Categoria

SEGURANÇA

Categoria

Dra. Gisele Truzzi, advogada especializada em direito digital, e o Edison Fontes, consultor e autor de diversos livros sobre segurança, lançaram uma excelente cartilha com recomendações legais e de segurança para o trabalho remoto.

A cartilha Trabalho Remoto – Recomendações para a garantia da Segurança Jurídica e da Informação aborda de forma didática os aspectos jurídicos e os aspectos relacionados à Segurança da Informação relacionados ao trabalho remoto. No texto, a Dra. Gisele Truzzi faz as principais recomendações jurídicas, e o Prof. Edison Fontes aborda as principais questões relacionadas aos controles básicos de Segurança da Informação.

A cartilha é gratuita e está disponível para download aqui.

Mas já? Logo no dia da eleição, vazamento do TSE… quanta segurança, hein?

O grupo Cyber Team anunciou que invadiu os servidores do TSE, e para comprovar o ato, expôs uma base de dados do TSE.

O grupo publicou uma mensagem com a estrutura de algumas bases de dados supostamente pertencentes ao TSE.

15/11/2020 dia de eleições, e também um dia de vazamento da base de dados do TSE, no link que deixamos disponível existem 7 arquivos (.txt) com dados de utilizador de diferentes sistemas, vale lembrar que a base de dados pertence ao domínio oficial do TSE, isso significa que todos os sistemas relacionados ao TSE acabam de ter as suas credências comprometidas, resumindo; as credenciais pertencem a todos os domínios estaduais do TSE. (sejam felizes!)
Apenas para que fique esclarecido ao público, a segurança do TSE foi comprometida logo após ser anunciado pelo TSE que a segurança tinha sido reforçada, devido ao ataque efetuado no STJ e nos outros domínios do Ministério da Justiça. Isso só prova que os gastos milionários do governo, não serviram para porra nenhuma.
Observação: o CyberTeam e os nossos aliados não estamos envolvidos com os ataques ao STJ, e sobre a nossa invasão aos servidores (*.saude.gov.br) do Ministério da Saúde e todos os outros domínios do Ministério da Justiça, nós só upamos um arquivo .html (arquivo web), para zuar, protestar e para demonstrar a vulnerabilidade. (just for fun)
Para relembrar, algumas das nossas atividades recentes contra os Ministérios, lista; TJMSP – CNJ – TJPA – TJMG – DATASUS – SAÚDE – etc 🙂

Consequências e esclarecimentos

Com certeza, jornalistas irão questionar s segurança das eleições e da urna eletrônica. Pois a notícia está sendo divulgada nas redes sociais, sites, etc. Não só no Brasil, mas no mundo inteiro.

O TSE irá divulgar um comunicado relatando que a urna é segura. Não vão mostrar provas disso, mas vão repetir o argumento de que nunca houve fraude comprovada (o sistema e a votação não podem ser auditados abertamente) e irão dizer que a urna já passou por diversos testes públicos de segurança (o próprio TSE controla o escopo dos testes, limita o tempo que as equipes tem para testar as urnas, e controlam a divulgação dos resultados).

Todos deviam dar mais atenção ao seguinte site:

https://urnaeletronica.info

Finalizando…

Vamos lá, existem anúncios e anúncios… você, entusiasta da tecnologia, por exemplo, vê um fantástico anúncio de um headset e fica interessado em comprá-lo. Pesquisar para que? Esse é o headset que sempre sonhei em ter…

Essa é uma modalidade “sofisticada” de golpe, onde até um site “descolado” é utilizado para vender um produto que, na verdade, é outro. O valor, é claro, bem acima do mercado.

O headset “Hydra Pro Gaming” (3x R$ 154,00 na promoção…) na verdade, é o Kotion Each G2000 (encontrado até por menos de R$ 150,00).

No início da página tinha um vídeo, editado, com vários youtubers fazendo o review do headset, agora temos a seguinte mensagem: “Vídeo indisponível – Este vídeo não está mais disponível devido à reivindicação de direitos autorais…”

A preocupação com o design do site é bem evidente…

O gamer patrocinado pela RAZER e usando o fantástico Hydra Pro Gaming...

Editado no Photoshop? Não... belo trabalho no Paint...

Pense duas (ou mais) vezes antes de clicar em algum anúncio ou ficar “hipnotizado” pela quantidade de reviews e imagens sobre determinado produto. Pesquise bastante, procure comentários, reviews no Youtube, faça uma pesquisa no Reclame Aqui.

Caso a dúvida ainda persista, procure um especialista em segurança da informação, conheço um muito bom: idfgr.net – fica a dica de ouro.

O “modus operandi” do famoso sequestro de perfis do queridinho do Brasil, o WhatsApp, sempre foi assim: ligação telefônica, uma bela conversa, engenharia social e… você é convencido a ceder o código recebido via SMS. Este código, como toda bactéria sabe (e até os vírus), é o token de confirmação do WhatsApp. A partir desse momento, o seu perfil estará nas mãos dos sábios meliantes.

Porém um novo método, muito criativo, está sendo utilizado para alcançar o mesmo objetivo. Estão personificando marcas famosas no Instagram, principalmente as empresas que atuam no ramo de fabricação e venda de eletrodomésticos (máquinas de lavar, geladeiras, fogões, etc).

O Método

Os golpistas registram várias contas no Instagram se passando pelos suportes técnicos de algumas empresas (por exemplo: Consul, Electrolux, Brastemp), adotando usernames e fotos de perfil que realmente se assemelham às originais. Em seguida, eles monitoram os perfis reais das fabricantes em busca de comentários de internautas que possuem algum tipo de problema técnico a ser resolvido. Pronto, armadilha preparada.

Esses perfis parecem seguros para você?

O resto já conhecemos, aquela velha conversa, dessa vez via chat, e o encaminhamento do código de seis dígitos via SMS para o número da vítima.

Olá! Sr(a), em que posso ajudar hoje? Analisamos seu comentário em nosso Instagram de publicidade, pode me informar seu nome completo, código de rastreamento e número com DDD, por gentileza?

Para localizarmos seu cadastro e prosseguir com o atendimento, é necessário realizarmos uma confirmação do seu número de telefone para saber se é o responsável legal. Estarei encaminhando um código via SMS de seis dígitos. Por gentileza, nos informe o código que iremos proporcionar a solução de seu problema.

E agora?

Simplesmente não responda às abordagens de canais não-oficiais das empresas. Verifique sua autenticidade, acesse o site oficial da empresa e procure suas redes sociais.

O mesmo “modus operandi” da ligação telefônica, com um toque de criatividade e usando a rede social do momento. Sabe o maior culpado? A sua zona de conforto.

A ferramenta online ransomwiz é gratuita (mediante cadastro com e-mail corporativo) e capacita as equipes de segurança a desafiar seus produtos de segurança contra um ransomware. Ela permite que os profissionais de segurança assumam o desenvolvimento do invasor e gerem amostras reais de ransomware usando uma variedade de técnicas de ataque utilizadas atualmente.

Com o ransomwiz, qualquer profissional de segurança pode “brincar” com combinações de técnicas de invasão e métodos de manuseio de arquivos para gerar (um benigno e fácil de reverter) ransomware e executá-lo em sua própria arquitetura de segurança para testes.

Review

Por ser online, é uma excelente ferramenta para testes nas empresas interessadas em saber como vai a sua segurança. Já experimentei em uma máquina virtual e gostei muito.

 

O Pix, novo sistema de pagamentos instantâneos criado pelo Banco Central, entrará em vigor no dia 16 de novembro de 2020. Porém os bancos e fintechs já iniciaram (desde o dia 5 de outubro) o “pré-cadastro” das chaves Pix (chaves de endereçamento). O cadastramento das chaves Pix determinará por onde os clientes movimentarão recursos pelo sistema.  Elas facilitarão em muito a transferência e, por isso, serão bastante populares – é exatamente isso que os golpistas de plantão irão dar toda atenção…

Infográfico: Banco Central

Os golpistas estão enviando links falsos por meio de redes sociais, WhatsApp (lá vem ele…), e-mail e SMS, se passando pelas instituições bancárias e solicitando aos clientes que façam um “cadastro da chave PIX”. Porém, os links levam a sites falsos de bancos ou à instalação de aplicativos maliciosos, que roubam dados pessoais e financeiros.

Técnicas de engenharia social são utilizadas para que os usuários acreditem na veracidade das mensagens. Com as vítimas devidamente manipuladas, é simples fazê-las fornecer senhas bancárias e números de cartões de crédito, entre outras informações confidenciais.

Também é utilizada a técnica da ligação, atendentes educados, uma boa conversa, excelente dialética e o cliente é “hipnotizado” (é bem semelhante). A ligação é realizada de uma falsa central de atendimento de um banco, solicitando senhas e mais informações financeiras, para supostamente efetuar o cadastro das chaves do sistema de pagamento eletrônico – do outro lado da linha, os golpistas comemorando.

como devo proceder para fazer o cadastro?

O cadastro do PIX deve ser feito diretamente nos canais oficiais dos bancos ou fintechs, seja via aplicativo, internet banking, nas agências ou por contato com a central de atendimento, feito pelo próprio usuário. Se ainda tem alguma dúvida, procure o seu gerente ou a instituição.

Existem certas informações aqui no Brasil que não chegam aos “usuários comuns”, digamos. Em maio de 2020, saiu em espanhol o manual Seguridad Digital: Conceptos y Herramientas Básicas, da Conexo. Segundo seu site, ela se define como “una organización de alcance latinoamericano que busca conectar mejores prácticas y soluciones técnicas con activistas y periodistas en zonas de riesgo que constantemente están luchando por adoptar nuevas tecnologías para asegurarse y desarrollar un mejor trabajo.”

Esse excelente manual foi traduzido por mar1sc0tron e compartilho aqui para vocês:

Qual o atual cenário? Ainda estamos vivenciando uma pandemia, muitos em casa, pessoas fragilizadas com o isolamento, ansiosas, realizando compras online, etc. Momento perfeito para… golpes virtuais.

Outro fator é o desemprego, faz com que as pessoas baixem a guarda e se tornem mais vulneráveis a criminosos com expertise em internet. Esses criminosos não são “aventureiros”, “amadores”, possuem conhecimento avançado e equipamentos para realizar os golpes da “melhor maneira possível”.

Posso categorizar o modus operandi dos golpes virtuais assim:

  • E-mails
  • Mensagens de texto (SMS)
  • Chamadas fraudulentas
  • Sites falsos
  • Engenharia social

Verifique sua vida digital, analise, procure brechas, corrija as falhas de segurança e tenha mais atenção. Caso precise de um especialista, estarei a disposição.

https://idfgr.net