O COVID-19 continua rendendo campanhas de phishing, agora focadas no retorno ao “Novo Normal”. Movimento Black Lives Matter também virou isca.

Se, por um lado, algumas empresas estudam estender o trabalho remoto indefinidamente, ou até o fim deste ano, por outro, a discussão em torno de quem já está voltando à “normalidade” ganha um novo capítulo: medidas de segurança contra o vírus dos ciberataques.

Isso porque pesquisadores de cibersegurança vem alertando para uma nova campanha de phishing que pretende enviar recursos de treinamento a respeito do coronavírus para colaboradores que estão retornando a seus locais de trabalho, à medida que as iniciativas de contenção do COVID-19 são flexibilizadas.

Da mesma forma que, no primeiro trimestre de 2020, e-mails, aplicativos e domínios falsos pipocavam pela internet atraindo usuários desavisados e ludibriando-os a entregarem seus dados pessoais em troca de informações duvidosas, só o que muda, agora, é a isca.

A campanha, direcionada a usuários do Office 365, um dos pacotes mais comuns em empresas ao redor do mundo, envia um email que inclui um link para se registrar no intitulado “Treinamento COVID-19 para colaboradores: um certificado para ambientes de trabalho mais saudáveis“.

Fonte: checkpoint.com

Em vez de uma página de inscrição legítima, porém, o link redireciona os usuários para um domínio malicioso, onde são requeridas suas credenciais e alguns dados pessoais, de acordo com este relatório da Check Point Research.

Uma pandemia virtual

Os pesquisadores também afirmam que esta campanha é parte de um aumento recente de ataques cibernéticos que exploram a realidade do “Novo Normal”, já que muitas pessoas no Brasil e ao redor do mundo retornam aos negócios.

Apesar de os ataques relacionados ao coronavírus estarem diminuindo – com um número médio de cerca de 130.000 ataques por semana em junho, uma queda de 24% em comparação com a média semanal de maio – os ataques cibernéticos em geral estão aumentando, disseram os autores do relatório.

Contudo, ainda é cedo para saber se essa queda é uma boa notícia.

A perspectiva não é das mais otimistas, julgando pelos demais dados do relatório: os ataques semanais aumentaram 18% entre maio e junho, uma leve crescente em relação ao aumento de 16% entre abril e maio.

Não só isso: o risco, para as empresas, depende muito do estado de disseminação do vírus, e os pesquisadores descobriram que em locais onde ainda existem surtos ativos a atividade cibercriminosa relacionada ao COVID-19 – que, descobriu-se recentemente, segue a tendência de notícias do próprio vírus – ainda prevalece.

Em outras palavras: a linha de evolução dos ciberataques tende a acompanhar a linha de evolução da própria pandemia, correspondendo a seus altos e baixos.

“Nossos dados mais recentes mostram que o risco de uma organização ser impactada por um site malicioso relacionado ao coronavírus depende de como a quarentena está sendo conduzida em cada país”, alertaram os pesquisadores no relatório.

Aqui no Brasil, muitas cidades ainda estão sob lockdown, mas outras tantas já reabriram o comércio – o que também tem contribuído para um aumento nos ataques – ou estão em vias de mobilizar seus colaboradores a retomarem o trabalho in loco.

E o esperado é que essas campanhas evoluam, se aproveitando das novas políticas internas que as empresas serão obrigadas a adotar, seja pela segurança física ou digital de seus colaboradores.

Além do COVID-19: campanhas também miram nos assuntos mais discutidos na internet

Por outro lado, novas campanhas de phishing visam tirar proveito de outras notícias importantes – como o movimento Black Lives Matter (BLM), que provocou protestos e manifestações em massa ao redor do mundo depois que um vídeo viral revelou o assassinato de George Floyd, em 25 de maio, por um ex-policial de Minneapolis.

Um ataque de spear-phishing (que utiliza fontes “confiáveis”, como instituições relevantes) no início de junho, por exemplo, foi enviado com assuntos como “Deixe sua opinião confidencialmente sobre o ‘Black Lives Matter'”, “Deixe uma opinião anônima sobre o ‘Black Lives Matter'” ou “Vote anonimamente sobre o ‘Black Lives Matter’” nos EUA.

O e-mail incluía um arquivo doc malicioso, normalmente nomeado no formato “e-vote_form _####. doc” (onde cada # corresponde a um dígito).

Se os usuários abrirem o e-mail e clicarem no anexo, eles serão redirecionados para uma página que pretende fornecer uma atualização do Office.

Essa “atualização” na verdade é vinculada a duas URLs maliciosas, que carregam o malware Trickbot nos dispositivos das vítimas.

Fonte: checkpoint.com

Como se proteger dessas e de futuras ameaças

Para assegurar a proteção contra esses ataques, lembre-se:

1. Cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes desconhecidos;

2. Seja cauteloso(a) com os arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que você normalmente não tomaria;

3. Cuidado com ofertas “especiais” e treinamentos que não tenham sido previamente orientados pela sua empresa. Caso haja dúvida, confirme com seus superiores antes de clicar em qualquer link;

4. Certifique-se de não reutilizar senhas entre aplicativos e contas diferentes.

As caixas de entrada de seus colaboradores são, também, a entrada para sua empresa. Certifique-se de elas estão protegidas.

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança da sua equipe e do seu negócio

Tiktok, blockchain e mais nas notícias da semana

O que você vai ler hoje:

• O TikTok pode estar espiando seus dados, mas por culpa da Apple
• O novo malware que evolui via blockchain
• Ransomware sequestra fotos e vídeos de usuários
• Criptografia do WhatsApp em risco

Vulnerabilidades no iOS permitem que o TikTok espie seus dados – e ele está espiando

Do começo do ano para cá, a Apple vinha enfrentando sérias vulnerabilidades em seu sistema operacional para iPhone – o iOS. Um dos mais preocupantes permitia que quaisquer dados copiados para a área de transferência do dispositivo fossem lidos por qualquer aplicativo ativo.

Não há notificação nem configuração para restringir a capacidade de um aplicativo acessar informações do usuário; a vulnerabilidade está oculta, e os usuários não tinham como saber quando um aplicativo poderia estar roubando seus dados.

A gigante da tecnologia já desenvolveu uma nova versão do iOS, que avisará seus usuários quando um aplicativo tiver acesso aos itens copiados na área de transferência, mas o problema está longe de ser dado por encerrado.

Mais recentemente, alguns apps foram flagrados bisbilhotando esses dados que, embora não devessem estar disponíveis, tampouco deveriam ser acessados por qualquer um. Dentre eles, a nova redes social mais querida ao redor do mundo: TikTok.

Apesar do aviso emitido pelo novo iOS tanto a usuários quanto desenvolvedores, denúncias de que o aplicativo continuaria bisbilhotando a área de transferência têm surgido com alguma frequência.

De acordo com o TikTok, o problema agora é “acionado por um recurso projetado para identificar comportamentos repetitivos e de spam”. Porém, em nota oficial, representantes do TikTok dizem que “já enviaram uma versão atualizada do aplicativo à App Store, removendo o recurso anti-spam para eliminar qualquer confusão potencial”.

Fonte: Forbes

Novo malware usa rede de bitcoin como canal de comunicação para atualizações e mutações constantes

Um novo malware chamou a atenção de pesquisadores de cibersegurança neste relatório divulgado pela SophosLabs.

De acordo com o relatório, Glupteba – o malware – usa quase todos os truques para crimes cibernéticos de que você já ouviu falar e, provavelmente, muitos outros. E, como muitos malwares hoje em dia, ele é o que especialistas chamam de zumbi ou bot – um malware que pode ser controlado de longe por quem o escreveu.

Dentre uma série de recursos que possibilitam ataques significativamente nocivos, o mais interessante é como o Glupteba usa o blockchain do Bitcoin – um canal comum, mas de difícil acesso – como meio de comunicação para receber informações atualizadas. Isto é, updates de configuração que funcionam como “instruções” para o bot operar.

Além disso, o Glupteba possui uma longa lista de comandos maliciosos internos que os criminosos podem acionar, incluindo os comandos auto-explicativos de atualização de dados e upload de arquivo, detalhados no relatório. Mas também inclui, como na maioria dos bots, comandos genéricos para download e execução de novos malwares, o que significa que, mesmo se você souber tudo sobre a Glupteba, não poderá prever no que ela poderá se transformar a seguir, porque os criminosos podem atualizar o malware em execução.

A má notícia é que os muitos componentes de autoproteção da Glupteba indicam que há muitos truques disponíveis para impedir que o malware apareça nos logs de segurança.

A boa notícia é que essa complexidade toda torna o malware menos confiável e, ironicamente, mais propenso a disparar alarmes de segurança em algum momento.

Vamos ficar de olho.

Fonte: Naked Security

Ransomware canadense sequestra fotos e vídeos de usuários e alerta para ciberataques relacionados ao COVID-19

Uma nova variedade de ransomware surgiu no Canadá, mirando usuários de Android e bloqueando fotos e vídeos pessoais.

Chamado CryCryptor, o malware foi inicialmente identificado como fingindo ser o aplicativo oficial de rastreamento do COVID-19 fornecido pela Health Canada. Ele está se propagando através de dois sites falsos diferentes, que fingem ser oficiais, de acordo com pesquisadores da ESET.

Como outras famílias de ransomware, ele criptografa arquivos direcionados. Mas, em vez de simplesmente bloquear o dispositivo, o CryCryptor deixa um arquivo “read me.txt” com o email do invasor em todos os diretórios. Também é baseado em códigos-fonte abertos, facilmente encontrados no GitHub.

Quando alguém inicia o aplicativo mal-intencionado, ele solicita acesso aos arquivos no dispositivo, incluindo fotos e vídeos do usuário. Depois disso, os arquivos selecionados são criptografados usando o AES com uma chave de 16 caracteres gerada aleatoriamente.

O ransomware faz parte da leva crescente de ataques que usam a pandemia do COVID-19 para fazer suas vítimas. Embora este malware, em específico, esteja restrito ao Canadá, sua estrutura é um bom modelo de como apps de phishing se espalham ao redor do mundo e alertam para possíveis riscos similares.

Fonte: Threat Post

Criptografia do WhatsApp em risco, mas em prol da segurança

Anunciando planos “de encerrar o uso de criptografia à prova de mandado que protege a atividade criminosa”, os senadores dos EUA Lindsey Graham, Tom Cotton e Marsha Blackburn introduziram a Lei de Acesso Legal a Dados Criptografados em 23 de junho, conhecida como EARN IT Act no país.

A legislação visa romper com um dos princípios de privacidade da criptografia, que é impedir o acesso de terceiros às mensagens protegidas por essa solução de segurança.

Isso porque a criptografia impede, inclusive, que autoridades com mandado de busca tenham acesso às mensagens, o que, de acordo com os senadores, “cria oportunidades perigosas para grupos de terroristas e cibercriminosos operarem livremente”.

“Uma vez que um mandado é obtido”, explicam os autores da proposta de lei, “os fabricantes de dispositivos e os prestadores de serviços [seriam obrigados] a auxiliar a aplicação da lei no acesso a dados criptografados se a assistência ajudasse na execução do mandado”.

O projeto também impõe que as empresas relatem sua conformidade. Haveria um processo de apelação e compensação dos custos incorridos – mas a criptografia de ponta a ponta seria interrompida.

O Facebook seria mais impactado do que qualquer outro player de tecnologia – com sua emblemática plataforma de mensagens WhatsApp, de longe, sendo o maior advogado e fornecedor de criptografia de ponta a ponta em todo o mundo.

Se aprovada, a lei terá seus benefícios e suas controvérsias: por um lado, significa que nossas mensagens não estarão mais 100% protegidas de terceiros; por outro, pode impedir a proliferação de atividades criminosas e, paradoxalmente, mobilizar novas alternativas de segurança.

Resta esperar para ver.

Fonte: Forbes

Será que você é um mestre da segurança da informação?

Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.

Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.

Como manter uma empresa segura?

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua sempresa.

À medida que as empresas reabrem ao redor do mundo, nova tempestade de ataques cibernéticos começa a se formar

Não há nada que tenha nos preparado para o impacto que sofreremos conforme empresas, comércios e negócios, em geral, começam a reabrir agora que a pandemia do novo coronavírus adentra sua nova fase.

No contexto das soluções cloud, por exemplo, as disrupções provocadas pelo COVID-19 abrem as portas para outro tipo de vírus: as ameaças à segurança cibernética. Hoje, estamos testemunhando um aumento vertiginoso da atividade cibercriminosa que se aproveita do caos criado pela pandemia, evoluindo em agilidade e proporção nunca antes vistas.

Se por um lado as preocupações sobre a recuperação econômica e uma potencial segunda onda de infecção continuam tirando o sono da população da maioria dos países, por outro, a preocupação de muitas empresas inclui, também, as ameaças de segurança cibernética, que podem facilmente levar a uma ruptura antes mesmo de elas terem a chance de tentar retornar à normalidade.

Isso porque uma violação da segurança cibernética pode rapidamente significar o fim de muitas empresas que já lutam para sobreviver diante dos desafios enfrentados durante o isolamento social. Afinal, os ataques, há um bom tempo, já deixaram de mirar apenas em multinacionais ou grandes empresas. Os pequenos negócios também têm sofrido com a violação de dados por meio de ataques de engenharia social e phishing, por exemplo.

À medida que as empresas navegam por esse “novo normal”, é imprescindível abordar os pontos fracos de suas estratégias de TI e considerar a implementação de um plano preventivo, para evitar danos a longo prazo. Mais do que isso: é preciso pensar pelo viés dessa nova mentalidade imposta pelo COVID-19, que deve deixar sua marca por um bom tempo.

Novas condições de trabalho expõem lacunas nas estratégias de cibersegurança

O trabalho remoto se espalhou rapidamente por toda parte, tornando os departamentos de TI justificadamente cautelosos e até assustados, à medida que seus usuários trabalham em novos ambientes com novas ferramentas, incluindo:

• Videoconferências
• Compartilhamento de arquivos
• Áreas de trabalho virtuais
• Chats em grupo
• VPN
• Plataformas de colaboração
• Aplicativos e ferramentas online

O uso incorreto desses recursos pode criar novas e valiosas oportunidades para os cibercriminosos à espreita. Um certificado perdido, uma autorização que não deveria ser concedida, gerenciamento equivocado de privacidade, falta de treinamento dos usuários para o uso de algumas dessas ferramentas ou, simplesmente, uma atualização que não foi feita – tudo isso é ouro nas mãos de quem está à espera de que surja qualquer vulnerabilidade para atacar.

E se até mesmo as empresas cujas estratégias de TI poderiam ser consideradas exemplares lutam para se adaptar à nova realidade do home office, quem nunca se preocupou efetivamente com cibersegurança está à mercê da inevitabilidade de um ataque.

Incidentes de segurança devem continuar crescendo – em tamanho e velocidade

Especialistas já preveem que o ritmo dos principais incidentes de segurança continuará a crescer no futuro próximo, bem como a gravidade do seu impacto.

Embora não seja incomum, o aumento na frequência de ransomwares, falhas e exploits pode ser um prenúncio do que está por vir. O mês de maio, por exemplo, testemunhou um número impressionante de relatórios de violação de segurança:

• Uma violação significativa de dados na companhia aérea britânica EasyJet levou à perda de informações de mais de nove milhões de clientes para hackers "altamente sofisticados", incluindo detalhes de cartão de crédito de mais de 2.000 clientes;
• O FBI emitiu um aviso sobre uma campanha de escaneamento de cartão de crédito que tira proveito de um plugin na plataforma de comércio eletrônico Magento, amplamente utilizada ao redor do mundo. Até 1.700 negócios podem ter sido afetados;
• O Bank of America relatou o vazamento de dados de seu aplicativo em um servidor de teste associado a soluções de empréstimos do PPP (Paycheck Protection Program);
• Relatórios do setor industrial indicaram componentes pouco seguros de armazenamento em nuvem, bem como dificuldades de segurança em soluções cloud cada vez mais complicadas;
• Um relatório focado em pequenas empresas (SMB) mostrou como elas estão enfrentando o mesmo espectro de ameaças de segurança e previsibilidade de ataque que as grandes empresas. Notícias que vão desde vulnerabilidades de controle remoto em dispositivos de armazenamento conectados à rede (NAS – Network-Attached Storage) a infecções emergentes por ransomware amplificam essas preocupações, com metade de todos os ataques cibernéticos sendo direcionados a pequenas empresas.

Uma era de fraudes

A incerteza, particularmente nos primeiros dias da pandemia, resultou em uma inevitável sobrecarga de informações.

E, infelizmente, com muita informação disponível, e muita gente buscando informação, existe, paradoxalmente, uma abertura perigosa para a desinformação – o campo de batalha ideal para hackers explorarem golpes digitais, especialmente phishing, se valendo de temas como:

• Atualizações sobre o COVID-19 e “informações oficiais de saúde”;
• Desemprego;
• Renegociação de dívidas e/ou fundos de investimento;
• Oferta de empréstimo para empresas governamentais;
• Doações;
• “Comunicados oficiais” de entidades como a OMS ou instituições de saúde nacionais e internacionais.

Emocional e financeiramente fragilizados, nos tornamos mais suscetíveis a esses golpes, realizados via e-mail, domínios falsos, mensagens de aplicativos, dentre outros meios.

Tempos incertos produzem ameaças organizacionais

O fantasma dos ciberataques é uma assombração constante, mas, em tempos de incerteza, o caos aumenta exponencialmente.

Como este último trimestre tem evidenciado, cibercriminosos não medem esforços para escalar ataques diversos. Nas empresas, o grande risco é a engenharia social, onde hackers enviam mensagens falsas, se passando por um colaborador, na esperança de induzir os demais colaboradores a liberarem informações confidenciais, alterar indevidamente informações de roteamento ou instalar softwares maliciosos nos dispositivos de trabalho.

Se por um lado a inovação tem reinventado as dinâmicas de trabalho, por outro, nunca antes cibercriminosos tiveram tantas oportunidades em mãos.

Mesmo quando passar a pandemia, seus impactos vão perdurar. As empresas não podem se dar ao luxo de postergar ainda mais suas estratégias de cibersegurança neste mundo onde qualquer recurso pode servir como fonte de ataque.

Já passou da hora de pedir ajuda a especialistas.

Nas redes da Compugraf, nossos profissionais de cibersegurança compartilham os principais alertas e planos de prevenção para sua empresa. Acompanhe nosso conteúdo!

As principais notícias da semana

O que você vai ler hoje:

• Campanhas criminosas explorando a COVID-19 podem voltar em breve
• Ataques de ransomware têm nova vítima: as indústrias
• Extensões nocivas do Google são removidas por coleta não-autorizada de dados
• 32 milhões de usuários do Chrome são vítimas de campanha de spyware

Campanhas criminosas explorando a COVID-19 podem voltar

A pandemia do COVID-19 provocou um aumento considerável nos ataques cibernéticos em todo o mundo, especialmente aqueles envolvendo phishing. Porém, um novo relatório da Microsoft revelou alguns detalhes surpreendentes sobre o aumento da atividade criminosa online.

De acordo com ele, na primeira semana de Março, o volume de ataques aumentou para quase um milhão por dia. Curiosamente, diminuíram de forma igualmente veloz. Na semana seguinte, já haviam caído para cerca de 30%.

À medida que o calendário avançava para abril, os ataques cibernéticos que já estavam abaixo de 100.000 por dia.

Porém, não vamos nos acomodar. À medida que governos continuam a pressionar a trégua na quarentena, e o número de infecções aumenta, aumenta também a probabilidade de que as ameaças cibernéticas do COVID-19 voltem com força total.

Fonte: Forbes

Ataques de ransomware miram em novas vítimas: as indústrias

Recentemente, cibercriminosos descobriram que cercar dados roubados é muito mais trabalhoso do que mantê-los reféns. E essa descoberta promete gastos ainda maiores com despesas para recuperação desses dados.

O pagamento médio por resgate de ransomware aumentou 33% no quarto trimestre de 2019, passando para cerca de 112 mil dólares. Mas o custo real é o impacto nos negócios, como perda de receita ou produtividade dos funcionários ou o impacto nos serviços públicos, uma vez que o tempo de inatividade médio dos negócios devido a um ataque de ransomware é de 15 dias.

Mas, conforme os desenvolvimentos da conectividade em rede penetram cada vez mais fundo nas organizações, conectando um grupo crescente de sistemas industriais, as operações industriais automatizadas se tornam um alvo muito valioso para os hackers, e muito mais dispendioso para seus executivos.

Afinal, roubar um monte de dados é uma coisa, mas desligar uma organização inteira, bem como seus sistemas de produção hiper-conectados, é outra.

Manter reféns os sistemas industriais e de manufatura é uma ameaça cibernética crescente, que certamente chamará atenção de hackers, diretoria e CEO por uma razão importante: dói rápido.

Esse novo refém mudará completamente o jogo, uma vez que significa que os hackers estão desenvolvendo estratégias cada vez mais ambiciosas e mirando em organizações – como foi o caso da Honda – que simplesmente não podem se dar ao luxo de ter parte de sua rede comprometida, pois isso pode comprometer uma indústria inteira.

Além disso, introduz novos e assustadores riscos se os processos industriais envolverem ambientes ou materiais perigosos ou voláteis.

Fonte: Forbes

106 extensões nocivas do Google são removidas por coleta não-autorizada de dados

O Google removeu, esta semana, 106 extensões maliciosas do Chrome que coletavam dados confidenciais do usuário sem autorização.

Essas 106 extensões fazem parte de um lote de 111 extensões do Chrome identificadas como maliciosas em um relatório publicado no dia 18 de junho de 2020 pela empresa de segurança cibernética Awake Security.

De acordo com as informações divulgadas pelo relatório, as extensões continham código para ignorar as verificações de segurança da Chrome Web Store, fazer capturas de tela, ler a área de transferência do usuário, coletar cookies de autenticação ou reconhecer pressionamentos de tecla do usuário para obter informações como senhas, por exemplo.

Conforme os protocolos de segurança padrão, o Google desativou as extensões do Chrome no navegador de seus usuários. As extensões ainda aparecem instaladas, mas são marcadas como "malware" na seção de extensão do navegador Chrome e não funcionam mais.

Os usuários também são aconselhados a visitar a página chrome://extensions e verificar se instalaram alguma das extensões maliciosas e removê-las de seus navegadores.

A lista completa com as 111 extensões maliciosas divulgadas pela Awake está disponível aqui.

Fonte: ZDnet

Mas não para por aí: nova campanha de malware usando essas extensões maliciosas afetam 32 milhões de usuários do Chrome

Os 2 bilhões de usuários do Google Chrome foram atingidos por uma nova ameaça: uma operação maciça de spyware que secretamente realizou um ataque por meio de 32 milhões de downloads das extensões maliciosas reportadas acima.

Apesar da prontidão com que o Google desativou e removeu tais extensões de sua loja no Chrome, o susto não vai passar tão cedo.

Spyware é um tipo furtivo de malware que monitora sua atividade e rouba informações confidenciais, como senhas, após a infiltração no dispositivo. Esta é uma das maiores campanhas do tipo de que se tem registro, com base no número de downloads das extensões.

Mas não é a primeira vez que um ataque do tipo acontece. O Google foi vítima de várias outras campanhas direcionadas ao navegador Chrome. Em fevereiro, os pesquisadores da Duo Security descobriram que 500 extensões, baixadas milhões de vezes, carregavam informações de navegação privada em servidores controlados por invasores, que redirecionavam as vítimas para sites com malware.

Em comunicado oficial, a gigante da tecnologia afirma: “fazemos varreduras regulares para encontrar extensões usando técnicas, códigos e comportamentos suspeitos, e removemos essas extensões se violam nossas políticas".

Naturalmente, é muito difícil se manter a par de todos os estratagemas maliciosos que se desdobram utilizando seus recursos. Por isso, os usuários não devem contar só com os protocolos de segurança do Google, e também devem prestar especial atenção ao que instalam em seus navegadores.

Fonte: Forbes

Continue bem informado: nas redes da Compugraf, nossos especialistas em segurança alertam para os principais riscos corridos em diferentes plataformas e dispositivos, e como preveni-los. Acompanhe!

FaceApp não atende à maioria das prerrogativas da LGPD, mas mesmo assim o app está entre os mais baixados (de novo)

O aplicativo que bombou em 2019, com um recurso que fazia as pessoas “envelhecerem” nas fotos, está de volta, agora transformando o gênero de seus usuários e requentando uma discussão antiga a respeito da segurança dos dados compartilhados com o app.

À época, surgiram preocupações de que o FaceApp, uma startup teoricamente russa, mas que hoje tem sede declarada nos Estados Unidos, faria o upload das fotos dos usuários na nuvem, sem deixar claro para eles que o processamento não está acontecendo localmente no dispositivo.

Outro problema levantado pelos usuários do FaceApp foi que o aplicativo iOS parecia substituir as configurações se um usuário negasse o acesso ao rolo da câmera – ou seja, apesar do aplicativo não ter permissão para acessar suas fotos, ele acessava mesmo assim.

Conforme ia ganhando popularidade, muito se discutiu se o app seria uma forma de coletar dados faciais para sistemas de reconhecimento e vigilância ostensiva, espionagem russa ou algo mais dramático.

Porém, um depoimento de 2019 do analista sênior de segurança da Kapersky, Fabio Assolini, assegura que o aplicativo em si não tem nada de malicioso, uma vez que a selfie do usuário é enviada aos servidores do app para modificação e mandada de volta ao celular dele com o resultado pronto, sem quaisquer desvios nesse processo.

Por outro lado, isso não significa que o FaceApp esteja isento de problemas em relação à privacidade, especialmente no atual contexto da LGPD.

O real problema do FaceApp não tem tanto a ver com os rostos das pessoas

O X da questão está nos termos de uso do aplicativo, que cita coleta de dados e o compartilhamento dessas informações para fins de publicidade, sem especificar como e deixando as informações suficientemente em aberto para que não sejam facilmente compreendidas.

Na verdade, as políticas de privacidade do FaceApp comunica que não apenas as fotos produzidas são coletadas para fins de melhoria dos algoritmos de IA, mas também informações sobre os próprios usuários.

“Esses dados estão armazenados em servidores de terceiros, e que também podem ser roubados por cibercriminosos e utilizados para a falsificação de identidades”, alerta Assolini, da Kapersky.

O software inclui em seu conjunto de compartilhamento a localização do usuário, o celular usado para acessar o aplicativo, dados de navegação – como histórico, plugins e cookies a partir dos browsers instalados – e quaisquer outras informações pessoais que o FaceApp julgue relevantes para seus parceiros.

Além disso, comunica que, adquirindo o aplicativo, o usuário concede ao FaceApp uma “licença perpétua, irrevogável e não exclusiva” para utilização das informações coletadas.

Finalmente, se reserva o direito de burlar as legislações a respeito da proteção de dados pessoais, podendo transferir as informações dos usuários a servidores em países onde essas legislações não vigoram.

De acordo com o texto dos Termos de Uso do FaceApp:

“Se você estiver na União Europeia ou em outras regiões com leis que regem a coleta e uso de dados que possam diferir da legislação dos EUA, por favor note que podemos transferir informações, incluindo informações pessoais, para um país e jurisdição que não tenha a mesma proteção de dados.”

O que a LGPD diz?

Um dos princípios da lei determina que “todo e qualquer tratamento de dados pessoais deve ter um fim específico, explícito e claramente informado a seu titular”.

Ela também é categórica a respeito da transparência no tratamento desses dados.

Portanto, de cara, esses pontos levantados a respeito da forma como o FaceApp lida com o dado de seus usuários, no mínimo, vai contra metade dos princípios da Lei Geral de Proteção de Dados.

O FaceApp está dentro da lei?

Para determinar se o app estaria dentro da lei, nós analisamos quais princípios da LGPD o aplicativo cumpre.

• Adequação: Todos os dados pessoais devem estar de acordo com a finalidade informada. A razão pela qual a coleta será feita deve ter relação com o tipo de dado solicitado. – NÃO CUMPRE
• Necessidade: Deve-se utilizar os dados estritamente para alcançar as necessidades apresentadas pela empresa. Qualquer desvio de conduta será punido. – NÃO CUMPRE
• Livre-acesso: Toda e qualquer pessoa física tem o direito de consultar, junto à organização, de forma simplificada e gratuita, todos os dados dos quais seja titular e que tenham sido coletados por dita organização. O que foi e o que será feito com esses dados, bem como por quanto tempo eles serão tratados, deve ser explicitado ao titular. – NÃO CUMPRE
• Qualidade dos Dados: Garante, aos titulares dos dados, a exatidão, a clareza, a relevância e a atualização constante dos dados, de acordo com a necessidade da organização e para o cumprimento da finalidade de seu tratamento, previamente informada ao titular. – NÃO CUMPRE
• Transparência: Os titulares dos dados têm direito a informações claras, precisas e facilmente acessíveis quanto aos responsáveis pelo tratamento de dados e à realização do tratamento de dados, observados os segredos comercial e industrial – isto é, respeitando as informações que as organizações mantêm como confidenciais junto às legislações pertinentes. – NÃO CUMPRE
• Segurança: É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais. Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer. – CUMPRE, EM PARTES
• Prevenção: As organizações devem tomar precauções para evitar danos em virtude do tratamento de dados, ou seja, impedir seu vazamento ou que sejam utilizados para fins que possam prejudicar seus titulares. – CUMPRE, EM PARTES
• Não-Discriminação: De acordo com a lei, fica proibida a utilização de dados pessoais para discriminar ou promover qualquer forma de abuso contra seus titulares. Este princípio trata sobre dados pessoais sensíveis, como origem racial, étnica, religião, posicionamento político, saúde e similares. – CUMPRE
• Responsabilidade e Prestação de Contas: As organizações devem comprovar que estão seguindo todas as prerrogativas da LGPD, a fim de demonstrar boa-fé e diligência. – NÃO CUMPRE

Veredito: o FaceApp não seria considerado seguro conforme as prerrogativas da LGPD.

Não só isso, a ideia de conceção de uma “licença irrevogável” se opõe à base legal de que um usuário teria o direito de revogar seu consentimento e solicitar o apagamento de seus dados do banco do aplicativo quando quiser.

Nas palavras da lei: “toda a informação coletada deve ser fornecida livremente pelos titulares, estando estes livres para escolher entre permitir ou negar a coleta de dados e solicitar sua exclusão da base de dados da organização quando conveniente”.

E aí? Posso usar o FaceApp?

Os usuários são livres para entrar na brincadeira, mas devem estar atentos sobre a forma como o app lida com seus dados e tomar decisões conscientes a respeito de seu uso. Também reiteramos a importância da leitura dos termos de privacidade de todos os apps para entender quais informações são solicitadas.

A recomendação geral é que você evite utilizar qualquer aplicativo que não assegura a proteção dos seus dados pessoais. Mas, se não tiver jeito, pelo menos cuide para que seu dispositivo esteja protegido ao máximo contra potenciais invasores.

Nas redes da Compugraf, nossos especialistas em cibersegurança compartilham dicas de como proteger seu celular contra agentes mal-intencionados. Siga-nos e garanta sua proteção!

FaceApp pode estar (de novo) roubando seus dados: as principais notícias da semana

O que você vai ler hoje:

• Fábrica da Honda sofre com ataques de ransomware e tem parte de sua produção interrompida.
• Microsoft se livra de 129 bugs com atualizações de patch mais recentes.
• Google comenta sobre a evolução dos ciberataques que exploram o COVID-19.
• Ataques de ransomware desligam gigante cervejeira.
• 300 mil usuários da Nintendo foram hackeados.
• FaceApp está de volta – e o risco de você ter seus dados roubados, também.

Fábrica da Honda sofre com ataques de ransomware e tem parte de sua produção interrompida

A Honda Motor Co., gigante automobilística japonesa, suspendeu parte de sua produção de automóveis e motocicletas em todo o mundo, diante da suspeita de um ataque cibernético que afetou a produção da companhia globalmente na segunda-feira (dia 08 de junho), forçando algumas fábricas a interromperem suas operações, pois a empresa precisava garantir que seus sistemas de controle de qualidade não fossem comprometidos.

De acordo com um porta-voz, a Honda suspeita que o ransomware tenha atingido os servidores internos da empresa e está retomando as atividades aos poucos, nas unidades menos comprometidas.

Fonte: Reuters

Microsoft se livra de 129 bugs com atualizações de patch mais recentes

Uma série de CVEs (Common Vulnerabilities Exposure), normalmente identificadas por bugs, vinha preocupando usuários de Windows ao redor do mundo. As vulnerabilidades são falhas de execução remota de código, que permitem que os invasores executem um código próprio – e nocivo – nos sistemas das vítimas.

Mas, na semana passada, a Microsoft anunciou seu mais recente Patch Tuesday – uma espécie de “evento” online marcado pelo lançamento de uma série de patches para a correção dessas vulnerabilidades. Os patches corrigem 129 bugs e podem ser encontrados no Security Update Guide da empresa.

Fonte: Microsoft

Google: como os ataques de phishing e malware estão evoluindo, e o que a empresa faz para combatê-los

Cibercriminosos estão adaptando os ataques de phishing e malware relacionados ao coronavírus para torná-los mais eficazes. Como o Google Cloud detalhou em maio deste ano, países como o Reino Unido, a Índia e o Brasil testemunharam um aumento nas campanhas de malware, phishing e spam que usam o COVID-19 como isca, e as estratégias exploram desde e-mails a sites falsos com supostas informações sobre o vírus.

A líder de segurança do G Suite e do Google Cloud Platform, porém, informa que a segurança do Google é equipada para proteger as contas de seus usuários contra mensagens recebidas de domínios que parecem maliciosos, bem como impedir que centenas de milhões de mensagens maliciosas sejam enviadas via Gmail e outros produtos do Google Cloud. Isso faz parte do que a empresa descreve como uma estratégia de "segurança padrão", que analisa anexos, links, imagens externas, dentre outras fontes normalmente utilizadas pelos criminosos.

A gigante de tecnologia declara, ainda, que a grande maioria das ameaças é detectada e interrompida antes de chegar aos usuários. Contudo, devido ao volume de tentativas de ataque – e a forma como eles estão constantemente evoluindo para evitar a detecção -, inevitavelmente, alguns ainda podem passar despercebidos pela segurança do Google.

Fonte: ZDnet

Ataque de ransomware desliga gigante cervejeira

Governos ao redor do mundo estão, lentamente, começando a flexibilizar suas estratégias de isolamento. Porém, cibercriminosos parecem estar fazendo o possível para garantir que o processo não corra bem.

Essa é a dura realidade que a maior cervejaria da Austrália está enfrentando esta semana. Se por um lado o país facilitou as restrições impostas a restaurantes e bares, otimistas de que a incidência do COVID-19 está diminuindo, por outro um ataque de ransomware interrompeu as operações da Lion, a gigante cervejeira, no dia 12/06.

Como a maioria dos fabricantes de cerveja em larga escala, os processos da Lion são fortemente informatizados. Em depoimento oficial, a empresa declarou que “as equipes de TI e consultores especializados em cibersegurança continuaram trabalhando durante o fim de semana para investigar esse incidente, trabalhando para colocar os sistemas online de volta com segurança. Fizemos progresso, mas ainda há um bom caminho a percorrer antes que possamos retomar nossas operações normais de fabricação e atendimento ao cliente.”

Mas a multibilionária cervejeira certamente não está sozinha. Os ataques cibernéticos aumentaram em mais de 400% desde os primeiros dias da pandemia. E qualquer um pode se tornar um alvo.

Fonte: Forbes

300.000 usuários da Nintendo foram hackeados

Em 21 de abril, surgiu o primeiro aviso de que as contas do Nintendo Switch estavam sendo invadidas. Três dias depois, a Nintendo confirmou que 160 mil contas da Nintendo Network ID haviam sido comprometidas por meio de "logins não autorizados".

Mas, agora, feitas algumas investigações, a Nintendo anuncia que o número real de jogadores que podem ter suas contas acessadas ilegalmente não é 160 mil, e sim 300 mil. Isto é, 300 mil contas da Nintendo foram hackeadas, conforme atualização divulgada no dia 12 de junho de 2020.

Em depoimento oficial, a Nintendo diz que "durante a investigação, para impedir novas tentativas de logins não autorizados, não revelaremos mais informações sobre os métodos empregados para obter acesso não-autorizado. Pedimos desculpas pelos inconvenientes e preocupações causados aos nossos clientes e continuaremos trabalhando duro para salvaguardar a segurança dos dados de nossos usuários ".

Fonte: Forbes

O retorno do FaceApp: seus dados estão sendo roubados (de novo)?

O aplicativo bombou em 2019 com um recurso que fazia as pessoas “envelhecerem” nas fotos. Agora, está de volta, transformando o gênero de seus usuários e requentando uma discussão antiga: o app está roubando seus dados?

Especialistas em segurança avaliaram, no ano passado, que a política de privacidade do FaceApp é extremamente vaga e não fornece informações de como realmente os dados do usuário são utilizados. Já em sua declaração de Políticas de Privacidade, o aplicativo admite que pode coletar qualquer tipo de informação que julgar conveniente, sem especificar quais dados ou de que forma serão trabalhados. O app ainda se resguarda o direito de contornar leis de proteção de dados de determinadas regiões, transferindo os dados dos usuários para países onde essa legislação não existe.

Logo, embora não haja uma resposta clara para a dúvida, também não é possível afirmar que o app é 100% seguro. O recomendado é buscar o máximo de informações possível antes de utilizar seus recursos e tomar uma decisão consciente, ainda que potencialmente perigosa.

Fonte: TechTudo

Nas redes da Compugraf, nossos especialistas em segurança compartilham informações e dicas importantes para proteger seus dispositivos. Acompanhe!

Pesquisadores revelam uma rede de fraudes na Play Store

Um novo relatório alerta sobre aplicativos fraudulentos e nocivos entrando na Play Store, do Google, e atraindo dezenas de milhões de usuários desavisados, enquanto geram retornos lucrativos para seus operadores.

Desta vez, porém, há uma reviravolta importante: pesquisadores de cibersegurança tiveram acesso ao panorama dessas fábricas de fraude, que resultam em um jogo de de gato e rato entre a gigante da tecnologia e grupos de criminosos em sua loja de aplicativos.

O Google é seguro?

As iniciativas do Google para melhorar a segurança da Play Store são bem direcionadas. A loja conta com o Play Protect e seu acelerador da App Defense Alliance, usa triagem de IA para abusos de permissão e o programa de proteção avançada para aqueles que estão mais em risco.

Mas, apesar de tudo isso, volumes impressionantes de malware ainda penetram na rede.

No início deste mês, a Upstream, empresa de tecnologia mobile, alertou que a Play Store não era mais tão segura: no primeiro trimestre de 2020, disseram os pesquisadores, o número de aplicativos maliciosos para Android dobrou ano após ano, com um crescimento nas transações fraudulentas em 55%.

De acordo com a Upstream, 98.000 aplicativos maliciosos infectaram 43.000 dispositivos no ano passado.

É difícil acreditar nesses números, até que você leia relatórios como os da Equipe de Pesquisa e Inteligência sobre Ameaças da White Ops, empresa de cibersegurança.

O relatório Beauty and the (fraud) Beast foi divulgado no dia 9 de junho e traz uma revelação assustadora sobre um programa sistemático de fraude, projetado especificamente para derrotar as defesas da Play Store, infectando usuários do Android em grande escala. A equipe afirma que suas descobertas “oferecem um ótimo estudo de caso sobre desenvolvimento, publicação, adaptação e eliminação de fraudes para uso futuro”.

A engenharia da fraude nos aplicativos

Os 38 aplicativos identificados e divulgados pela White Ops foram baixados e instalados mais de 20 milhões de vezes por usuários de Android.

As ameaças não são novas, porém: os apps veiculam anúncios fraudulentos para gerar receita de visualização e clique para seus operadores, bem como visitas automatizadas a sites específicos sem nenhum clique do usuário, removendo ícones para dificultar a exclusão e prolongar a vida útil fraudulenta de cada aplicativo em um dispositivo específico.

Todos eles aplicativos já foram removidos da Play Store. Os operadores sabiam que a intenção maliciosa desses aplicativos seria descoberta e removida. E, assim, o plano deles era lançar um aplicativo após o outro, constantemente, em uma estratégia virulenta.

“Desde que o primeiro aplicativo foi publicado [em janeiro de 2019]”, diz a White Ops, “os fraudadores lançavam um novo aplicativo a cada 11 dias, em média. E, em média, esses aplicativos eram retirados da Play Store 17 dias depois. ”

O Google confirmou que estava ciente dessas descobertas e que os aplicativos foram removidos, mas não tiveram comentários adicionais a respeito da fábrica de fraude.

“Esses aplicativos não fornecem funcionalidade real”, disse White Ops, “pois eles removem seus ícones da tela inicial, o que os torna quase impossíveis de serem acessados pelo usuário. Portanto, esses aplicativos provavelmente foram projetados e criados exclusivamente para fraude.”

Apesar da vida útil relativamente curta de cada aplicativo na Play Store, o número médio de instalações para cada um era superior a 500 mil.

“O fraudador provavelmente desenvolveu um mecanismo mais robusto para evitar a detecção e remoção dos apps. Um lote de 15 aplicativos, todos publicados após setembro de 2019, teve uma taxa de remoção bem mais reduzida graças a essas novas técnicas. ”

A equipe da White Ops também notou uma nova reviravolta com dois dos aplicativos mais recentes: os apps entraram na loja com código anti-fraude ativo, em novembro, e foram atualizados um mês depois, com o código removido.

O relatório sugere que isso “pode ser uma tentativa de testar se o código foi o catalisador do alerta sobre os aplicativos anteriores, que estão sendo removidos da Play Store. Os fraudadores podem estar tentando identificar exatamente quais critérios estão sendo usados ​​pela Play Store como justificativa para a remoção de seus aplicativos anteriores.”

Como se proteger?

Além do código, outra estratégia sofisticada inclui a criação de novos editores para cada aplicativo, a fim de mascarar links e a rede interconectada de fraudadores.

Essas redes de editores falsos foram alvo de um exame específico do Google nos últimos meses. Claramente, para as operadoras de segurança, é fácil investigar e depois banir o catálogo inteiro de um editor, mas é difícil rastrear uma rede.

Embora existam sinalizadores de conexão entre os editores de determinados aplicativos, especialmente porque suas configurações são automatizadas, geralmente se trata de mapear amostras de malware comuns a todos os aplicativos.

Uma lista dos aplicativos fraudulentos está incluída abaixo. Todos eles são considerados “aplicativos de beleza”, que incluem recursos para melhoramento de selfies, filtros, etc.

A White Ops recomenda que os usuários de Android excluam qualquer um desses aplicativos de seus dispositivos usando o gerenciador de aplicativos.

Além disso, é sempre importante lembrar de verificar quaisquer recursos suspeitos nos aplicativos baixados e, se possível, averiguar sua integridade, buscando reviews de usuários na internet ou notícias de fontes confiáveis.

Tenha cuidado com o que você baixa. Confira os comentários na própria Play Store. Se houver reclamações sobre o volume de anúncios, NÃO instale esse aplicativo. Da mesma forma, se os reviews parecerem automatizados, como se publicados por bots fique longe.

Seu dispositivo é a porta de entrada para o seu mundo digital. Não abra mão das chaves.

Nas redes da Compugraf, estamos compartilhando diversos conteúdos informativos, produzidos por nosso especialistas em cibersegurança, a fim de assegurar a proteção em ambientes mobile.

Confira e compartilhe para espalhar informação!

Enquanto os colaboradores tendem a seguir as regras de segurança determinadas pelas empresas, muitos executivos, que ocupam cargos mais altos, solicitam protocolos mais flexíveis de segurança móvel

As novas pesquisas divulgadas recentemente pela plataforma californiana MobileIron nos mostram que os C-levels são o grupo mais provável, dentro de uma organização, a solicitar protocolos mais flexíveis de segurança móvel.

Contudo, esse grupo também é o alvo mais provável de ataques cibernéticos maliciosos, devido à sua posição hierárquica nas empresas.

O estudo intitulado Trouble at the Top combinou pesquisas de centenas de tomadores de decisão ao longo de Fevereiro e Março de 2020. As respostas variam entre profissionais de TI e C-levels e se concentram em pólos influentes da Europa e Estados Unidos.

De acordo com o relatório:

“As descobertas desse estudo revelaram que empresas de todo o mundo estão enfrentando problemas nos escalões mais altos quando se trata de segurança em dispositivos móveis.

A falta das ferramentas certas para que os funcionários sejam produtivos enquanto se mantêm seguros é apontada como a principal agravante dos riscos. Por outro lado, o estudo também revelou que membros do nível executivo – C-suite, ou C-levels – tendem a ignorar os protocolos de segurança móvel de suas organizações, colocando as empresas em todo o mundo em risco significativo de violação de dados e destacando a necessidade de novas soluções que assegurem a proteção de todos”.

E os dados preocupam.

Mais da metade dos C-level ignoram diretrizes de cibersegurança

O estudo mostrou que mais de dois terços (68%) dos executivos C-level – que incluem cargos como CEO, CTO, CIO, CCO, CMO, dentre outros – disseram que a segurança estabelecida pelo departamento de TI compromete sua privacidade pessoal.

Mais de três em cada cinco (62%) disseram que a segurança limita a usabilidade do seu dispositivo. Quase três em cada cinco (58%) afirmaram que os processos de segurança de TI são muito complexos, e que, por isso, nem tentam entendê-la.

Além disso, mais de três em cada quatro (76%) executivos C-level admitiram ignorar um ou mais protocolos de segurança de sua organização no ano passado. Desses, 47% solicitaram acesso à rede por um dispositivo não autorizado, 45% ignoraram a autenticação multifator (MFA) e 37% solicitaram acesso a dados corporativos em um aplicativo não-autorizado.

Esses casos não são pontuais. Um em cada seis (16%) executivos ignorou um dos protocolos de segurança da organização pelo menos cinco vezes e 14% fez a mesma solicitação entre 4 a 5 vezes ao longo do ano passado.

Mas C-levels são os mais vulneráveis a ciberataques

Paralelamente, o estudo também revelou que executivos C-level são altamente vulneráveis a ataques cibernéticos.

Quase quatro em cada cinco (78%) dos tomadores de decisão do setor de TI entrevistados pelo estudo declararam que os C-levels são o grupo que mais corre risco de ser alvo de ataques de phishing, e 71% afirmaram que a probabilidade de que eles de fato caiam em tais golpes, se tornando vítima dos ataques, também é alta.

Quase três em cada quatro (72%) tomadores de decisão de TI também alegaram que os C-levels são o grupo mais propenso a esquecer ou precisar de ajuda para redefinir suas senhas.

Brian Foster, vice-presidente sênior de produtos da MobileIron, alerta:

"Essas descobertas são preocupantes, porque todas as isenções dos C-levels aos protocolos de segurança aumentam drasticamente o risco de violação de dados.

O acesso a dados corporativos em um dispositivo ou aplicativo pessoal retira os dados do ambiente protegido, deixando expostas informações comerciais críticas para que usuários mal-intencionados se beneficiem e provoquem danos inestimáveis às corporações.”

É como se alguém fechasse e trancasse uma porta e outra pessoa fosse lá e destrancasse, embora a mantivesse fechada: ao tentar flexibilizar os protocolos de segurança, colaboradores facilitam o acesso a dados e arquivos sensíveis, que potencialmente custarão milhões aos seus negócios, caso sejam vítimas de abordagens como o phishing e a engenharia social.

É necessário mudar o mindset também no que diz respeito à cibersegurança. Protocolos de prevenção e combate a ciberataques não podem ser vistos como opcionais pelas pessoas que tomam as principais decisões sobre seus negócios.

Como proteger as pessoas, para que elas protejam a empresa

Ataques cibernéticos mais sofisticados são direcionados principalmente a colaboradores, porque são o elo mais fraco da cadeia de segurança digital. Especialmente os de alto escalão.

Aliás, de acordo com dados da IBM, 24% das violações de segurança podem ser atribuídas a erros humanos.

Nesse sentido, as principais ameaças são a engenharia social e o phishing, que pode levar os colaboradores a entregar informações confidenciais da empresa. O hacker geralmente entra em contato com os funcionários por e-mail, fingindo ser uma fonte confiável, como um banco ou mesmo um colega de trabalho, e aí, como maioria dos colaboradores não tem conhecimento para se defender desses ataques, podem acabar escancarando as portas para um invasor fazer o estrago que desejar na empresa.

Fazer sessões de treinamento em cibersegurança regularmente e, sobretudo, continuamente – por exemplo, uma vez por ano ou uma vez a cada seis meses – garante que os colaboradores estejam cientes das ameaças em constante evolução e de como elas podem ser evitadas.

E isso precisa vir de cima para baixo. Por muito tempo, acreditou-se que a segurança cibernética era território exclusivo das equipes de TI, mas hoje, tratando-se de uma questão crítica para os negócios, toda a diretoria, executivos e conselhos de administração devem liderar pelo exemplo, promovendo e praticando uma mentalidade de segurança em primeiro lugar.

Nas redes da Compugraf, nossos especialistas em segurança atentam para os principais pontos de vulnerabilidade nas empresas, bem como as soluções para protegê-los.

Confira e compartilhe com seu time!

Usuários de sistemas desatualizados do Microsoft Office 365 e de serviços de VPN são os mais afetados

Em março deste ano, o home office se tornou uma necessidade súbita e urgente, movimentando empresas a adotarem serviços de colaboração em nuvem, como o Microsoft Office 365, por exemplo, para que suas equipes pudessem continuar trabalhando.

Infelizmente, e compreensivelmente, a pressão foi alta para que essas empresas – que até ontem ou conheciam de forma superficial os serviços de cloud, ou sequer usavam qualquer serviço do tipo – passassem a depender quase que inteiramente de estar na nuvem.

Combinando a pressa com o desconhecimento e configurações errôneas e descuidadas, o caminho é asfaltado para que agentes maliciosos tenham acesso a dados corporativos sensíveis.

De acordo com este novo relatório que cobre as 10 principais vulnerabilidades exploradas rotineiramente pelo Departamento de Segurança Interna (DHS), pela Agência de Segurança de Infraestrutura (CISA) e pelo FBI – a mudança abrupta para o trabalho remoto o levou à implantação apressada de serviços de colaboração em nuvem, aumentando o risco de ataque cibernético em diversas organizações.

As omissões resultantes nas configurações de segurança são as principais culpadas. Mas essa é apenas uma das vulnerabilidades que as agências perceberam que estão sendo exploradas este ano.

Outra tendência para 2020 são os ciberataques que miram cada vez mais em vulnerabilidades de VPN (Rede Privada Virtual) sem patch. Estes são dois dos ataques específicos de vulnerabilidade de VPN que as agências detectaram:

• Uma vulnerabilidade de execução arbitrária de código, conhecida como CVE-2019-19781, em servidores da Citrix. A Citrix enviou patches porque os servidores vulneráveis ​​foram atacados em janeiro, porém a organização não deixou claro o que essa falha permitiria que os invasores fizessem. Com base na análise das mitigações propostas pela Citrix, a especulação era de que o problema permitia a travessia de diretórios – em outras palavras, oferecia aos criminosos uma maneira de acessar qualquer informação dos diretórios sem a necessidade de se autenticar.
• Uma vulnerabilidade arbitrária na leitura de arquivos nos servidores Pulse Secure, conhecida como CVE-2019-11510, que atrai agentes mal-intencionados até hoje. O que é lamentável é que, apesar de as correções estarem disponíveis desde abril de 2019, em janeiro de 2020 os invasores ainda estavam usando as falhas para se infiltrar em servidores sem patch, invadir redes corporativas e instalar ransomwares.

Sistemas sem patches pavimentam o caminho para os cibercriminosos

Tudo isso em 2020, e ainda nem chegamos ao ponto principal do relatório: as 10 vulnerabilidades mais exploradas dos anos de 2016 a 2019 – e que, de quebra, continuam rendendo algumas dores de cabeça este ano.

As agências de cibersegurança dos EUA nos alertam: é vital para a saúde das corporações ao redor do mundo que os profissionais de segurança de TI das empresas do setor público e privado tenham como “sua maior prioridade corrigir essas vulnerabilidades mais conhecidas, frequentemente exploradas ao longo dos últimos anos”.

A lógica por trás do relatório é fornecer detalhes sobre vulnerabilidades que são alvo rotineiro de ciber atacantes internacionais – classificadas como Vulnerabilidades e Exposições Comuns (CVEs) – para que as organizações reduzam o risco dessas ameaças, de acordo com os EUA.

Diretamente do relatório:

Atores cibernéticos continuam a explorar vulnerabilidades de software conhecidas publicamente – e muitas vezes datadas – contra conjuntos amplos de alvos, incluindo organizações do setor público e privado. A exploração dessas vulnerabilidades geralmente requer menos recursos em comparação com explorações de dia zero, por exemplo, para as quais não há patches disponíveis.

Em outras palavras, existem maneiras de forçar os atacantes a trabalhar muito mais: a saber, corrigindo os sistemas em tempo hábil, assim que possível, quando os patches forem lançados:

Os setores público e privado podem degradar algumas ameaças cibernéticas por meio de um esforço maior para corrigir seus sistemas e implementar programas para manter tais sistemas atualizados. Uma campanha concentrada em rever essas vulnerabilidades introduziria atritos nas tradições operacionais de adversários estrangeiros e os forçaria a desenvolver ou adquirir explorações que são mais caras e menos efetivas. Uma campanha de correções também reforçaria a segurança da rede, concentrando os poucos recursos defensivos nas atividades que representam maior risco para as empresas.

As 10 principais vulnerabilidades dos serviços em nuvem

A lista abaixo elenca as principais vulnerabilidades nas quais concentrar campanhas de correção através de patches. São as 10 principais vulnerabilidades mais exploradas em 2016-2019.

Nela, incluímos sua identificação de CVE, quais os produtos vulneráveis, quais os malwares associados (isto é, qual a família de malware comumente associada à exploração de cada CVE) e algumas estratégias de mitigação.

CVE-2017-11882

• Produtos vulneráveis: Produtos do Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016
• Malware associado: Loki, FormBook, Pony / FAREIT
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes

CVE-2017-0199

• Produtos vulneráveis: Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
• Malware associado: FINSPY, LATENTBOT, Dridex
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes

CVE-2017-5638

• Produtos vulneráveis: Apache Struts 2 2.3.x antes da atualização 2.3.32 e 2.5.x antes da atualização 2.5.10.1
• Malware associado: JexBoss
• Mitigação: Atualize para o Struts 2.3.32 ou Struts 2.5.10.1

CVE-2012-0158

• Produtos vulneráveis: Microsoft Office 2003 SP3, 2007 SP2 e SP3 e 2010 Gold e SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4 e 2008 SP2, SP3 e R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2 e 2009 Gold e R2; Visual FoxPro 8.0 SP1 e 9.0 SP2; e Visual Basic 6.0
• Malware associado: Dridex
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.

CVE-2019-0604

• Produtos vulneráveis: Microsoft SharePoint
• Malware associado: China Chopper
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.

CVE-2017-0143

• Produtos vulneráveis: Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold e R2; Windows RT 8.1; e Windows 10 Gold, 1511 e 1607; e Windows Server 2016
• Malware associado: vários usando o EternalSynergy e o EternalBlue Exploit Kit
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.

CVE-2018-4878

• Produtos vulneráveis: Adobe Flash Player anterior à atualização 28.0.0.161
• Malware associado: DOGCALL
• Mitigação: atualize a instalação do Adobe Flash Player para a versão mais recente.

CVE-2017-8759

• Produtos vulneráveis: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 e 4.7
• Malware associado: FINSPY, FinFisher, WingBird
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes

CVE-2015-1641

• Produtos vulneráveis: Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word para Mac 2011, Office Compatibility Pack SP3, Serviços de Automação do Word no SharePoint Server 2010 SP2 e 2013 SP1 e Office Web Apps Server 2010 SP2 e 2013 SP1
• Malware associado: Toshliph, UWarrior
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes

CVE-2018-7600

• Produtos vulneráveis: Drupal antes da 7.58, 8.x antes da atualização 8.3.9, 8.4.x antes da atualização 8.4.6 e 8.5.x antes da atualização 8.5.1
• Malware associado: Kitty
• Mitigação: Atualize para a versão mais recente do Drupal 7 ou 8 core.

Como fazer a mitigação das CVEs mais exploradas em 2020, até agora

CVE-2019-11510

• Produtos vulneráveis: Pulse Connect Secure 9.0R1 – 9.0R3.3, 8.3R1 – 8.3R7, 8.2R1 – 8.2R12, 8.1R1 – 8.1R15 e Pulse Policy Secure 9.0R1 – 9.0R3.1, 5.4R1 – 5.4R7, 5.3 R1 – 5.3R12, 5.2R1 – 5.2R12, 5.1R1 – 5.1R15
• Mitigação: atualize os dispositivos Pulse Secure afetados com os patches de segurança mais recentes.

CVE-2019-19781

• Produtos vulneráveis: Citrix Application Delivery Controller, Citrix Gateway e Citrix SDWAN WANOP
• Mitigação: atualize os dispositivos Citrix afetados com os patches de segurança mais recentes

Supervisões nas configurações de segurança do Microsoft O365

• Produtos vulneráveis: Microsoft O365
• Mitigação: Siga as recomendações de segurança do Microsoft O365

Não encontrou nenhum serviço adotado pela sua empresa nessa lista? O alerta vale mesmo assim!

Manter seus sistemas atualizados e seguir as recomendações do seu time de segurança é imprescindível para evitar ataques significativos por questões que poderiam facilmente ser evitadas.

Confira nas redes da Compugraf as recomendações dos nossos especialistas de segurança e não se esqueça de compartilhar esta notícia com o seu time!

Usando uma exploração conhecida para infectar sistemas antigos, o worm de ransomware, WannaCry, continua sendo um estudo de catástrofes evitáveis

Há três anos, WannaCry, um dos worms de ransomware mais agressivos de que se tem registro até hoje, ficou conhecido por comprometer rapidamente centenas de milhares de computadores e servidores desatualizados e sem patches, criptografando dados nos sistemas e desativando as operações das organizações afetadas.

A lista de vítimas variava de hospitais do Serviço Nacional de Saúde, no Reino Unido, fábricas de automóveis da Renault-Nissan, na França, e operações de transporte da FedEx, nos Estados Unidos. O custo de limpeza dos danos causados pelo WannaCry e a interrupção dos negócios superaram 8 bilhões de dólares, de acordo com estimativas.

O ataque chocou as empresas devido à velocidade com que se espalhava e aos seus efeitos destruidores.

"Foi a primeira vez que armas cibernéticas foram usadas contra o grande público", diz Craig Williams, diretor de extensão do grupo de pesquisa de segurança cibernética da CISCO. "Antes disso, havia worms, mas eles eram destrutivos porque eram auto-replicáveis e não chegavam nem perto de causar um estrago desse tamanho. Mesmo com amplo aviso sobre as vulnerabilidades [que acabaram potencializado os danos do ransomware], muitas pessoas não se preocuparam em corrigi-las e outras sequer tinham proteções."

O alerta do WannaCry para as empresas

Se o WannaCry nos deixou uma lição, é a seguinte: empresas que usam sistemas desatualizados, e não corrigem rigorosamente esses sistemas, correm riscos, não apenas de violações de dados, mas de ataques de ransomware que podem atrapalhar definitivamente as operações. .

Infelizmente, muitas empresas continuam ignorando essas lições e ainda estão usando software desatualizado e vulnerável a ataques destrutivos.

Jacob Noffke, principal engenheiro cibernético da Raytheon Intelligence & Space, em comunicado enviado à Dark Reading, declara:

"Muitos fizeram upgrade de seus sistemas operacionais mais antigos, isolaram melhor os sistemas sem patch usando firewalls e têm soluções de backup sólidas para minimizar o impacto e as chances de que o ransomware cause estragos em suas redes no futuro. Mas, infelizmente, nem todas as organizações fizeram o dever de casa – e, à medida que os ataques de ransomware continuam a evoluir, aqueles com defesas mais fracas serão o principal alvo de cibercriminosos que desejam capitalizar em ataques inspirados no WannaCry".

O WannaCry apareceu em 12 de maio de 2017, se espalhando rapidamente para mais de 200.000 sistemas Windows em 150 países em todo o mundo.

O ransomware se espalhou como um worm, usando a auto-propagação por meio de uma exploração remota tornada pública dois meses antes. A exploração, uma ex-arma cibernética criada pela Agência de Segurança Nacional e vazada pelo grupo de hackers Shadow Brokers, pode comprometer facilmente os sistemas que executam versões mais antigas do Microsoft Windows, como Windows XP, Windows 7, Windows Server 2003 e Windows Server 2008.

Em quatro dias, o ataque se espalhou para mais de 300.000 sistemas, segundo estimativas da época. Mais de 95% de todas as máquinas infectadas executaram versões sem patch do Windows 7 porque o WannaCry não atacou os sistemas Windows XP corretamente.

O ataque ao WannaCry, no entanto, ficou aquém do seu potencial de causar danos por causa dos esforços de Marcus Hutchins, um pesquisador de segurança cibernética – mais tarde revelado um ex-escritor de malware – que identificou um "botão de interrupção" no programa que poderia ser usado para parar o ataque.

O que aprendemos com o WannaCry?

Além de não usar sistemas desatualizados e sem patches, o WannaCry deixou ao setor de cibersegurança várias outras lições importantes:

O (ultra)passado nos assombra

O WannaCry deixou claro para as empresas que manter um software antigo conectado à Internet, sem as defesas apropriadas, é uma péssima ideia.

No entanto, correções provisórias continuam iludindo muitas empresas, e os sistemas antigos parecem sobreviver muito além de suas datas de vencimento.

Para se ter uma ideia, ainda hoje, mais de 600.000 computadores ainda expõem a porta de compartilhamento de arquivos SMB à Internet – uma configuração arriscada – e muitos deles podem estar na mira para novos ataques com a exploração EternalBlue usada pelo WannaCry.

Os invasores continuam procurando essa vulnerabilidade, com pelo menos 100 fontes diferentes ainda atrás de instâncias de compartilhamento de arquivos SMB vulneráveis à exploração, de acordo com dados coletados pela empresa de gerenciamento de vulnerabilidades Rapid7.

Worms podem afetar drasticamente as operações de qualquer empresa

O WannaCry também demonstrou como o ransomware pode prejudicar negócios e operações de empresas, causando entre milhões e bilhões em perdas que poderiam ter sido evitadas mais facilmente.

"Essas ameaças nunca desaparecem", reforça Williams, da CISCO. "No entanto, como muita atenção foi dada a esses ataques, a Internet mudou para sempre para melhor como resultado”.

Mas isso não significa que estamos mais preparados hoje.

Até que as empresas possam descobrir seu sistema crítico e corrigi-lo rapidamente, os negócios permanecem vulneráveis ​​a outro ataque.

A atribuição ainda é um desafio

Eventualmente, as agências de inteligência de cibersegurança culparam a Coreia do Norte pelo o ataque WannaCry. No entanto, pesquisadores de segurança debatem se os sinais de um desenvolvedor norte-coreano detectado no WannaCry eram significativos ou se eram um alarme falso.

Alguns pesquisadores apontaram o fato de que o WannaCry não tinha como alvo a propriedade intelectual e falhou em monetizar adequadamente os sistemas infectados, como um sinal de que um grupo mais amador provavelmente escreveu o código. A análise da linguagem postulou que as notas de resgate exibidas nos sistemas infectados provavelmente foram escritas por um autor de língua chinesa.

Com as táticas de bandeira falsa sendo usadas com mais frequência (onde um grupo de cibercriminosos atribui os ataques a outro país, usando sua bandeira|), tentar encontrar a fonte dos ataques só se tornará mais difícil.

"Eu adoraria ser otimista, mas ainda vemos worms de 20 anos atrás se espalhando na Internet hoje", diz Williams. "Existem sistemas que nunca serão corrigidos, que foram conectados há 10 anos e a organização se esqueceu deles".

Nas redes da Compugraf, nossos especialistas em segurança compartilham suas orientações para empresas mais seguras, especialmente agora em tempos de home office. Não deixe de conferir e de compartilhar com a sua equipe!