provavelmente precisará passar por uma formatação, deletando permanentemente todos os dados, informações e programas de seu computador.

Pode-se perceber que não é fácil passar por crimes cibernéticos. Mas, caso isso aconteça é preciso manter a calma e saber que a prevenção deve ser feita o quanto antes.

Temos uma categoria do blog somente com conteúdos sobre segurança, onde você pode conferir artigos variados, para manter a sua empresa protegida de ataques virtuais.

Até a próxima!

Conscientizar os colaboradores é suficiente para livrar sua empresa do phishing?

Como já escrevi em vários artigos aqui no blog, é de extrema importância conscientizar os colaboradores sobre segurança da informação e principalmente sobre phishing. É importante que todos aprendam ao menos o básico sobre como ficar seguro online. No entanto, segundo uma pesquisa da Tessian, dois terços dos funcionários não são treinados regularmente sobre ameaças cibernéticas. E a maior parte daqueles que são treinados não lembra o que foi ensinado. Então, como o treinamento pode realmente impedir que as pessoas caiam em ataques de phishing?

Para quem não conhece, ataques de phishing são ameaças nas quais o criminoso finge ser uma entidade confiável para enganar um alvo para clicar em um link malicioso, compartilhar credenciais ou transferir dinheiro.

Em outro artigo já falamos mais sobre como um único e-mail de phishing pode custar meio milhão de reais para uma empresa.

Funcionários não sabem detectar ameaças no e-mail

conscientizar colaboradores phishing

A porta de entrada número um de ameaças nas empresas é o e-mail. Como um bom gestor ou analista de TI, você entende que conscientizar os colaboradores sobre segurança de e-mail e phishing é importante para a organização. Porém, a pesquisa revela que apenas um terço das empresas fornecem algum treinamento ou curso sobre segurança na utilização dos e-mails.

Além disso, boa parte dos funcionários pesquisados disseram que não sabem identificar um ataque de phishing ou o que fazer se receberem um e-mail suspeito.

Isso é muito preocupante, pois 95% de todos os ataques às empresas são resultados de phishing, chegando a um aumento de 76% em relação ao ano passado. Ainda mais com a onda de spear phishing, um tipo de ataque muito mais sofisticado e que é direcionado a um indivíduo ou organização específica.

Sem treinamento e conscientização sobre essas ameaças, como as empresas podem esperar que os funcionários identifiquem e-mails maliciosos e mantenham a organização segura em 100% do tempo?

Quais os principais alvos na indústria?

conscientizar colaboradores phishing

As instituições de caridade e ONGs são os mais expostos e vulneráveis, pois normalmente não tem preocupação em conscientizar os colaboradores para combater os ataques cibernéticos, como ataques de phishing. Logo, os criminosos não deixam passar batido, pois sabem muito bem sobre a quantidade de dados valiosos que estas instituições possuem, como dados pessoais e informações financeiras de doadores – que incluem indivíduos de alta renda e marcas conhecidas.

No entanto, este setor não está sozinho em negligenciar treinamento em segurança da informação. Segundo a pesquisa, os setores de educação (Escolas e Universidades) e empresas de engenharia também são alvos constantes dos criminosos. Isso explica o baixo percentual de funcionários (30%) que tiveram algum treinamento para defesas contra ataques cibernéticos.

Com tanto em jogo e com a ameaça de spear phishing aumentando, a segurança da informação precisa ser fundamental na estratégia de cibersegurança de qualquer empresa. A educação e treinamentos sobre as ameaças são fundamentais para ajudar na detecção de emails e sites maliciosos.

Mas até que ponto treinar realmente resolve o problema?

conscientizar colaboradores phishing

Entendemos que o treinamento é importante e que ajuda bastante os seus funcionários a detectarem ameaças, se feito regularmente e não uma vez a cada ano. Mas precisamos aceitar também sobre o fato de que os ataques cibernéticos estão em constante evolução.

Um ataque de spear phishing, por exemplo, pode ser muito sofisticado para que uma pessoa possa identificar. Nestes, os criminosos terão como alvo um indivíduo e tentam se passar por um contato confiável da rede da empresa, para tentar persuadir e cumprir com seus objetivos.

Powered by Rock Convert

De modo geral, existem três categorias que representam um ataque avançado de spear phishing e que são extremamente difíceis de identificar:

  1. Contato interno – o criminoso personifica um colega do trabalho
  2. Parceiro externo – o criminoso personifica um fornecedor ou cliente
  3. Provedor de serviço – o criminoso personifica uma empresa de serviços como um Banco, Microsoft ou Locaweb

Independente da categoria de spear phishing, o criminoso utiliza várias técnicas de manipulação para tentar se passar por um perfil verdadeiro. Em alguns casos, o criminoso tenta criar uma relação com a vítima que pode durar vários dias até o momento que ele sentir sua confiança e enviar um e-mail com um pedido de transferir algum dinheiro, por exemplo.

Ok, apenas treinar não resolve…

Então o que fazer para evitar ataques de phishing na empresa?

como evitar

Que os treinamentos não são suficientes para impedir que as pessoas caiam em golpes, isso já sabemos. Empresas que contam que conscientizar os colaboradores é sua única defesa contra ataques de phishing estão extremamente expostas. Não apenas porque os funcionários são confrontados com a tarefa impossível de identificar todo tipo de ataque, mas também porque as pessoas cometem erros, quebram as regras e são facilmente enganadas.

Por isso, além de treinamentos com os funcionários, as empresas devem empregar a tecnologia como aliada para ajudar na segurança da informação e evitar perdas de dados e dinheiro. Soluções tecnológicas modernas podem identificar phishing com maior precisão e velocidade.

No caso dos e-mails, é importante que as empresas se preocupem primeiramente em utilizar algum serviço de e-mail que seja confiável e que ajude a detectar boa parte dos e-mails maliciosos. Aqui na Lumiun escolhemos o Gmail, no pacote G Suite da Google. Outro bom exemplo é o Outlook no pacote Microsoft 365.

A Tessian, que disponibilizou a pesquisa, também possui um serviço que aumenta a segurança dos e-mails.

Agora, se você quiser uma segurança mais completa, que além do e-mail possa também identificar sites maliciosos em qualquer tipo de acesso à internet, uma boa solução é o Lumiun. O Lumiun é um serviço que protege os usuários contra phishing e aumenta a segurança no uso da internet nas pequenas e médias empresas, através de uma plataforma em nuvem.

Veja no vídeo abaixo o funcionamento de um ataque phishing, e como o Lumiun entra em ação para proteger sua empresa:

Sabemos que hoje não há como acabar definitivamente com os ataques de phishing. Mas podemos utilizar tecnologias que melhoram muito a segurança da informação da empresa e ao mesmo a produtividade dos colaboradores.

É preciso lembrar que problemas com vazamento de dados ou perda de informações, bem como equipamentos parados, também impactam na produtividade. O uso de ferramentas para segurança da rede, permite que os colaboradores dediquem mais atenção às tarefas que geram resultados, ao invés de se preocuparem com ameaças de segurança não controladas.

Peça uma demonstração do Lumiun e veja na prática como é possível transformar a segurança e a produtividade da sua empresa.

A Semana da Segurança da Informação – Edição Nº21

Na edição Nº 21 da Semana da Segurança da Informação, chave barata do Windows 10, identificar a origem de um e-mail, invasão ao Twitter, Switches Cisco falsos, e-mail de meio milhão e muito mais.


Notícias

Comprar chave barata do Windows 10 é confiável? O Canaltech testou

Ninguém gosta de ver o aviso de que a plataforma não está licenciada ou ter seus recursos reduzidos, então adquirir uma licença que acaba com isso é altamente atrativo.

Por Felipe Demartini em CanalTech

É possível identificar a origem de um e-mail?

Se você quer saber a localização geográfica exata de onde um e-mail foi enviado, isso é um pouco difícil.

Por Altieres Rohr em G1

Governo identifica ação de hackers para zerar saldo em aplicativo da Caixa

O governo identificou que uma “ação orquestrada” estava sendo elaborada para tentar desestabilizar o aplicativo Caixa Tem, que realiza os pagamentos do auxílio emergencial.

Por Carla Araújo em Uol

Invasão ao Twitter: especialistas comentam sobre o incidente

O recente incidente cibernético envolvendo ferramentas administrativas do Twitter chocou a internet e deixou muita gente preocupada.

Por Ramon de Souza em The Hack

Apps de VPN expuseram dados de milhões de usuários, incluindo brasileiros

Os dados pessoais de milhões de usuários de quatro aplicativos de VPN mobile foram expostos na internet pela desenvolvedora dos softwares, que armazenou as informações em um servidor aberto e desprotegido.

Por Felipe Demartini em CanalTech

Switches Cisco falsos podem ser uma ameaça à segurança da informação

Externamente, os dispositivos não diferiam muito dos originais, embora, após um exame mais detalhado, a diferença pudesse ser percebida, conforme indicado no relatório da F-Secure.

Em Avalanche Notícias

Conscientização do colaborador é peça-chave para diminuir riscos de ciberataques

Empresas que possuem diretrizes de segurança da informação, levam grande vantagem em relação a seus concorrentes.

Por Denis Riviello em Computerworld

Um único e-mail de phishing pode custar meio milhão de reais para uma PME

De acordo com a pesquisa, mais de um terço (37%) das empresas receberam um e-mail de alguém que fingiu ser um gerente, diretor ou fornecedor solicitando pagamentos.

Por Alex de Oliveira em Blog do Lumiun


Dicas de Ferramentas: Gestão de Atividades e Processos

Juntamos neste tópico as melhores soluções para gestão de atividades e processos para empresas.

🎯 – Trello

🎯 – Quire

🎯 – ProofHub

🎯 – Asana

🎯 – Basecamp

🎯 – Monday.com

🎯 – Runrun.it

🎯 – Pipefy

 

Você pode ver as informações de cada solução acessando o artigo: Gestão de Atividades e Processos: dicas e 8 ferramentas para empresas!


Material

Powered by Rock Convert


Vídeos

Cuidado! Seu FGTS pode estar em risco

Cuidado! Seu FGTS pode estar em risco

Questões Segurança da Informação | Aula 50


Eventos

Webinar em Foco – LGPD e os Impactos na Gestão da Informação

  • 23 de julho de 2020, 19h – 20h30h
  • Evento on-line

Curso Gratuito de Segurança da Informação – Anhanguera Guarulhos

  • 23 de julho de 2020, 19h30 – 21h30
  • Evento on-line

Você ainda não está inscrito na nossa newsletter para receber esse conteúdo semanalmente no e-mail? Então se inscreva através do link abaixo:

https://conteudo.lumiun.com/semana-da-seguranca-da-informacao

Compartilhe o link com seus colegas e amigos.

Um único e-mail de phishing pode custar meio milhão de reais para uma PME

Quase toda semana publicamos notícias na nossa newsletter da Semana da Segurança da Informação sobre grandes empresas que tiveram prejuízos com phishing.

Se as grandes empresas, que dispõem de profissionais e recursos financeiros para investir em segurança, são vítimas de phishing, imagine as PMEs que precisam otimizar os gastos, e assuntos como segurança quase nunca são uma prioridade.

Segundo uma nova pesquisa da empresa de segurança alemã HSB, as pequenas empresas dos EUA relatam um aumento de e-mails suspeitos. E o principal problema é que os funcionários estão mordendo a isca ao cair nesses esquemas de phishing e transferir dezenas de milhares de dólares dos fundos da empresa para contas fraudulentas sem perceber.

De acordo com a pesquisa, mais de um terço (37%) das empresas receberam um e-mail de alguém que fingiu ser um gerente, diretor ou fornecedor solicitando pagamentos.

E pasmem, quase metade dos funcionários que receberam esses e-mails (47%) responderam transferindo fundos da empresa, causando perdas na faixa de US$ 50.000 a US$ 100.000, mais de meio milhão de reais na cotação atual.

Esse golpe é bastante convincente porque, em muitos casos, os criminosos cibernéticos obtêm acesso às contas de e-mail comercial e falsificam a identidade dos gerentes da empresa.

“É muito importante prestar atenção e seguir algumas práticas de segurança cibernética antes de fazer algum pedido por e-mail. Não confie apenas no que diz o e-mail, ligue para a pessoa e confirme que o pagamento é legítimo antes de transferir o dinheiro.” disse Timothy Zeilman, vice-presidente da HSB.

Isso aqui é Brasil!

Eu sei que a pesquisa se refere a empresas dos EUA. Mas o Brasil é o país que mais recebe ataques de phishing em todo o mundo. De acordo com uma pesquisa da Axur, empresa brasileira de monitoramento de riscos na internet, já no primeiro trimestre de 2020 o Brasil bateu um novo recorde no número de ataques.

Seguidamente recebemos de clientes exemplos de e-mails de phishing. Esssa mensagens são utilizadas em golpes que tentam roubar o acesso à conta de e-mail, dados de acesso ao banco, dados do cartão de crédito e outros. Veja a seguir alguns exemplos recentes.

Exemplos de Phishing

O primeiro exemplo é um e-mail com o assunto “Nota:: Email sera Bloqueado. excedeu o limite de armazenamento…”.

Uma das características principais de e-mails de phishing são os erros ortográficos e frases fora de contexto.

Agora, preste atenção na página e endereço ao qual o usuário é redirecionado quando clica no botão “Efetuar Login”.

Esta página é uma cópia simulando o webmail da Locaweb e hospedada no Elasticbeanstalk. O usuário, desatento, pode informar os dados de acesso e sua conta será utilizada pelos criminosos.

Agora veja o exemplo abaixo onde os criminosos tentam simular um e-mail do Banco do Brasil, informando que a segurança do dispositivo expirou e é necessário fazer uma atualização clicando no link.

Após o clique no link, o usuário é redirecionado para a página da imagem abaixo.

Incrível não é!? Esse golpe certamente fez muitas vítimas!

Como manter seu escritório protegido contra fraudes

A Lumiun atende pequenas e médias empresas de todo o Brasil, fornecendo em uma única plataforma o controle do acesso à internet, firewall e VPN empresarial, sem a necessidade de conhecimento técnico. Todos os equipamentos do escritório ficam protegidos e os colaboradores mais produtivos com o bloqueio de sites fora do escopo do trabalho.

Veja nesse vídeo o funcionamento de um ataque de phishing, e como o Lumiun entra em ação para proteger sua empresa:

Acesse o site www.lumiun.com, solicite uma demonstração ou consulte os planos e valores para deixar seu escritório mais seguro e produtivo de maneira fácil e rápida.