fevereiro 23, 2021

[Segurança] Dicas para usar o Pix de forma segura

Eu já publiquei aqui no Blog um post com dicas de segurança para usar o Pix, o sistema brasileiro de pagamentos instantâneos, bem quando o sistema começou a entrar em operação. Agora que já estamos mais acostumados com o uso do Pix no dia-a-dia, eu decidi criar um post novo e atualizado sobre o assunto.

A cada inovação tecnológica, os ciber criminosos buscam novas falhas de segurança e se aproveitam delas para cometer crimes. O surgimento do PIX e sua rápida adoção pela população também chamou a atenção dos fraudadores brasileiros. Desde então, eles estão testando os sistemas o tempo todo, tentando descobrir os limites e buscando falhas, com o objetivo de ganhar dinheiro fácil.

Do ponto de vista sistêmico, o Pix possui as mesmas medidas de segurança e prevenção a fraudes que já são utilizadas pelos bancos brasileiros para as demais transações financeiras através do Sistema de Pagamentos Brasileiro (SPB), que interconecta os bancos brasileiros e é responsável por processar todas as transações eletrônicas que realizamos, como TEDs, DOCs e pagamentos. Entretanto, a rápida adoção do Pix fez com que os bancos acelerarem o seu desenvolvimento, abrindo oportunidade para eventuais bugs na sua implementação (mas que são raros!).

A maioria dos golpes conhecidos relacionados ao Pix usam engenharia social, aonde os criminosos tentam se passar pelos funcionários do banco, de outras empresas ou de conhecidos para enganar suas vítimas e convencê-las a cadastrar a sua chave em um site falso ou transferir dinheiro para a conta corrente do próprio fraudador. Muitos dos golpes já são conhecidos (phishing, SMS falso, uso de sites falsos, etc), mas mudou o foco para o Pix. Mas também já foi identificada uma quadrilha que fazia sequestro relâmpago e exigia que as vítimas transferissem todo o seu dinheiro via Pix - isso dá muita agilidade para o criminoso.


Do ponto de vista dos usuários finais, a maioria dos cuidados no uso do Pix são os mesmos que já deveriam existir ao fazer qualquer transação financeira, seja para uma pessoa física ou para um estabelecimento.

Confira algumas dicas para utilizar o Pix de forma segura:
  • Antes de mais nada: o Pix só funciona através do aplicativo móvel (app) ou no Internet Banking do seu banco. Cuidado, pois não existem outros sites nem aplicativos para fazer o cadastro de sua chave, nem para realizar transações com esse método de pagamento instantâneo;
    • Lembre-se: Ao acessar o site do seu banco, confira cuidadosamente o endereço do site em que você está inserindo os seus dados. Os aplicativos móveis devem ser instalados a partir das lojas oficiais da Apple (Apple Store) e do Google (Play Store);
  • Cuidado com ligações de supostos funcionários de bancos e com mensagens via e-mail, SMS ou WhatsApp oferecendo um link para cadastramento de suas chaves do PIX. Somente faça o cadastro de sua chave e transações pelo Pix pelos canais oficiais do seu banco, pelo Internet Banking ou pelo app bancário (Mobile Banking);
  • Antes de realizar uma transação com o Pix, certifique-se que a chave da conta de destino pertence a pessoa com quem você deseja transacionar. Verifique com atenção nos dados do destinatário antes de confirmar a transação;
  • Cuidado ao receber imagens QR Code para fazer um pagamento pelo Pix. Antes de confirmar, valide os dados da conta recebedora e o valor da transação; 
  • Nunca confirme uma transferência para uma chave Pix de um destinatário que você não conhece;
  • Cuidado com os golpes pelo WhatsApp com pedidos de transferências e de empréstimos. Não faça o Pix até falar com a pessoa que está solicitando o dinheiro, para confirmar a sua identidade;
  • Não acredite em mensagens prometendo receber dinheiro em dobro devido a algum suposto defeito (bug) no Pix. Não acredite em promessas de dinheiro fácil, pois na verdade, a transferência será feita para a conta dos golpistas.
Para saber mais:
#SegurançaDigital
#SemanadaSegurançaDigital
#CompartilheSegurançaDigital

fevereiro 22, 2021

[Segurança] Semana da Segurança Digital

Neste ano a Febraban lançou a "Semana da Segurança Digital", uma ação de conscientização conjunta com todos os bancos que acontecerá pela primeira vez, de 22/02 a 26/02.

Durante esta semana, a Febraban e os bancos que se uniram nesta ação estarão postando diversas dicas de prevenção a fraudes online no Portal Antifraudes da Febraban e nas redes sociais e utilizando as hashtags da campanha: #SegurançaDigital (Principal), #SemanadaSegurançaDigital e #CompartilheSegurançaDigital.

Segundo uma pesquisa realizada pelo Serasa e o Instituto Locomotiva, mais de 60 milhões de brasileiros já sofreram algum tipo de fraude financeira na Internet. O levantamento também indicou que apenas 35% das vítimas conseguem recuperar o valor fraudado.

Lembre-se de algumas das principais dicas de segurança:
  1. Cuidado com os golpes via Phishing
    • Desconfie de mensagens inesperadas e promoções imperdíveis;
    • Mensagens desse tipo normalmente tem um senso de urgência;
    • Verifique se o endereço de e-mail de origem da mensagem corresponde a empresa real;
    • O endereço do site (URL) está correto?
    • Procure por erros ortográficos e gramaticais;
    • Confira se o logotipo e imagens na mensagem estão desfocados ou deformados;
    • Jamais forneça informações pessoais, dados confidenciais e senhas;
    • Cuidado também com mensagens recebidas por SMS e WhatsApp;
  2. Cuide da sua privacidade nas Redes sociais
    • Evite expor exageradamente informações pessoais, financeiras e corporativas nas redes sociais, principalmente que possam passar a impressão de ostentação;
    • Configure a privacidade das suas postagens;
    • Nunca adicione como amigo uma pessoa que você não conhece;
  3. Proteja a sua Senha com unhas e dentes!
    • Jamais compartilhe senhas;
    • Não use a mesma senha para mais de um serviço;
    • Não salve senhas em cadernos, arquivos, no celular ou navegador;
    • Crie senhas complexas, com letras, números e caracteres especiais;
    • Use sempre a autenticação de dois fatores (ou verificação em duas etapas);
    • Bloqueie o seu celular com senha;
  4. Segurança do Pix
    • Somente cadastre sua chave Pix e realize transações no ambiente seguro do seu banco através do Internet Banking ou pelo aplicativo móvel do seu banco;
    • Cuidado com mensagens e ligações de “supostos funcionários” de bancos oferecendo o cadastramento do Pix - "é cilada, Bino!!!"
    • Sempre confira os dados do “destinatário” da transação Pix (pagamento ou transferência);
    • Nunca realize uma transferência para um destinatário que você não conhece;
    • Não acesse links encaminhados por e-mails, postagens em mídias sociais ou SMS;
  5. Cuidado ao fazer compras online
    • Nunca clique em links de ofertas tentadoras, com preços muito baixos;
    • Sempre verifiquese a loja possui CNPJ, matriz ou endereço físico de escritório;
    • Pesquise a reputação da loja antes de realizar a compra, além de avaliações de quem já comprou;
    • Utilize o cartão virtual ou outros meios seguros de pagamento.
OBS: (adicionado em 22/02) A Febraban publicou uma notícia no portal deles sobre a campanha, com 30 dicas sobre prevenção a fraudes: FEBRABAN e bancos promovem Semana da Segurança Digital.

Veja também aqui no blog:
Veja também:
PS: Post atualizado em 22/02.

#SegurançaDigital
#SemanadaSegurançaDigital
#CompartilheSegurançaDigital

fevereiro 19, 2021

[Segurança] Acteón e a mitologia da privacidade

A mitologia grega, sempre muito sábia, tem uma passagem que ilustra a preocupação que já existia naquela época sobre o direito a privacidade: o mito de Acteón, que foi castigado pela deusa Ártemis por tê-la visto nua (portanto, violando a sua privacidade). Após ser transformado em um cervo (para que não contasse a ninguém que viu a deusa despida), Acteón foi morto pelos seus próprios cães de caça.


Acteón era um jovem herói de Tebas, exímio caçador, filho de Aristeu (protetor dos caçadores, pastores e dos rebanhos, além de ser o pioneiro da apicultura e da plantação de oliveiras), e que fora criado pelo Centauro Quíron. Um dia, Acteón estava caçando na floresta quando acidentalmente se deparou com a deusa Ártemis (Diana, na mitologia Romana) nua, tomando um banho acompanhada de suas ninfas. Famosa por sua castidade, Ártemis ficou indignada e o proibiu de falar - se o fizesse, seria transformado em um cervo. Ao tentar gritar, assumiu a forma de cervo e, ao atrair a atenção dos seus próprios cães de caça acabou morto por eles, que não o reconheceram.

Mesmo sento um tema tão atual, esse mito mostra como o debate sobre a privacidade assombra as pessoas há séculos !!!

Para saber mais:

fevereiro 18, 2021

[Segurança] Tempo de guarda de documentos de funcionários

Embora a LGPD preveja que qualquer pessoa pode pedir que determinada empresa exclua os dados pessoais em seu poder, essa exclusão de dados deve respeitar as demais leis e regulamentações existentes referentes a retenção de dados.

No caso de dados pessoais de funcionários, há informações que as empresas são obrigadas a armazenar por 5 anos, 10 anos, 30 anos e até mesmo por prazo indeterminado (ou seja, para sempre!). Os dados de contrato de trabalho e ficha de registro dos empregados, por exemplo, devem ser armazenados por prazo indeterminado!

O pessoal da Fecomércio fez um pequeno infográfico mostrando quais informações trabalhistas e previdenciárias devem ser armazenadas por quanto tempo:


Esses sites tem essas informações mais detalhadas:

fevereiro 12, 2021

[Segurança] O desafio de criar uma base global com vazamentos de dados

Recentemente a ACM publicou um artigo sobre os desafios de criar uma base de dados com todos os vazamentos de informações que acontecem no mundo todo. Esse  trabalho acadêmico foi fruto de uma parceria do C6 Bank com o pessoal do MIT CAMS, aonde eu trabalhei junto com o professor Stuart Madnick e os colegas Nelson Novaes Neto e a Natasha Malara Borges.

No paper Developing a Global Data Breach Database and the Challenges Encountered nós descrevemos os desafios que sofremos ao levantar os incidentes de vazamentos de dados que aconteceram durante os anos de 2018 e 2019. Ao todo, identificamos várias centenas de incidentes relevantes, e criamos uma base online com todos os incidentes que comprometeram pelo menos 30 mil pessoas (criamos uma quantidade mínima para que a base não ficasse gigante): www.databreachdb.com.

É interessante notar que identificamos 269 incidentes relevantes em 2019 na nossa base de dados (isto é, incidentes em que vazaram pelo menos 30 mil registros), que totalizaram mais de 22 bilhões de dados vazados apenas em 2019.


Comparando com outros estudos disponíveis no mercado, esse número é muito maior do que a melhor estimativa disponível:
Nós detalhamos no paper como foi o processo e quais os desafios. Resumindo, os principais desafios foram:
  • Demora em identificar os incidentes: como as empresas podem demorar alguns meses para identificar e reportar os incidentes de segurança, só é possível ter uma visão da quantidade de incidentes por ano na metade do ano seguinte. Assim, certamente qualquer estudo que surja no início do ano será impreciso;
  • Falta de visibilidade global, pois em geral a imprensa só destaca os incidentes que acontecem em grandes empresas e, principalmente, em empresas nos EUA e na Europa. Assim, incidentes de vazamento de dados em países menos importantes não viram notícia na imprensa global, e acabam não entrando nas estatísticas;
  • O excesso de incidentes faz com que a imprensa divulgue apenas incidentes em grandes empresas e de maior relevância, caso contrário, o excesso de notícias faria a audiência perter interesse no assunto.;
  • Falta de padrões globais para divulgação de incidentes, o que faz com que as informações e detalhes sobre os incidentes não sejam compartilhadas com frequência, dificultando o mapeamento dos incidentes.
Veja a transcrição do Abstract do paper:
"If the mantra “data is the new oil” of our digital economy is correct, then data leak incidents are the critical disasters in the online society. The initial goal of our research was to present a comprehensive database of data breaches of personal information that took place in 2018 and 2019. This information was to be drawn from press reports, industry studies, and reports from regulatory agencies across the world. This article identified the top 430 largest data breach incidents among more than 10,000 data breach incidents. In the process, we encountered many complications, especially regarding the lack of standardization of reporting. This article should be especially interesting to the readers of JDIQ because it describes both the range of data quality and consistency issues found as well as what was learned from the database created. The database that was created, available at https://www.databreachdb.com, shows that the number of data records breached in those top 430 incidents increased from around 4B in 2018 to more than 22B in 2019. This increase occurred despite the strong efforts from regulatory agencies across the world to enforce strict rules on data protection and privacy, such as the General Data Protection Regulation (GDPR) that went into effect in Europe in May 2018. Such regulatory effort could explain the reason why there is such a large number of data breach cases reported in the European Union when compared to the U.S. (more than 10,000 data breaches publicly reported in the U.S. since 2018, while the EU reported more than 160,0001 data breaches since May 2018). However, we still face the problem of an excessive number of breach incidents around the world. This research helps to understand the challenges of proper visibility of such incidents on a global scale. The results of this research can help government entities, regulatory bodies, security and data quality researchers, companies, and managers to improve the data quality of data breach reporting and increase the visibility of the data breach landscape around the world in the future."
A propósito, fui eu quem criou e inseriu a primeira frase do Abstract, para criar um pequeno impacto na chamada do paper:
"If the mantra “data is the new oil” of our digital economy is correct, then data leak incidents are the critical disasters in the online society."

Para saber mais:

fevereiro 09, 2021

[Segurança] Dia da Internet Segura

Hoje, 09/02, estamos comemorando o Dia da Internet Segura, uma data que acontece há vários anos para ajudar a conscientizar os usuários finais sobre os riscos e boas praticas de segurança no mundo online.


O site do evento tem muito material de apoio bem legal para ajudar em ações de conscientização, como apostilas, posters, roteiros, vídeos, etc, sobre os mais diversos temas. Vale muito a pea dar uma olhada e uma fuçada nesse material. O evento também tem uma grade de palestras bem interessante, que podem ser vistas online na página da SaferNet no Facebook e no canal do NIC.br no Youtube.

A propósito, o pessoal do Grupo New Space resolveu aproveitar a ocasião para promover uma "Semana da Internet Segura", compartilhando vídeos curtos em seu canal no YouTube com dicas simples e rápidas que podem ser úteis no lado pessoal e no profissional. O primeiro vídeo da série fala sobre como garantir a segurança no Whatsapp e em aplicativos de comunicação.


Aproveite também que no dia 11/02 a RNP vai fazer o Dia Internacional de Segurança em Informática (DISI), um evento que costuma ser bem legal e que será transmitido online no canal da RNP no YouTube, e neste ano eles vem com tema da educação de jovens e adolescentes.

PS (adicionado em 09/02): Aproveitando as celebrações do Dia da Internet Segura, o pessoal da Daryus criou um infográfico com "10 dicas para proteger você e sua empresa na era digital", disponível para download gratuito em http://dary.us/infografico-internet-segura.

fevereiro 05, 2021

[Segurança] Eventos de Segurança no primeiro semestre de 2021

Aviso importante: devido a pandemia do Coronavírus (COVID-19), os eventos tradicionais de segurança viraram online, foram cancelados ou adiados. Sempre verifique o site do evento que você tem interesse.
Estamos no Ano II da pandemia do novo Coronavírus, com lockdown e sem a previsão de quando voltaremos. ter  eventos presenciais. Mesmo assim, apesar dessa pandemia que bagunçou a agenda de eventos em todo o mundo, eu vou manter essa tradicional lista com os melhores eventos nacionais de segurança que acontecem no primeiro semestre desse ano.

A lista está muito mais magrinha do que o usual, principalmente por conta da incerteza se os eventos vão continuar e qual data serão realizados. Como sempre, eu listo aqui apenas os eventos que eu considero serem interessantes e/ou importantes no mercado, e que, na minha opinião, trazem conteúdo de qualidade.

Exceto quando indicado o contrário, o evento será realizado online.

Anote aí na sua agenda:
  • Janeiro/2021
    • Roadsec@Home (@roadsec) - O pessoal do Roadsec começou o ano cedo, com o Roadsec@Home acontecendo todas as quartas-feiras as 19h. Nesse início do ano eles estão fazendo o evento com uma entrevista, uma palestra e um painel de perguntas e respostas ao final, tudo online e gratuito, através do canal no YouTube
    Fevereiro/2021

  • Março/2021
    • 16/03: Security Leaders Regional Distrito Federal e Centro-Oeste - O Security Leaders inicia o ano com a sua versão regional - desta vez, em vez de focar em uma cidade, eles estão com foco em regiões geográficas. Essa primeira edição, de Brasília, Mato Grosso, Mato Grosso Do Sul e Goiás, segue a fórmula de painéis de debate - como eu sempre digo, discussões superficiais, com muitos expositores, não necessariamente especialistas no tema;
    • 23 a 25/03: TDC Innovation (@TheDevConf)  - Neste ano, em vez de realizar edições regionais, o The Developers Conference (TDC) vai fazer 4 ventos temáticos. O TDC é um evento tradicional e enorme sobre desenvolvimento de software, com várias trilhas de conteúdo, mas costumam ter uma relacionada a segurança;
  • Abril/2021
    • 10/04: MBConf v4 @ Home - evento online e gratuito do portal Mente Binária, com excelentes palestrantes;
    • 17/04: Roadsec São Paulo (@roadsec) - O Roadsec São Paulo foi adiado de Novembro para Abril deste ano, e promete ser realizado online;
  • Maio/2021
  • Junho/2021
Aproveite também para assistir alguns eventos internacionais neste ano, aj que a maioria promete ser online. Os principais e mais interessantes eventos são os seguintes:
Normalmente o segundo semestre é bem lotado de eventos aqui no Brasil, e alguns deles já divulgaram suas datas:
Aproveite agora para já reservar sua agenda, planejar viagens, etc.

Se eu esqueci de algum evento brasileiro importante, me avisem.

OBS:
  1. Muitos eventos ainda não divulgaram a data. Vou atualizar esse post assim que tiver novidades.
  2. O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com
  3. Veja também meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2019.
  4. Post atualizado com um pequeno ajuste no texto em 08 e 11/02.

fevereiro 04, 2021

[Segurança] OEA Cyberwomen Challenge

Nos dias 10 e 11/02 a Organização dos Estados Americanos (OEA) em parceria com a Trend Micro e o governo do Reino Unido, realizam mais uma edição da competição OEA Cyberwomen Challenge, um evento e competição de Capture The Flag (CTF) com objetivo de incentivar a participação de mulheres no mercado de Segurança. O evento tem o apoio da WOMCY (LATAM Women in Cybersecurity).


O evento começa com um Painel de Tecnologia no dia 10/02, das 10h as 12h, com uma palestra e um painel com a participação de diversas mulheres influentes no mercado, que participam de organizações como WOMCY, OEA e Instituto Butantan. No dia 11/02, das 13:30 as 17:30 acontece o desafio.

Para se inscrever no evento, as interessadas devem preencher um formulário aqui.

fevereiro 02, 2021

[Segurança] O maior vazamento de dados brazucas de todos os tempos - da última semana

Muito se fala sobre um vazamento recente de dados, que expôs informações pessoais de mais de 220 milhões de brasileiros, incluindo nomes completos, datas de nascimento, CPF, diversos dados financeiros e de crédito, além de dados de 104 milhões de veículos e de 40 milhões de empresas. Os dados de 223.739.215 CPFs anunciados para venda em um fórum online incluíam até 37 tipos de registro (informações diferentes). Pelo tipo de informação vazada, especulou-se que a origem teria sido a Serasa, mas a empresa nega.

A imprensa tradicional e a especializada tem noticiado esse vazamento com destaque. Hoje, 02/02, foi até discutido no programa da Fátima Bernardes!


Além disso, a imprensa não cansa de nos surpreender: o portal migalhas publicou uma noticia infeliz, dando destaque que o vazamento contém dados dos ministros do STF, simplesmente ignorando os demais 220 milhões de brasileiros. E o portal Poder 360 chamou o incidente de "vazamento do fim do mundo".

Rapidamente, já surgiu um site que se propõe a dizer se o seu CPF está na base vazada (é óbvio que sim!), e qual conjunto de dados foi vazado: FuiVazado.com.br. Mas muita gente está questionando se esse site (ou similares) são confiáveis. O autor do site FuiVazado publicou o código no GitHub, e assim, ajudar a garantir a sua transparência.

O pessoal do Rio Hacker Maker Space também criou uma página para verificar se os dados de um determinado CPF vazaram: https://news.riohms.com.br/vazou/.


OBS: Os dois sites acima estão fora do ar.

Mas cuidado, o pessoal do Coding Rights deu uma dica muito importante:



Mas apesar do grande destaque que esse caso recebeu, e de sua severidade, esse não é o primeiro mega-vazamento de dados de Brasileiros e não será o último. O Ministério da Saúde e os Detrans que o digam. Há dois meses atrás, pesquisadores descobriram como acessar os dados médicos de 243 milhões de brasileiros no site do Ministério da Saúde- ou seja, mais gente do que nesse vazamento deste mês. Vale a pena lembrar alguns casos bem recentes:
Esses casos acima são casos recentes de vazamentos ou exposição de dados online. Mas já sabemos, há décadas, que criminosos vendem CDs com bases de dados vazados - em São Paulo, isso pode ser encontrado a venda nos camelôs da rua Santa Ifigênia, no centro da cidade. Isso sem falar que há anos ciber criminosos e fraudadores tem conseguido acesso ao INFOSEG, o grande banco de dados da secretaria de segurança pública que centraliza informações detalhadas de todos os brasileiros.

Apenas como comparação, os 430 maiores incidentes de vazamento de dados em 2019 somaram mais de 22 bilhões de credenciais vazadas - mais do que 3 vezes a população da Terra, segundo um estudo do qual participei.

Ou seja: apesar de toda a discussão que está acontecendo agora, apesar de ter quem anuncie uma "catástrofe digital'" já faz muito tempo que os nossos dados pessoais estão nas mãos dos criminosos.

E o que isso significa? Esses vazamentos podem ser utilizados pelos criminosos para roubar a identidade de suas vítimas e realizar vários tipos de golpes, como abrir conta corrente em nome de outras pessoas, pegar empréstimos, etc. De fato, segundo uma pesquisa realizada em 2020 pela PSafe, 1 em cada 5 brasileiros já foi vítima de roubo de identidade na Internet.

Infelizmente, há muito pouco o que possamos fazer depois que os nossos dados pessoais vazaram e já estão nas mãos de ciber criminosos. Como diria um velho ditado, revisado para os tempos atuais: "não adianta chorar sobre os dados vazados" :(

Isso merece um meme:


Imagem original: Foto de Jagoda Kondratiuk no Unsplash.


Para saber mais:
PS: Gostou do meme acima, que eu criei sobre "não adianta chorar sobre os dados vazados"? Eu criei uma 2a versão dele, com outra imagem (uma foto da Daniela Díaz no Unsplash):



PS/2: Pequena atualização em 02/02. Post atualizado duas vezes em 03/02 para incluir a notícia do vazamento de 270 milhões de registros da Dataprev - veja também a nota oficial da Dataprev. Post atualizado em 04, 05, 10 e 12/02.

PS 3: Criei uma versão desse post em forma de artigo, no LinkedIn: Fomos vazados. E agora, quem poderá nos ajudar!?

PS 4: (adicionado em 17/02) Também criei um artigo no portal Mente Binária com uma versão desse post: O que fazer se você for vítima de vazamento de dados?
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.