A polêmica em torno do TikTok não para de crescer. Investigações de cibersegurança identificam e indiciam suspeitos de diversas campanhas hackers. A Amazon usa machine learning para impedir fraudes.

O que você vai ler hoje:

• TikTok será mesmo banido nos EUA? O que se sabe até agora
• Três indivíduos são indiciados pelo ciberataque ao Twitter
• China prende 109 suspeitos de esquema de fraude de criptomoeda
• Campanha hacker divulga fake news em sites legítimos do leste europeu
• Amazon lança serviço de detecção de fraude

TikTok será mesmo banido nos EUA?

O TikTok se tornou vítima de seu próprio sucesso. O app já vinha crescendo em um ritmo excepcional – e então veio a quarentena, que alavancou ainda mais o número de downloads à medida que milhões de usuários em todo o mundo acessavam o aplicativo para compartilhar tendências virais após tendências virais.

Os números de instalação do TikTok ultrapassaram seus principais concorrentes nos EUA e, assegurando uma série de celebridades e influenciadores nos EUA entre seus usuários, a plataforma de compartilhamento de vídeo se tornou o primeiro aplicativo de mídia social chinês a competir em iguais condições com os gigantes da indústria.

Agora, está prestes a ser banido pelo presidente Trump.

Quando Mike Pompeo, Secretário do Estado dos EUA, anunciou a idéia de proibir o TikTok no país no mês passado, pegou o mundo de surpresa. Ainda que a plataforma enfrente problemas por questões de privacidade de dados, a proibição de um veiculador de mídia foi vista como uma medida extrema. O TikTok tem se esforçado desde então para garantir a segurança e a integridade dos dados dos EUA na plataforma.

Porém, há três preocupações principais, que justificam seu banimento; nenhuma coincide com as alegações dos EUA de que o aplicativo está sendo usado para espionar dezenas de milhões de americanos ou que dados pessoais estão sendo enviados para Pequim. Ambas as acusações não foram comprovadas.

A primeira preocupação é que o uso do TikTok por dezenas de milhões de americanos é uma ameaça clara na era da disseminação de notícias e desinformação pelas mídias sociais. Existe aí um risco de um Estado adversário – a China – atingir a população dos EUA através de uma plataforma de mídia social controlada por outro país.

Segundo, independentemente de as informações sobre usuários específicos do TikTok serem enviadas para Pequim, os padrões de dados podem ser claramente desenhados e compartilhados. Quais são as preferências dos usuários, as tendências políticas, as redes de relacionamentos em partes específicas dos EUA, por exemplo. Não há evidências de que isso ocorra, mas é claramente um risco teórico. E onde os dados reais são armazenados não impede que sejam acessados ​​e processados ​​de outros lugares.

E, finalmente, os potenciais riscos futuros. O que quer que o TikTok esteja fazendo agora, não limita o que pode fazer no futuro. Isso pode envolver o compartilhamento de informações ou a coleta de mais dados do que hoje, mas, assim como no Facebook, também envolverá uma expansão natural do escopo de serviços da TikTok.

Isso tudo posto, até semana passada, ainda duvidava-se de que o app seria banido dos EUA, apesar das ameaças crescentes do presidente Trump. Porém, a probabilidade de que aconteça, de fato, continua crescendo, e nos ensina uma lição importante sobre o papel desempenhado pelos dados na corrida pela soberania.

Três indivíduos indiciados por ciberataque ao Twitter

Três indivíduos, dois da Flórida e um do Reino Unido, foram acusados na sexta-feira por seu suposto envolvimento na invasão em larga escala do Twitter, anunciou o Departamento de Justiça dos EUA.

O anúncio é o mais recente desenvolvimento após uma violação de segurança nos dias 15 e 16 de julho, que viu as contas de alguns dos maiores usuários do Twitter, incluindo o ex-presidente Barack Obama, sequestradas e utilizadas para promover um golpe de criptomoeda.

De acordo com a acusação, os hackers comprometeram mais de 100 contas de mídia social e as usaram para "enganar" os titulares de contas e outros usuários do Twitter que enviaram dinheiro para contas BitCoin promovidas por meio das contas sequestradas.

Embora a especulação sobre o hack na época tenha girado em torno de hackers altamente sofisticados ou em grupos de hackers afiliados a um país (bancados por algum governo adversário ao dos EUA|), havia evidências precoces de que os hackers eram jovens e relativamente inexperientes. Eventualmente, a investigação centralizou em três rapazes que, alegadamente, se conheceram online e compartilham um entusiasmo pelas mídias sociais.

China prende 109 suspeitos de esquema de fraude de criptomoeda

A China prendeu 109 indivíduos suspeitos de envolvimento no círculo de fraudes de criptomoedas PlusToken.

O PlusToken, com sede na Coréia do Sul, foi comercializado como uma oportunidade de investimento de alto rendimento para traders interessados em criptomoedas. Os retornos mensais de 9% a 18% oscilaram na frente de investidores oriundos principalmente da China e da Coréia do Sul, que então armazenaram Bitcoin (BTC), Ethereum (ETH) e EOS na plataforma.

Porém, no ano passado, as operadoras do PlusToken realizaram um esquema suspeito, no qual aproximadamente 3 bilhões de dólares em depósitos foram retirados de até quatro milhões de usuários, que de repente se viram incapazes de acessar seus fundos.

Após investigação, o Ministério da Segurança Pública e a polícia chinesa prenderam 27 "principais suspeitos de crimes" e outros 82 "principais membros” do PlusToken, acusando-os de se tratar de um esquema de pirâmide.

Campanha hacker divulga fake news em sites legítimos do leste europeu

Uma campanha hacker de larga escala mirou sites de notícia do leste europeu entre março de 2017 e o início deste ano com o intuito de publicar fake news em páginas legítimas, de modo a disfarçar a falsidade das informações.

A operação Ghostwriter, como foi chamada pelos pesquisadores da FireEye, responsáveis pela descoberta, aconteceu na Polônia, Lituânia, Belarus e Países Bálticos, entre outros.

A invasão desses sites de compartilhamento de conteúdo permitiu a postagem de artigos e informações falsas que acusavam o exército dos EUA de violência contra a população local, ou acusavam as tropas da OTAN de disseminarem o coronavírus nas áreas por onde passavam.

Apesar de as fake news indicarem uma campanha apoiada pelo governo russo, a FireEye, porém, não traçou uma relação direta entre a campanha e o Estado russo. Da mesma forma, os pesquisadores da empresa especializada em segurança digital acreditam que os comprometimentos dos sites aconteceram por meio do roubo de credenciais de acesso usadas por funcionários, mas não indica exatamente como esse golpe vem acontecendo.

Amazon lança serviço de detecção de fraude

A Amazon Web Services (AWS) anunciou, esta semana, o lançamento de seu serviço de detecção de fraude baseado em machine learning.

O Amazon Fraud Detector é um serviço totalmente gerenciado, que facilita a identificação rápida de atividades online potencialmente fraudulentas, como pagamento online suspeito, fraude ideológica, criação de contas falsas e abuso de códigos promocionais.

Para usar o serviço, os clientes podem selecionar um modelo de aprendizado pré-configurado; fazer upload de dados históricos de eventos de transações fraudulentas e legítimas para criar, treinar e implantar modelos de aprendizado de máquina; e criar lógica de decisão para atribuir resultados às previsões.

Com base no tipo de fraude que os clientes desejam prever, o Amazon Fraud Detector pré-processará os dados, selecionará um algoritmo e treinará um modelo de machine learning.

Por enquanto, o Amazon Fraud Detector está disponível nas regiões do leste e oeste dos EUA, Irlanda, Cingapura e Sydney, com outras regiões a serem adicionadas nos próximos meses.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf.

15 dos 28 maiores visualizadores de PDF para desktop estão vulneráveis ao ataque, que é majoritariamente direcionado a empresas

15 dentre os 28 maiores aplicativos de visualização de PDF disponíveis no mercado, atualmente, estão vulneráveis a um novo ataque que permite que cibercriminosos modifiquem o conteúdo de documentos criados e assinados digitalmente, em formato PDF.

A lista de aplicativos vulneráveis inclui o Adobe Acrobat Pro, Adobe Acrobat Reader, Perfect PDF, Foxit Reader, PDFelement e outros, de acordo com uma nova pesquisa publicada esta semana por acadêmicos da Universidade Ruhr-Bochum, na Alemanha.

Além da clara ameaça de falsidade ideológica, a possibilidade de um ataque do tipo preocupa por tornar ainda mais complexos ataques de phishing ou engenharia social, adicionando um elemento de verossimilhança perigoso a e-mails com “comunicados oficiais”, por exemplo.

O ataque já está sendo utilizado para desvios de dinheiro e mira, principalmente, em empresas.

Como funciona o Shadow Attack

Lista de aplicativos vulneráveis ao ataque | Créditos

Os acadêmicos chamam essa técnica de falsificação de documentos de Shadow Attack (“ataque sombra”, em uma tradução literal).

Isso porque a ideia principal por trás de um Shadow Attack é o conceito de "visualização de camadas", ou seja, de diferentes conjuntos de conteúdo que estão sobrepostos em um documento PDF.

Sendo assim, o Shadow Attack ocorre quando um cibercriminoso prepara um documento com diferentes camadas de conteúdo e o envia para uma vítima.

A vítima assina digitalmente o documento com uma camada benigna na parte superior, mas, quando o invasor o recebe o documento de volta, a camada visível muda para outra.

Como a camada foi incluída no documento original que a vítima assinou, a alteração da visibilidade não quebra a assinatura criptográfica e permite que o invasor use o documento legalmente vinculativo para ações prejudiciais – como substituir o destinatário de um pagamento, a soma em uma ordem de pagamento em PDF, alteração das cláusulas contratuais, falsidade ideológica, etc.

Para ficar mais fácil de entender, é como se a vítima recebesse um documento digital legítimo para assinar, mas, “dentro” dele, sem que ela saiba, houvesse outro. Aí, quando ela assina o documento legítimo, a assinatura é automaticamente replicada para esse “parasita” atrelado ao documento original.

(a) Um PDF “sombra” assinado digitalmente pelas vítimas contendo um valor X de uma doação (b) Documento PDF manipulado após a assinatura, com os dados da conta dos invasores | Créditos

Os diferentes tipos de Shadow Attack

Segundo os acadêmicos da equipe de pesquisa, existem três variantes em um Shadow Attack:

• Hide (Ocultar) – quando os invasores usam o recurso Incremental Update (Atualização Incremental) do PDF padrão para ocultar uma camada do conteúdo, sem substituí-la
• Replace (Substituir) – quando os invasores usam o recurso Interactive Forms (Formulários Interativos) do PDF padrão para substituir o conteúdo original por um modificado
• Hide-and-Replace (Ocultar e Substituir) – quando os invasores usam um segundo documento PDF contido no documento original para substituí-lo por completo

Figura 5.3: Os atacantes manipulam com êxito um documento assinado e forçam visualizações diferentes sobre os assinantes e as vítimas, usando a variante de ataque Hide-and Replace | Créditos

"A variante de ataque Hide-and-Replace é a mais poderosa, pois o conteúdo de todo o documento pode ser trocado", diz a equipe de pesquisa.

Qual a solução? Atualização dos patches disponíveis

A equipe de pesquisa disse que trabalhou com a CERT-Bund (equipe de resposta a emergências de computadores da Alemanha) para entrar em contato com os fabricantes de aplicativos de visualização de PDF e relatar esse novo vetor de ataque.

A ideia era corrigi-lo antes de divulgar as descobertas no início desta semana.

No momento, o Shadow Attack é rastreado com os identificadores CVE-2020-9592 e CVE-2020-9596.

A recomendação dos pesquisadores é que as empresas atualizem seus aplicativos de visualização de PDF para garantir que os documentos assinados neste formato não possam ser violados por meio de um Shadow Attack.

Mas não é a primeira vez que um ataque do tipo acontece

É a segunda vez que essa mesma equipe de pesquisa investiga as assinaturas digitais dos aplicativos de visualização de PDF.

Em fevereiro de 2019, os pesquisadores contiveram um ataque parecido em 21 dos 22 aplicativos visualizadores de PDF para desktop e em cinco dos sete serviços de assinatura digital em PDF, que vinham sofrendo com a criação de de documentos com assinaturas falsas.

Porém, o novo Shadow Attack é diferente do primeiro porque não adultera a assinatura digital, como o primeiro ataque, mas o conteúdo do PDF, sem quebrar a assinatura.

Além disso, a mesma equipe de pesquisa também descobriu o PDFex, uma técnica para quebrar a criptografia e extrair dados de dentro de documentos criptografados em 27 visualizadores de PDF.

"O invasor pode criar um ‘shadow document’ (documento sombra) completo, influenciando a apresentação de cada página, ou mesmo o número total de páginas, bem como cada elemento contido nela".

Os pesquisadores dizem que os Shadow Attacks são possíveis porque os documentos PDF, mesmo quando assinados digitalmente, permitem a presença de elementos não utilizados em seu conteúdo original.

Os aplicativos de visualização de PDF que removem elementos não utilizados ao assinar um documento são imunes aos Shadow Attacks.

Proteja os arquivos da sua empresa. Consulte a assessoria de especialistas da Compugraf.

Spotify e Alexa enfrentam problemas com cibersegurança. Rússia nega estar roubando informações sobre vacinas. Apple lança iPhones hackeáveis.

O que você vai ler:

• Pesquisadores contrabandeiam 234 skills ilegais na Alexa Store
• Rússia nega estar roubando informações sobre vacinas contra COVID-19
• Hackers agora podem destruir dispositivos via USB
• Erro de segurança no Spotify permite que usuários invadam o plano Família de outros usuários
• Apple lança iPhones hackeáveis – e isso é ótimo

Pesquisadores contrabandeiam 234 skills ilegais na Alexa Store

Um grupo de acadêmicos contrabandeou 234 skills (recursos, ou habilidades) ilegais na Alexa Skills Store para evidenciar os problemas das políticas de segurança do dispositivo.

Os acadêmicos disseram que também identificaram 52 skills problemáticas já disponíveis na loja da Alexa, todas voltadas para crianças.

Isso ocorreu durante um estudo de 12 meses, recentemente concluído, sobre o processo de revisão e aprovação da Alexa Skills Store. Os resultados são ainda piores do que parecem, porque os acadêmicos tentaram fazer o upload de 234 aplicativos que vão contra as políticas de segurança e conseguiram aprová-los, todos, sem muita dificuldade.

A equipe de pesquisa disse quedas 234, apenas 41 skills foram rejeitadas durante o primeiro envio, mas conseguiram subí-las tranquilamente na loja oficial após uma segunda tentativa.

Com a pesquisa, os estudiosos alertam para a necessidade de políticas mais rígidas em dispositivos IoT.

O relatório completo está disponível aqui.

Rússia nega estar roubando informações sobre vacinas contra COVID-19

Na semana passada, revelamos as suspeitas de que hackers russos estariam roubando informações sobre a vacina contra o COVID-19 de organizações acadêmicas e farmacêuticas aqui no Ocidente.

Agora, porém, o governo russo negou as alegações de que hackers patrocinados pelo estado estão envolvidos nos ataques.

Em depoimento, o Ministro de Finanças da Rússia, Anton Siluanov, diz: “não há hackers trabalhando para o governo russo; portanto, nosso governo não se responsabiliza por nenhuma ação de eventuais hackers, nem as coordena”.

Ele acrescenta, ainda, que ninguém foi empregado com o objetivo específico de acessar os sites das empresas farmacêuticas.

E finaliza: “não faz sentido hackers estarem envolvidos nessas atividades porque a Rússia está tentando desenvolver sua própria vacina contra o coronavírus”.

Hackers agora podem destruir dispositivos via USB

Quando você conecta seu dispositivo a um carregador com cabo USB, há uma negociação entre os dois, estabelecendo a carga mais poderosa que o dispositivo pode suportar com segurança. Essa negociação é gerenciada entre o firmware no dispositivo e o firmware no carregador e pressupõe que ambos irão funcionar bem entre si.

Agora, os pesquisadores comprovaram que um carregador comprometido pode anular essa negociação, pressionando mais o cabo do que o dispositivo pode manusear com segurança, provavelmente destruindo o dispositivo e potencialmente incendiando-o.

Um ataque é muito simples. Com o malware carregado em um smartphone, um invasor se conecta ao carregador, substituindo seu firmware e essencialmente armando-o como uma arma para o que for conectado a ele em seguida.

A reviravolta interessante aqui é que o malware pode até estar no dispositivo de destino. Um invasor envia esse código malicioso para o seu telefone. Na primeira vez em que você se conecta a um carregador rápido e vulnerável, o telefone substitui o firmware. Na próxima vez em que você se conectar ao mesmo carregador para energizar seu dispositivo, seu telefone ficará sobrecarregado.

A equipe responsável por essa descoberta produziu um vídeo demonstrando como esse ataque funcionaria.

Erro de segurança no Spotify permite que usuários invadam o plano Família de outros usuários

Membros do fórum subreddit do Spotify estão reclamando que estranhos parecem estar invadindo suas contas familiares, permitindo que eles tenham acesso a uma assinatura premium.

Um cliente, por exemplo, afirma que quatro perfis desconhecidos foram criados em sua conta Família. "Não faço ideia de como entraram no meu plano", escreveu ele, no Reddit. “Descobri por acidente enquanto mudava minha assinatura. Nem tenho certeza de quando isso aconteceu ou por quanto tempo está acontecendo.”

Embora os membros do plano Família não possam acessar diretamente as contas uns dos outros, o Spotify recentemente introduziu uma lista de reprodução compartilhada, o que significa que hackers que invadirem a conta da família podem afetar os fluxos de música compartilhados.

Eles também podiam ver os nomes de outros membros da família, potencialmente crianças, no site do Spotify.

Infelizmente, o stream não oferece autenticação de dois fatores e não notifica o titular da conta principal quando um novo membro da família é adicionado, o que significa que os freeloaders geralmente não são detectados.

Ainda não há muitos detalhes a respeito dos casos, mas fato é que a segurança do Spotify poderia ser mais forte.

Apple lança iPhones hackeáveis – e isso é ótimo

A Apple tem a reputação de bloquear o iPhone, sob uma perspectiva de segurança, para evitar o uso de estranhos ou de hardwares e softwares desconhecidos – isto é, que não sejam originados em sua própria fábrica.

O que é bom para os consumidores, pois torna muito mais difícil invadir o aparelho. Porém, isso é péssimo se você é um pesquisador de segurança que quer saber como evitar ciberataques nesses dispositivos.

A ideia de “iPhones hackeáveis” surgiu pela primeira vez na da Black Hat de 2019, em Las Vegas, uma conferência de cibersegurança focada em pesquisadores hackers, que invadem dispositivos para notificar falhas de segurança e possibilitar que elas sejam corrigidas.

Quase exatamente um ano depois, o programa SRD (Security Research Device) da Apple transformou o iPhone para hackers em realidade.

Com o lançamento do programa SRD da Apple em 22 de julho, os pesquisadores de segurança poderão caçar bugs muito mais assertivamente no iOS. A Apple disse que os iPhones, que serão voltados exclusivamente a esse trabalho, e conhecidos como “dispositivos de pesquisa de segurança”, virão com políticas únicas de execução e contenção de código.

Isso significa que o sistema de arquivos estará acessível para inspeção, de modo que os pesquisadores não precisem recorrer a um log de falha ou dispositivos jailbroken.

Os aparelhos já estão sendo disponibilizados para os pesquisadores por meio de requisição diretamente com a Apple.

Mantenha seus dispositivos seguros. Consulte a assessoria de especialistas da Compugraf.

Com a digitalização de processos acelerada, a segurança da informação assume o protagonismo como um dos compromissos mais importantes para uma empresa

A Compugraf, empresa que oferece soluções em segurança da informação de ponta para o mundo corporativo, experienciou um aumento expressivo na busca por soluções que protejam funcionários durante o trabalho remoto.

Devido às complicações causadas pelo COVID-19, muitos setores sofreram o impacto por não poderem operar ou não estarem preparados para funcionar no ambiente digital, e isso resultou em uma crise mercadológica em que as empresas precisaram aceleram seus processos de digitalização e também a busca por recursos e parceiros que assegurem sua segurança.

Por outro lado, muitas empresas de tecnologia notaram aumento na demanda por suas soluções, e isso fez com que o impacto fosse o oposto dos mercados impactados negativamente, especialmente empresas dedicadas a segurança e privacidade.

Com isso, esse mercado se aqueceu, passando a dividir o espaço no ranking dos com maior demanda de profissionais durante a pandemia, ao lado das áreas essenciais, como as ligadas a saúde.

Para os setores fora do círculo de inovação ou funcionalidade digital, a crise sanitária do coronavírus não apenas reduziu as vagas, como também possibilitou – por um acordo com o governo, a suspensão de contratos, redução de jornada e salário para que as demissões fossem um último recurso.

Segundo a FOLHA, trabalhos em estabelecimentos essenciais – como os supermercados, tiveram que contratar mão de obra para atender à alta demanda de compras de maior volume, já que a recomendação geral envolve a redução de fluxo de pessoas nesses locais.

Processos Seletivos e contratações menos burocráticas

Dentro de todas as mudanças necessárias para respeitar o distanciamento social, a pandemia também forçou a mudança de processos administrativos e fiscais dentro das organizações, e com isso soluções para possibilitar a assinatura digital, videoconferências e gestão de projetos, foram fortalecidas.

O trabalho remoto forçado também ajudou muitas empresas a quebrarem o tabu da geolocalização e o da produtividade em casa. Uma pesquisa divulgada pela Você S/A, revela que 78% dos profissionais se sente mais produtivo ao trabalhar de casa.

Isso fez com que a relação do setor de recursos humanos com os novos funcionários se transformasse em algo menos burocrático por envolver mais tecnologia e menos trajetos, o que pode ser um problema em uma cidade como São Paulo.

Em conversa com o RH da Compugraf, descobrimos que as ferramentas usadas pelo setor, antes mesmo da quarentena, fizeram toda a diferença durante esse processo de transição. Desde o fim do ano passado, já tínhamos o LinkedIn como uma de nossas principais ferramentas, por exemplo.

Já para a comunicação interna, a ferramenta Microsoft Teams foi um divisor de águas desde que foi implementado: tornou as comunicações cotidianas mais rápidas, e em reuniões possibilitou a participação de pessoas que eventualmente estavam fisicamente indisponíveis em determinados momentos.

Para a Adriana Barbosa, líder do setor de RH na Compugraf, a quarentena não impediu em nenhum momento que os planos previstos pela sua equipe fossem implementados, e foi possível também manter a proximidade com as diferentes áreas da empresa:

“A quarentena veio em um momento em que discutíamos uma melhor divisão entre os setores para garantir o desempenho e a autonomia de cada um, e foi isso que fizemos! (…) nos aproximamos para buscar entender as necessidades de cada um e assim redesenhá-los em parceria com seus líderes. Tudo feito em equipe.” – diz Adriana.

Outra ação mencionada, girou em torno da parceria com o novo setor de marketing da empresa, que tornou possível levar os elementos que representam a marca para seus diferentes canais, em um processo de humanização no mercado.

A profissional destaca alguns dos maiores desafios e mudanças na quarentena, que envolveram muito da comunicação interna:

• Garantir a saúde dos colaboradores.
• Dar continuidade aos eventos e comemorações implementados antes da quarentena (como aniversariantes do mês e outros eventos próprios).
• Manter o bom relacionamento com todos os setores e seus colaboradores.
• Analisar e aprender com os resultados durante o período.

“Até o momento, a validação que partiu de todos os setores foi unânime: Realmente precisamos uns dos outros, não dá pra trabalhar sozinho. Mas ainda assim, foi uma desconstrução de processos, aprendemos como continuar fazendo o melhor, mas de uma outra forma.” – conclui Adriana.

O primeiro dia no trabalho remoto

Para os profissionais contratados durante a pandemia, o sentimento é o de gratidão pela recolocação, especialmente em um momento de crise, mas pra quem estava acostumado ou esperava uma recepção calorosa na própria sede da empresa, teve que se adaptar a um novo “primeiro dia”.

A emissora de televisão Rede Globo, fez uma matéria especial em seu programa “É de Casa”, falando sobre a geração de empregos no setor de tecnologia, e pra isso contou com as perspectivas de dois novos #Compugrafers: a Telma Rocha, que agrega como Consultora de Processos e o Thiago Piola, na área de Análise de BI para o setor de Recursos Humanos. Você pode conferir o programa na íntegra aqui.

Em entrevista para a produção deste conteúdo, a Telma compartilhou que estava confiante com o seu processo seletivo, que havia iniciado pouco antes da quarentena ser declarada.

Atraída pelo desafio proposto, que envolve a reestruturação e otimização dos processos internos da empresa, a profissional foi sincera e pontual ao informar sobre um outro processo que estava em jogo.

Apesar de todo o distanciamento desde o primeiro dia, ela mostrou-se empolgada com a equipe com que trabalha e com a recepção também sentiu-se rapidamente envolvida com todos e suas funções, o que facilitou o processo. E sobre trabalhar de casa:

“No momento delicado em que vivemos, é reconfortante estar trabalhando do interior, ao lado de minha mãe. Mas de início foi difícil ter que explicar que em determinados momentos não posso conversar com ela, por estar focada em atividades do trabalho.” – afirma a profissional.

Já para Thiago Piola, a redução na necessidade de locomoção durante seu processo seletivo fez com que tudo ocorresse de maneira mais rápida.

“Meu processo ocorreu quase que integralmente de maneira remota, então já pude sentir o trabalho que estava sendo feito com o uso da tecnologia, conhecer algumas das ferramentas que a empresa utiliza e o carinho com os colaboradores.” – menciona Thiago.

O que vem depois da quarentena?

Como São Paulo ainda passa pelo processo de quarentena, a Compugraf mantém a maior parte de seus funcionários no trabalho remoto. Mas enquanto ainda não sabemos o que deve mudar quando isso acabar, o home office não parece ser visto como um problema, visto que assim mantemos empresa, colaboradores e nossos clientes em segurança:

“Nossos diferentes setores estão produzindo como nunca, as entregas e resultados não poderiam estar melhores. Nossa única preocupação hoje, é garantir que todos estejam bem e saudáveis.” – Adriana Barbosa.

Compilamos as 5 principais previsões e estatísticas de especialistas em segurança cibernética para 2021

Os gastos com cibersegurança tendem a seguir sua curva de crescimento no próximo ano, de acordo com uma série de estudos e relatórios publicados ao longo de 2019 e neste primeiro semestre de 2020.

Afinal, à medida que mais e mais empresas se conscientizam da importância de proteger todas as vulnerabilidades de seus negócios, e quanto mais conectados nos tornamos, especialmente agora, que o trabalho remoto é nossa nova realidade, também aumentam os ataques e os riscos de prejuízo oriundos do cibercrime.

Há quem diga que nunca se gastou tanto com cibersegurança. E há quem diga que isso é apenas o começo.

Essas são as estimativas dos gastos esperados nos próximos meses, de acordo com pesquisadores:

Prevê-se que os custos de danos por cibercrime atinjam 6 trilhões de dólares até 2021, no mundo todo

Os danos por crimes cibernéticos custarão, a empresas do mundo todo, cerca 6 trilhões de dólares até 2021. É o dobro do que se estimava para 2015, pela Microsoft.

Isso representa a maior transferência de riqueza econômica da história e será mais lucrativo do que o comércio global de todas as principais drogas ilegais combinadas.

Para os cibercriminosos, é tempo de vacas gordas.

Para as empresas, é um pesadelo.

Os gastos com crimes cibernéticos incluem danos e destruição de dados, roubo de dinheiro, perda de produtividade, roubo de propriedade intelectual, roubo de dados pessoais e financeiros, peculato, fraude, investigação forense, restauração e exclusão de dados e sistemas hackeados, danos à reputação, dentre outros.

Os gastos com segurança cibernética podem chegar a 1 trilhão de dólares em 2021

O mercado de segurança cibernética continua seu crescimento estratosférico e se aproxima da marca de trilhões de dólares que prevista por pesquisadores em 2017.

Em 2004, o mercado global de segurança cibernética valia 3,5 bilhões de dólares. Em 2017, esperava-se que valesse mais de 120 bilhões.

Porém, o mercado de segurança cibernética cresceu cerca de 35 vezes em 13 anos, e pode vir a extrapolar, tranquilamente, o teto dos bilhões.

Com isso, prevê-se que os gastos globais em produtos e serviços de cibersegurança excedam 1 trilhão de dólares (cumulativamente) até 2021.

O mundo terá 3,5 milhões de vagas de emprego em segurança cibernética não-preenchidas até o final de 2021

Agora, todas as posições de TI também incluem, em seu escopo de trabalho, a cibersegurança.

Isto é, todo trabalhador de TI, ou todo trabalhador de tecnologia, precisa estar envolvido na proteção e defesa de aplicativos, dados, dispositivos, infraestrutura e pessoas sob o guarda-chuva da empresa para a qual prestam serviços.

Até 2021, espera-se haver 3,5 milhões de empregos não preenchidos em segurança cibernética – o suficiente para encher cerca de 45 estádios do tamanho do Maracanã -, de acordo com uma previsão da Cybersecurity Ventures.

Isso está acima da estimativa anterior da Cisco de 1 milhão de aberturas de vagas em segurança cibernética, realizada em 2014.

A taxa de desemprego de segurança cibernética está em zero por cento em 2019, taxa imbatível desde 2011.

Prevê-se que os custos com danos por ransomware cresçam mais de 57 vezes de 2015 para 2021.

Prevê-se que os custos globais de danos por ransomware atinjam os 20 bilhões de dólares até 2021, contra os 325 milhões atingidos em 2015.

Aliás, os ataques de ransomware à organizações de assistência à saúde – muitas vezes chamados de indústria número 1 de ataques cibernéticos – quadruplicaram até 2020.

A Cybersecurity Ventures, em pesquisa exclusiva, diz que espera que uma empresa seja vítima de  um ataque de ransomware a cada 11 segundos até 2021, em comparação a cada 14 segundos em 2019.

Isso faz do ransomware o tipo de crime cibernético que mais cresce ao redor do mundo.

70% das transações de criptomoeda serão para atividades ilegais até 2021

O criptocrime é um segmento emergente do ecossistema do cibercrime e que está crescendo vertiginosamente.

Cerca de 76 bilhões de dólares em atividades ilegais por ano envolvem bitcoin, que está próximo da escala dos mercados de drogas ilegais nos EUA e na Europa, de acordo com um estudo publicado pela Universidade de Sydney, na Austrália, classificada como uma das 100 melhores universidades do mundo.

Outros pesquisadores estimam que, até 2021, mais de 70% de todas as transações anuais de criptomoeda serão para atividades ilegais.

Atualmente, essas estimativas variam de 20% (das 5 principais criptomoedas) para quase 50% (bitcoin).

O que o futuro guarda?

Por mais incerto que seja o futuro, especialmente nas atuais circunstâncias de crise econômica e de saúde, uma coisa é incontestável: o mundo caminha para maior dependência de recursos como IoT, serviços em nuvem e disponibilidade dos dispositivos corporativos fora do ambiente da empresa.

Todos esses fatores são desafios que, a cada dia que passa, transformam mercados globais em uma arena de batalha contra os riscos à cibersegurança.

O investimento em medidas de proteção é inevitável, mas o prejuízo não precisa ser.

Consulte a assessoria de especialistas da Compugraf e saiba como manter sua empresa segura.

A ciberguerra ganha novos capítulos enquanto hackers iranianos e russos miram em autoridades governamentais atrás de dados sensíveis.

O Twitter é vítima de um ciberataque que sequestrou a conta de alguns de seus usuários mais relevantes e o Reino Unido quer acabar com a cultura das senhas fracas em dispositivos IoT.

O que você vai ler hoje:

• Senhas fracas podem se tornar ilegais
• Twitter é vítima de ciberataque que sequestrou contas de Barack Obama e outros
• Fornecedora de serviços em nuvem é vítima de ransomware
• Hackers iranianos acessam contas do Google de autoridades norte-americanas
• Hackers russos tentam roubar informações sobre vacina contra o COVID-19

Senhas fracas podem se tornar ilegais no Reino Unido

O Ministro da Informação Digital do Reino Unido declarou estar trabalhando junto ao National Cyber Security Centre (NCSC) para “resolver urgentemente” o problema de segurança precária dos dispositivos IoT.

Isso porque vários desses gadgets vêm com senhas pré-definidas, que não podem ser alteradas pelo usuário: o que não seria um desastre se elas fossem, ao menos, fortes e exclusivas.

Nas propostas de uma nova lei para proteger os consumidores da ameaça de dispositivos facilmente hackeáveis, o governo do Reino Unido recomenda que as senhas únicas e universais dos dispositivos sejam proibidas.

O governo também quer avançar no uso de “mecanismos alternativos de autenticação”, que não usam senhas.

Além disso, existe a intenção de banir as senhas exclusivas para todos os dispositivos, mas que ainda são facilmente adivinhadas.

O não-cumprimento dessas prerrogativas estaria sujeito a multa e outras penalidades por parte do governo.

A proposta de lei completa você confere aqui.

Quer o histórico das Guerras Cibernéticas?

A gente sabe como é importante conhecer casos reais para entender melhor o conceito de guerra cibernética, e por isso, preparamos uma linha do tempo com os alguns dos principais eventos dos últimos 10 anos.

Twitter é vítima de ciberataque que sequestrou contas de Barack Obama, Jeff Bezos, Elon Musk e outros

Na quarta-feira passada, o Twitter foi vítima de um ciberataque que comprometeu contas de empresas e figuras públicas como Barack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Michael Bloomberg e muitos outros.

A violação ocorreu no back-end da rede. Os hackers usaram as contas para twittar um golpe de criptomoeda.

Após investigação, o Twitter alega que os cibercriminosos utilizaram o social engineering para ter acesso às contas de seus colaboradores.

Os hackers interagiram com 130 contas; em 45 delas, eles iniciaram uma redefinição de senha, efetuaram login e enviaram novos tweets para promover seu golpe de criptomoeda. Além disso, baixaram o arquivo de dados de 8 delas.

Os hackers também tiveram acesso a e-mail e telefone das contas hackeadas.

Uma vez que o ataque veio à tona na quarta-feira, o Twitter impediu todas as contas verificadas de twittar enquanto realizava sua investigação. A rede também acionou uma investigação formal, ainda sem maiores resultados.

Fornecedora de serviços em nuvem é vítima de ransomware

A Blackbaud, fornecedora de software e soluções de hospedagem em nuvem, informou que impediu um ataque de ransomware de criptografar arquivos no início deste ano. Mas, ainda assim, teve que pagar um valor de resgate, já que os hackers roubaram dados da rede da empresa e ameaçaram publicá-los online.

De acordo com a empresa, os hackers violaram sua rede e tentaram instalar o ransomware, a fim de “trancar” os clientes da empresa para fora de seus servidores.

O provedor de nuvem, que trabalha principalmente com organizações sem fins lucrativos, fundações, educação e assistência médica, disse que o incidente afetou apenas os dados de um pequeno subconjunto de seus clientes, que eles já notificaram.

Embora tenha contratado uma investigação formal para expor os autores do crime, a Blackbaud pagou o valor exigido pelos cibercriminosos, a fim de não correr o risco de que os dados fossem vazados.

Hackers iranianos acessam contas do Google de autoridades norte-americanas

Um vazamento de dados por parte de uma equipe suspeita de hackers iranianos revelou que o grupo pode estar bisbilhotando a vida online de autoridades americanas por meio de suas contas do Google, de acordo com pesquisadores da IBM.

Esses mesmos hackers foram supostamente ligados a ataques à equipe do presidente Trump, durante sua campanha em 2016.

O vazamento de 40 gigabytes de dados foi descoberto em maio pela IBM X-Force IRIS, uma unidade de inteligência cibernética da gigante da tecnologia.

Graças a uma simples configuração incorreta de um servidor, que deixou os dados abertos a qualquer pessoa que pudesse encontrar o endereço da web, a equipe de segurança flagrou uma operação que, se de fato tiver ligação com recentes ameaças às autoridades estadunidenses, pode desenrolar um capítulo totalmente novo na história da ciberguerra.

Afinal, ao obter acesso às suas contas do Google, os hackers têm acesso a uma infinidade de informações sobre os indivíduos-alvo, incluindo logins do Chrome, dados de localização, fotos pessoais e muito mais.

Isso pode ajudar o Irã a mapear bases militares ou até obter informações sobre operações governamentais sensíveis, se o alvo for negligente com sua segurança operacional.

O conjunto de dados pessoais também poderia ser usado para um ataque mais personalizado ao mesmo funcionário, obtendo, assim, acesso a dados ainda mais sensíveis.

Panorama de cibercrimes do mês de maio

No Scanning, nosso programa mensal, separamos os principais incidentes envolvendo o cenário de segurança cibernética no Brasil e no resto do mundo. Confira 👉

Hackers russos tentam roubar informações sobre vacina contra o COVID-19

Um grupo de hackers russos, apoiado pelo Estado, tem organizado ataques cujos alvos são empresas farmacêuticas, de saúde, centros de pesquisa acadêmica e outras organizações envolvidas no desenvolvimento de vacinas contra o coronavírus, alertaram as agências de segurança do Reino Unido, EUA e Canadá.

O objetivo parece ser o roubo de informações relevantes de pesquisas sobre o COVID-19, que poderão, eventualmente, serem vendidas ou “sequestradas” até que um resgate seja pago.

Embora ainda não haja evidências de que as campanhas do grupo tenham sido bem-sucedidas, o National Cyber Security Centre (NCSC) diz que os ataques ainda estão em andamento e já notificaram tentativas de acesso a diferentes organizações.

Para se proteger, o NCSC recomenda que as organizações atualizem seus dispositivos e redes com os patches de segurança mais recentes, para que os invasores não possam explorar vulnerabilidades conhecidas.

Também é recomendável que as organizações usem autenticação multifatorial; assim, no caso de hackers violarem senhas, há uma barreira adicional para impedir que eles se desloquem pela rede.

Também é recomendável que a equipe saiba identificar e-mails de phishing e se sinta segura para denunciá-los.

Mantenha sua empresa segura. Entre em contato com a assessoria de especialistas da Compugraf.

De um lado, novas soluções de segurança visam prevenir ciberataques logo em suas fases iniciais. Do outro, ameaças antigas tornam a assombrar Google e WhatsApp.

Enquanto isso, as polêmicas em torno do TikTok continuam evoluindo.

O que você vai ler hoje:

• Hacker russo é indiciado por ataques ao LinkedIn, Dropbox e Formspring
• Amazon solicita que seus colaboradores removam o TikTok de seus smartphones
• Microsoft lança nova proteção anti-hacker e promete revolucionar a cibersegurança
• Malware antigo e altamente sofisticado volta a assombrar a Play Store
• Versão alternativa do EARN IT Act continua ameaçando a criptografia de ponta a ponta

Hacker russo é indiciado por ataques ao LinkedIn, Dropbox e Formspring

O hacker russo Yevgeniy Nikulin foi considerado culpado por violar as redes internas do LinkedIn, Dropbox e Formspring e vender seus bancos de dados de usuários no mercado negro, em 2012.

O hacker roubou aproximadamente 117 milhões de registros de usuários, que incluíam login, senhas e e-mails.

As autoridades iniciaram uma investigação depois que as três empresas entraram com uma queixa criminal na Califórnia, em 2015, e Nikulin foi preso um ano depois, em outubro de 2016.

O veredito foi concedido por um júri na Califórnia esta semana.

Fonte: ZDNet Security

Amazon solicita que seus colaboradores removam o TikTok de seus smartphones

Esta semana, Amazon, a gigante do varejo online, pediu a seus funcionários para desinstalar o aplicativo TikTok dos smartphones que eles usam para acessar os servidores internos de e-mail da Amazon.

O motivo seria “riscos de segurança”, de acordo com o texto do e-mail enviado aos colaboradores:

"Devido ao risco de segurança, o aplicativo TikTok não é mais permitido em dispositivos móveis que acessam o e-mail da Amazon. Se você possui o TikTok no seu dispositivo, deve removê-lo até 10 de julho para manter o acesso móvel ao e-mail da Amazon. Até o momento, o uso do TikTok ainda é permitido em desktop”.

Nos últimos meses, especialistas em privacidade e segurança acusaram o aplicativo TikTok de coletar informações privadas do usuário nos dispositivos em que foi instalado e de bisbilhotar a área de transferência dos usuários de iPhone devido a uma falha no iOS 14.

Contudo, uma nota oficial da Amazon alega que “o e-mail foi enviado por engano aos colaboradores, e deve ser desconsiderado”.

Fonte: ZDNet Security

Microsoft lança nova proteção anti-hacker e promete revolucionar a cibersegurança

A Microsoft está pronta para trazer um novo e poderoso recurso de segurança para o Windows 10: o Kernel Data Protection.

Trata-se de uma nova tecnologia de segurança para impedir a corrupção de dados. O KDP opera permitindo que os desenvolvedores protejam determinadas partes do kernel e drivers do Windows no modo “somente leitura”, por meio de um conjunto de APIs – impedindo, assim, que os hackers modifiquem a memória protegida pela solução.

De modo geral, o KDP bloqueará ameaças que geralmente usam metodologias de corrupção de dados para facilitar seus ataques.

Segundo a própria Microsoft: "o KDP aprimora a segurança fornecida pelos recursos que compõem os PCs com núcleo protegido, adicionando outra camada de proteção a dados confidenciais de configuração do sistema”.

Você pode ler mais sobre o recurso neste detalhamento divulgado pela empresa.

Fonte: Microsoft

Malware antigo e altamente sofisticado volta a assombrar a Play Store

“Joker”, um dos malwares mais sofisticados já visto pelo Google, está de volta.

“Joker usou quase todas as técnicas de camuflagem e ofuscação conhecidas, para não ser detectado", alertou a empresa em 2019. Não é de surpreender, portanto, que ele tenha encontrado outra maneira de entrar na Play Store – a loja de aplicativos do Google.

O malware era responsável pela infecção de mais de 300 mil dispositivos à época em que foi descoberto. Logo se viu que não se tratava de um adware comum.

Ele inscreve as vítimas em serviços fraudulentos, e excluir os aplicativos maliciosos não é suficiente – os usuários precisam rastrear as cobranças erradas e cancelar esses serviços pessoalmente.

De acordo com especialistas de cibersegurança da Check Point, o malware agora está escondido no “manifesto de aplicativos benignos”.

“Esse é um arquivo que todo aplicativo Android deve ter, onde o desenvolvedor declara permissões necessárias, uso de serviços, etc. Cibercriminosos colocaram a carga maliciosa codificada nos campos 'metadados' desse arquivo, apenas para ser decodificado e carregado quando estiver no dispositivo da vítima.”

Embora o Google esteja mobilizando diversos esforços para impedir maiores estragos, é uma batalha injusta: até que essas ameaças revelem suas novas estratégias para ultrapassar as barreiras de segurança, é impossível prever qual será o próximo passo.

A lista com os aplicativos infectados pelo Joker está disponível aqui e já foram removidos da Play Store.

Fonte: Forbes

Versão alternativa do EARN IT Act continua ameaçando a criptografia de ponta a ponta

Há alguma semanas, o Senado dos EUA avalia um projeto de lei que, dentre outras proposições, visa romper com um dos princípios de privacidade da criptografia, que é impedir o acesso de terceiros às mensagens protegidas por essa solução de segurança.

De acordo com os autores do projeto, a criptografia impede, inclusive, que autoridades com mandado de busca tenham acesso às mensagens, o que cria oportunidades perigosas para grupos de terroristas e cibercriminosos operarem livremente.

Se aprovada, a lei ameaça uma dos diferenciais mais importantes de aplicativos como o WhatsApp e o Facebook.

A reação negativa em torno do projeto, porém, parece estar fazendo algum efeito. Esta semana, o documento foi revisto para flexibilizar essa autoridade absoluta sobre a criptografia que tanto preocupa adeptos do recurso.

O projeto de lei alterado agora inclui proteções que proíbem os Estados de responsabilizar as empresas porque elas usam "criptografia de ponta a ponta, criptografia de dispositivo ou outros serviços de criptografia", mesmo que autores de algum crime se beneficiem da solução.

Isso é uma boa notícia, mas a ameaça à criptografia não desapareceu. O projeto ainda incentiva os legisladores estaduais a procurar brechas para minar a criptografia de ponta a ponta, como exigir que as mensagens sejam digitalizadas em um dispositivo local antes de serem criptografadas e enviadas ao destinatário.

Conhecida como “client-side scanning”, essa abordagem permitiria que algumas mensagens sejam selecionadas e enviadas ao governo, evitando, assim, as proteções da criptografia de ponta a ponta.

Fonte: Naked Security

Golpe usa fácil identificação de servidores para explorar vulnerabilidades de blog, sites e e-commerces

Qualquer um que administra um site ou blog muito provavelmente usa um provedor em nuvem ou uma empresa de hospedagem especializada para gerenciar seu servidor e entregar conteúdo a seus visitantes.

E, como você ou sua equipe já devem ter reparado, é fácil descobrir qual servidor seu site ou blog utilizam. Não é à toa que a caixa de entrada dos e-mails de seus colaboradores às vezes lota de spams como: “Percebi que você usa o provedor de Web X e temos uma oferta imperdível para você!”

Esse tipo de mensagem, embora aborrecedor, costuma ser inofensivo. Porém, é indicativo de um problema maior: a facilidade com que determinados informações podem ser rastreadas e utilizadas para fins cibercriminosos.

Pesquisadores de cibersegurança do SophosLab expuseram, essa semana, uma campanha de phishing direcionada a sites e blogs que se aproveita justamente dessa vulnerabilidade.

O que eles descobriram:

Campanha de phishing oferece “atualizações de segurança do DNS” a sites e blogs

Recentemente, usuários do WordPress, bem como de diversos servidores populares ao redor do mundo, têm recebido e-mails de phishing onde criminosos, se passando pela plataforma, alegam que em breve novos recursos de segurança do DNS serão adicionados ao domínio hospedado no servidor em questão.

O e-mail tem a seguinte estrutura:

Assunto: Atualização do DNS do [seusite].com

Estamos atualizando o DNS do seu domínio para uma solução ainda melhor, gratuitamente!

Nós nos preocupamos com a sua privacidade e a proteção dos seus domínios. Por isso, em breve atualizaremos o DNS (Sistema de Nomes de Domínio) básico às Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC).

Créditos da imagem: nakedsecurity.sophos.com

Como você provavelmente sabe, DNS é uma abreviação de Domain Name System – o banco de dados global que transforma nomes de servidores que usuários podem lembrar (como compugraf.com.br), em números de rede que os computadores podem usar (como 203.0.113.171).

E quem está mais familiarizado com cibersegurança também já ouviu falar do DNSSEC, abreviação de Domain Name System Security Extension, porque ele existe há mais de 20 anos.

Trata-se de um protocolo que adiciona autenticação às transferências de dados DNS para ajudar a impedir que os cibercriminosos encham o banco de dados DNS com entradas falsas e, assim, sequestrem o tráfego do seu site.

No entanto, sua equipe de TI provavelmente nunca teve que configurar ou acessar diretamente o DNSSEC, porque este geralmente é um recurso utilizado pelos provedores de serviços para ajudar a manter seus próprios bancos de dados DNS intactos quando eles trocam dados com outros servidores DNS.

Mas se você não sabe disso e se depara com o e-mail acima, ativar o DNSSEC certamente parece uma boa idéia, afinal, indica maior segurança, certo?

Logo, é fácil entender por que alguns destinatários desse golpe estão clicando para saber mais e “atualizar as configurações de DNS” de seus servidores.

A engenharia por trás da campanha de phishing

A landing page desse golpe é surpreendentemente crível, como você pode ver abaixo, que é para onde o link redireciona quando o destinatário clica para fazer sua “atualização gratuita” do DNSSEC:

A página afirma ser um "Assistente de Atualização do WordPress", com logotipos e ícones que correspondem ao seu provedor de serviços, e ainda possui um botão de “como usar este assistente”, que realmente funciona:

Obviamente, o intuito aqui é que o usuário compartilhe suas credenciais do WordPress.

Porém, todos os dados inseridos na página vão diretamente para os criminosos, e se o usuário não tiver a autenticação de dois fatores ativada em sua conta, eles poderão facilmente fazer logon no site ou blog e se apropriar dele.

Caso os dados sejam compartilhados, o golpe mostrará algumas mensagens de progresso falsas, mas que imitam muitíssimo bem páginas verdadeiras, para fazer o usuário pensar que uma legítima "atualização do site" foi iniciada.

Além disso, os golpistas afirmam que o usuário será redirecionado para o seu próprio site no final do processo, mas, em vez disso, ele termina em uma URL que inclui o nome do site precedido pelo nome do site falso, configurado pelos criminosos.

Isso gera um erro 404 – mas não é possível dizer se os bandidos cometeram um erro de programação ou se esse era o objetivo isso o tempo todo, para evitar o redirecionamento.

Personalização automática da página de destino

Os links clicáveis nos e-mails enviados nesta campanha de phishing incluem todos os dados necessários para que os criminosos personalizem a página de login automaticamente, de acordo com o servidor utilizado por cada vítima.

No total, os bandidos tinham 98 imagens diferentes de marcas prontas para serem usadas, incluindo de provedores para e-commerce .

O que fazer para se proteger dessas campanhas de phishing?

A recomendação mais simples? Não faça login através de links enviados por e-mails, especialmente se eles parecem suspeitos.

Caso não pareçam suspeitos, como é o caso aqui, se você ou alguém da sua equipe receber um e-mail informando que precisa fazer login no serviço X e tiver uma conta no site X, ignore os links de login do próprio e-mail.

Nesse contexto, o ideal é que você digite o site na barra de busca para, então, fazer seu login, mesmo se achar que o e-mail é genuíno. Dessa forma, você evita cair em links falsos por engano.

Além disso, ative a autenticação de dois fatores sempre que possível.

Outra dica compartilhada pelos pesquisadores é considerar um gerenciador de senhas. Os gerenciadores de senhas não apenas selecionam senhas fortes e aleatórias automaticamente, mas também associam cada senha a um URL específico.

Isso torna muito mais difícil colocar a senha correta no site errado, porque o gerenciador de senhas simplesmente não sabe qual conta usar quando se depara com um site de phishing desconhecido.

Finalmente, consultar especialistas em segurança é sempre uma boa pedida, principalmente se você quer ter a certeza de que todas as áreas vulneráveis da sua empresa estarão sendo protegidas.

Conte com a assessoria dos nossos especialistas da Compugraf e descubra como manter a segurança do seu site – e do seu negócio!

Aplicativos do Facebook compartilhando dados sem permissão, novo malware para usuários do macOS e falhas no iOS 14 nas notícias da semana.

As notícias desta semana mostram que nenhum sistema é à prova de balas, e que a proteção de muitos recursos está condicionada a uma série de fatores, algo visto em nosso artigo sobre os riscos mais comuns na segurança corporativa.

O que você vai ler hoje:

• Aplicativos do Facebook compartilham dados com terceiros sem autorização do usuário
• LinkedIn e Reddit também estão bisbilhotando área de transferência, graças a falha do iOS 14
• Stuxnet 2.0? Ataque a usina no Irã pode ter raízes na ciberguerra
• Novo malware mira em usuários de Mac e se esconde atrás de uma solução legítima de segurança
• Uma a cada 142 senhas são “123456”, de acordo com análise de credenciais vazadas

Aplicativos do Facebook compartilham dados com terceiros sem autorização do usuário

Uma equipe de acadêmicos revelou, esta semana, um método que pode ajudar a identificar quando os desenvolvedores de aplicativos para o Facebook compartilham clandestinamente dados de usuários com terceiros.

Intitulado CanaryTrap, o recurso gira em torno de uma espécie de “honeytoken” – isto é, dados, tokens ou arquivos falsos que especialistas em TI plantam em sua rede para detectar atividades maliciosas.

No contexto do CanaryTrap, os honeytokens eram endereços de e-mail exclusivos que os acadêmicos usaram para registrar contas no Facebook e mapear quais apps compartilhavam seus dados sem autorização.

A equipe de pesquisadores testou 1.024 aplicativos do Facebook usando essa técnica e identificou 16 apps que compartilhavam endereços de e-mail com terceiros. Dos 16, apenas 9 aplicativos revelaram que tinham um relacionamento com o remetente do email – geralmente um site afiliado ou parceiro de negócios não-relacionado.

A pesquisa completa você pode conferir aqui.

Fonte: ZDNet Security

Mais apps foram flagrados bisbilhotando área de transferência, graças a falha do iOS 14

Na semana passada, o TikTok era o centro das atenções por, supostamente, bisbilhotar a área de transferência de usuários de iPhone, devido a uma falha no iOS 14.

Esta semana, LinkedIn e Reddit foram denunciados pela mesma atividade suspeita.

De acordo com comunicado oficial, o LinkedIn estaria registrando todos os pressionamentos de tecla dos dados da área de transferência para “verificar se correspondem ao que é colado no feed da plataforma pelo usuário”.

Já o Reddit alegou que rastreia o comportamento do usuário até o “compositor de postagem que verifica os URLs na área de transferência e sugere um título de postagem com base no conteúdo de texto da URL”, mas que já está preparando uma nova versão do app, mais alinhada aos princípios de privacidade.

Fonte: Forbes

Stuxnet 2.0? Ataque a usina no Irã pode ter raízes na ciberguerra

Irã alega que incêndio e possível explosão em sua usina nuclear de Natanz no dia 2 de julho poderia ter sido causado por um ataque cibernético, e ameaça retaliação.

A Organização de Energia Atômica do Irã confirmou que um incidente ocorreu no mesmo local onde, em 2010, um ataque cibernético altamente sofisticado, orquestrado pelos EUA e Israel e conhecido como Stuxnet, foi posto em prática, com consequências a níveis nacionais para o país. Naturalmente, fala-se sobre um Stuxnet 2.0, mas ainda não se sabe se, de fato, o ataque foi orquestrado ciberneticamente.

No entanto, o chefe de defesa civil do Irã, Gholamreza Jalali, disse, em 3 de julho, que “retaliar ataques cibernéticos faz parte da estratégia de defesa do país”.

“Se for comprovado que nosso país foi alvo de um ataque cibernético, responderemos”, declarou.

Fonte: Forbes

Novo malware mira em usuários de Mac e se esconde atrás de uma solução legítima de segurança

Chamado ThiefQuest, um novo malware, voltado ao usuários de Mac, está sendo enviado às possíveis vítimas como parte de um download de torrent infectado.

O surpreendente é que o torrent de fato contém uma popular ferramenta de segurança para Mac, chamada LittleSnitch, utilizada para informar ao usuário quando outro software em seu Mac estiver tentando fazer conexões de rede furtivas, que podem representar um risco à segurança. Senso de humor é tudo, não é?

Porém, o torrent infectado contém um patch que alega converter a versão de avaliação gratuita do LittleSnitch em uma versão paga completa. É mentira. O que o patch realmente faz é infectar o Mac da vítima e abrir as portas de comunicação com os servidores de comando do ThiefQuest.

Para garantir a segurança, valem as recomendações usuais: não baixar softwares de fontes duvidosas e se assegurar de seus sistema operacional está atualizado, bem como instalar um programa anti-malware confiável, que vai detectar quando qualquer atividade maliciosa tentar se apropriar do seu dispositivo.

Fonte: Forbes

Será que você é um mestre da segurança da informação e conhece todos os vetores de ataque?

Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.

Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.

Como manter uma empresa segura?

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua empresa.

O COVID-19 continua rendendo campanhas de phishing, agora focadas no retorno ao “Novo Normal”. Movimento Black Lives Matter também virou isca.

Se, por um lado, algumas empresas estudam estender o trabalho remoto indefinidamente, ou até o fim deste ano, por outro, a discussão em torno de quem já está voltando à “normalidade” ganha um novo capítulo: medidas de segurança contra o vírus dos ciberataques.

Isso porque pesquisadores de cibersegurança vem alertando para uma nova campanha de phishing que pretende enviar recursos de treinamento a respeito do coronavírus para colaboradores que estão retornando a seus locais de trabalho, à medida que as iniciativas de contenção do COVID-19 são flexibilizadas.

Da mesma forma que, no primeiro trimestre de 2020, e-mails, aplicativos e domínios falsos pipocavam pela internet atraindo usuários desavisados e ludibriando-os a entregarem seus dados pessoais em troca de informações duvidosas, só o que muda, agora, é a isca.

A campanha, direcionada a usuários do Office 365, um dos pacotes mais comuns em empresas ao redor do mundo, envia um email que inclui um link para se registrar no intitulado “Treinamento COVID-19 para colaboradores: um certificado para ambientes de trabalho mais saudáveis“.

Fonte: checkpoint.com

Em vez de uma página de inscrição legítima, porém, o link redireciona os usuários para um domínio malicioso, onde são requeridas suas credenciais e alguns dados pessoais, de acordo com este relatório da Check Point Research.

Uma pandemia virtual

Os pesquisadores também afirmam que esta campanha é parte de um aumento recente de ataques cibernéticos que exploram a realidade do “Novo Normal”, já que muitas pessoas no Brasil e ao redor do mundo retornam aos negócios.

Apesar de os ataques relacionados ao coronavírus estarem diminuindo – com um número médio de cerca de 130.000 ataques por semana em junho, uma queda de 24% em comparação com a média semanal de maio – os ataques cibernéticos em geral estão aumentando, disseram os autores do relatório.

Contudo, ainda é cedo para saber se essa queda é uma boa notícia.

A perspectiva não é das mais otimistas, julgando pelos demais dados do relatório: os ataques semanais aumentaram 18% entre maio e junho, uma leve crescente em relação ao aumento de 16% entre abril e maio.

Não só isso: o risco, para as empresas, depende muito do estado de disseminação do vírus, e os pesquisadores descobriram que em locais onde ainda existem surtos ativos a atividade cibercriminosa relacionada ao COVID-19 – que, descobriu-se recentemente, segue a tendência de notícias do próprio vírus – ainda prevalece.

Em outras palavras: a linha de evolução dos ciberataques tende a acompanhar a linha de evolução da própria pandemia, correspondendo a seus altos e baixos.

“Nossos dados mais recentes mostram que o risco de uma organização ser impactada por um site malicioso relacionado ao coronavírus depende de como a quarentena está sendo conduzida em cada país”, alertaram os pesquisadores no relatório.

Aqui no Brasil, muitas cidades ainda estão sob lockdown, mas outras tantas já reabriram o comércio – o que também tem contribuído para um aumento nos ataques – ou estão em vias de mobilizar seus colaboradores a retomarem o trabalho in loco.

E o esperado é que essas campanhas evoluam, se aproveitando das novas políticas internas que as empresas serão obrigadas a adotar, seja pela segurança física ou digital de seus colaboradores.

Além do COVID-19: campanhas também miram nos assuntos mais discutidos na internet

Por outro lado, novas campanhas de phishing visam tirar proveito de outras notícias importantes – como o movimento Black Lives Matter (BLM), que provocou protestos e manifestações em massa ao redor do mundo depois que um vídeo viral revelou o assassinato de George Floyd, em 25 de maio, por um ex-policial de Minneapolis.

Um ataque de spear-phishing (que utiliza fontes “confiáveis”, como instituições relevantes) no início de junho, por exemplo, foi enviado com assuntos como “Deixe sua opinião confidencialmente sobre o ‘Black Lives Matter'”, “Deixe uma opinião anônima sobre o ‘Black Lives Matter'” ou “Vote anonimamente sobre o ‘Black Lives Matter’” nos EUA.

O e-mail incluía um arquivo doc malicioso, normalmente nomeado no formato “e-vote_form _####. doc” (onde cada # corresponde a um dígito).

Se os usuários abrirem o e-mail e clicarem no anexo, eles serão redirecionados para uma página que pretende fornecer uma atualização do Office.

Essa “atualização” na verdade é vinculada a duas URLs maliciosas, que carregam o malware Trickbot nos dispositivos das vítimas.

Fonte: checkpoint.com

Como se proteger dessas e de futuras ameaças

Para assegurar a proteção contra esses ataques, lembre-se:

1. Cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes desconhecidos;

2. Seja cauteloso(a) com os arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que você normalmente não tomaria;

3. Cuidado com ofertas “especiais” e treinamentos que não tenham sido previamente orientados pela sua empresa. Caso haja dúvida, confirme com seus superiores antes de clicar em qualquer link;

4. Certifique-se de não reutilizar senhas entre aplicativos e contas diferentes.

As caixas de entrada de seus colaboradores são, também, a entrada para sua empresa. Certifique-se de elas estão protegidas.

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança da sua equipe e do seu negócio