[Segurança] Dicas de segurança e prevenção a fraudes

 O pessoal da Febraban mantém uma página com várias dicas de segurança e para ajudar a prevenir contra fraudes financeiras.

Além de dicas básicas de uso de senhas, uso seguro da Internet e cuidados contra phishing, eles também compartilham algumas dicas sobre uso de cartões de crédito e débito, fraudes com boletos, uso do caixa eletrônico e até mesmo, pasme, o uso de cheques.

Esse é um ótimo recurso para ajudar a conscientizar usuários finais sobre os riscos de fraudes online e golpes mais comuns.

[Segurança] Golpe dos perfis falsos no Instagram

Um dos golpes mais comuns hoje em dia está acontecendo através de perfis falsos nas redes sociais, em especial no Instagram.

Nesse golpe, os ciber criminosos criam perfis falsos nas redes sociais que tentam se passar pelo por empresas ou por funcionários dessas empresas. Com esse perfil, eles entram em contato com clientes através de mensagens diretas (o tal do "direct") e trocam mensagens para tentar obter seus dados pessoais ou conseguir acesso ao WhatsApp das vítimas (eles pedem o código de ativação que é enviado quando tentam acessar o Whats da vítima no celular do fraudador). Com essas informações em mãos, eles conseguirão fazer fraudes financeiras.

Tudo indica que esse golpe está muito disseminado no país, como mostra essa reportagem de um jornal em Salvador (BA) sobre este assunto, relatando que ciber criminosos tem criado perfis falsos no Instagram em nome de restaurantes locais (e motéis também! #piadapronta). Segundo a reportagem....

"O golpe funciona assim: usando um perfil falso com a mesma foto e informações do perfil verdadeiro, os criminosos buscam por seguidores e enviam mensagens. Eles oferecem descontos ou cupons e pedem, para isso, que o cliente faça um cadastro com nome e número de telefone. De posse do número que o cliente usa no aplicativo de troca de mensagens WhatsApp, os criminosos roubam os dados e pedem dinheiro a pessoas da lista telefônica."

Outro golpe realizado no Instagram é a oferta de vouchers de desconto falsos, como descrito abaixo pela proprietária de um restaurante em Salvador:

"Há uma semana, a proprietária do Preta Restaurante, na Ilha dos Frades, foi informada de que havia outra página no Instagram com o nome do estabelecimento oferecendo uma promoção: a pessoa pagava R$ 100 para consumir R$ 150."

Recentemente, quando abri o meu app do McDonnalds para comprar um Big Mac com desconto, eu vi esse aviso na tela inicial do App:

Ou seja, os ciber criminosos não perdoam nem o Mc !!! #McFraude #McFake

Por isso, é importante sempre ficar atento e somente entrar em contato com as empresas pelos canais de atendimento oficiais ou, se for por redes sociais, através do perfil oficial da empresa. Verifique se o perfil na rede social tem o selo indicando que foi verificado, e também veja se parece autêntico: tem grande quantidade de seguidores, conteúdo postado frequentemente e se existe a bastante tempo (se for um perfil criado recentemente, é muito grande a chance de ser fake). Desconfie também de ofertas muito vantajosas!

Para saber mais:

• Bandidos criam páginas falsas de restaurantes pra dar golpes em clientes
• 12 mil brasileiros são vítimas de clonagem de WhatsApp por dia

[Segurança] Imagens sobre tecnologia e segurança

Rapidamente eu fiquei fã do site Unsplash  que disponibiliza gratuitamente e livre de copyright excelentes imagens, de alta qualidade. É super difícil encontrar fotos disponíveis gratuitamente e livre de copyright, ainda mais quando você procura por algum assunto específico. Por isso esse site é um item mandatório dos meus bookmarks.

Veja, por exemplo, essa foto linda da máquina Enigma, compartilhada pelo Mauro Sbicego no Unsplash.

OBS: mesmo sendo gratuitas, é de muito bom tom dar os créditos devidos para os autores das imagens #ficaadica

Recenteente eu descobri que o site possui "tópicos" para categorizar as imagens e, além disso, alguns usuários criaram "listas". Com isso, fiz uma coletânea com algumas listas de imagens específicas sobre tecnologia e segurança, que podemos utilizar livremente:

• Tópicos Technology e Work from Home
• Cybersecurity
• Digital
• Digital Age
• Infosec (lista grande, 180+ fotos, embora várias delas sejam sobre "tecnologia" em geral)
• Tech (lista ninja, com quase 400 fotos)
• Technology

A propósito, eu criei uma lista de imagens que batizei "Hackers".

Veja, por exemplo, essa imagem sensacional publicada pelo Tarik Haiga no Unsplash (que, por sinal, tem algumas fotos legais sobre protestos):

[Segurança] Troco a minha privacidade por um chiclete

Agora com o início da vigência da LGPD, vamos ver aumentar muito a quantidade de debates sobre a importância da privacidade. Para dar uma boa pitada nesse assunto, há um estudo da Kaspersky que mostra como os brasileiros tem pouco cuidado com esse assunto, facilmente trocando seus dados pessoais em troca de benefícios ou vantagens - por menor que sejam.

Segundo um estudo da Kaspersky realizado com 10.500 pessoas em 20 países sobre o impacto do chamado "social rating", a maioria esmagadora dos brasileiros (80%) declara se sentir confortável ao compartilhar dados pessoais em troca de alguma vantagem.

As principais conclusões do estudo em relação aos brasileiros foram as seguintes:

• 80% aceitariam expor seus perfis em redes sociais para encontrar velhos amigos
• 70% aceitariam compartilhar os dados pessoais desde que fosse para obter descontos em compras online
• 65% trocariam por experiências exclusivas
• 55% compartilham se isso representar um bom imóvel para alugar
• 50% aceitam caso isso represente monitoramento de segurança em viagens
• 44% aceitariam em troca de monitoramento do cartão de crédito 
• 49% aceitam para obter um visto de entrada em outro país
• 37% estariam satisfeitos se fosse para um governo para manter os cidadãos seguros, rastreando atividades nas mídias sociais
• Apenas um quarto (25%) dos respondentes no Brasil declarou que não compartilharia seus perfis com a finalidade de acelerar as verificações de histórico do cartão de crédito;
• 21% não se sente confortável em compartilhar informação pessoal para garantir um lugar em uma ótima escola para uma criança
• 16% não compartilhariam em troca de um apartamento melhor para alugar (16%).

Os sistemas de avaliação social (social rating) estão se tornando muito mais comuns, sendo usados frequentemente em muitas empresas e até mesmo por governos. O problema é que as pessoas não tem consciência disso e de seu impacto negativo. Segundo as constatações do relatório da Kaspersky, destacado pelo The Hack, 17% dos consumidores brasileiros já enfrentaram dificuldades para obter empréstimos ou financiamentos por conta de informações publicadas em suas redes sociais. 

Para saber mais:

• No site da Kaspersky: Maioria dos brasileiros se sente confortável em trocar dados por benefícios
• Estudo original da Kaspersky: Social credits and security: embracing the world of ratings (com vários gráficos interessantes)
• 80% dos brasileiros trocam sua privacidade por alguma vantagem
• O que você faz nas redes sociais pode lhe impedir de conseguir empréstimos

[Segurança] A LGPD está valendoooo !!!!

É isso mesmo! Acabou a novela da LGPD!!!

No último minuto do último dia do final do prazo para sancionar a MP 959, a sanção foi dada! Com a publicação da MP 959 no Diário Oficial da União de hoje, transformada na lei n. 14.058, sem o artigo 4o que determinava o adiamento da Lei Geral de Proteção de Dados Pessoais (LGPD), voltou a valer o prazo de adequação definido anteriormente, de 24 meses após a sua publicação.

E assim a partir de hoje, 18/09, a LGPD começou a valer (retroativamente, na verdade).

A Lei Federal nº 13.709 de 14 de Agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), foi publicada em 14/08/2018 e está oficialmente em vigor a partir de 15 de agosto de 2020 (prazo dado pela  Lei nº 13.853, de 2019). As sanções aplicáveis pela lei entrarão em vigor somente em 01/08/2021, de acordo com a Lei 14.010/2020.

Para saber mais:

• Aqui no blog: "Habemus LGPD !!! (com memes)"
• OBS: tenho vários posts aqu no blog sobre LGPD, dêem uma olhada.

PS: Pequeno ajuste em 18/09.

[Segurança] Gerador de Política de Privacidade e Termos de Uso

A LGPD vai entrar em vigor a qualquer momento e só agora você descobriu agora que precisa criar uma política de privacidade para seu site ou sua empresa? Não se preocupe, você não está sozinho.... kkkk... 

Com uma busca rápida no Google eu achei um site que oferece um Gerador de Política de Privacidade e Termos de Uso, o https://politicaprivacidade.com.

O site gera, automaticamente, uma política de privacidade genérica, que pode opcionalmente incluir também um texto sobre o uso de cookies e Adsense.

Embora o site gere uma política de privacidade em poucos segundos, eu recomendo que você a revise com cuidado. Preferencialmente, consulte um advogado!

PS: Utilizei esse gerador para criar a política de privacidade aqui do blog.

[Segurança] Os 7 princípios fundamentais da Privacidade Por Design

Quando falamos na importância de aplicar cuidados de segurança e privacidade, um dos principais princípios é a "privacidade por design" ("privacy by design", em inglês). No conceito de "privacidade por design", os cuidados e controles de privacidade são incorporados à própria arquitetura dos sistemas e processos desde a sua especificação e seu desenvolvimento. Desta forma, visamos garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.

A norma européia General Data Protection Regulation (GDPR) estabelece a importância da privacidade por design em seu artigo 25, de seguinte forma:

"Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects."

A International Association of Privacy Professionals (IAPP) propõe 7 princípios fundamentais da Privacidade por Design:

1. Proativo não reativo; Preventivo, não reparador: A abordagem de Privacy by Design (PbD) é caracterizada por medidas proativas, em vez de reativas. Ele antecipa e evita eventos invasivos de privacidade antes que eles aconteçam. O PbD não espera que os riscos de privacidade se materializem, nem oferece soluções para resolver infrações de privacidade uma vez que ocorram - tem como objetivo evitar que ocorram. Resumindo, a privacidade projetada vem antes do fato, não depois.
2. Privacidade como configuração padrão: A Privacy by Design visa fornecer o máximo grau de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema de TI ou prática comercial. Se um indivíduo não fizer nada, sua privacidade ainda permanecerá intacta. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade - isso é integrado ao sistema, por padrão.
3. Privacidade incorporada ao design: A privacidade está embutida no design e na arquitetura dos sistemas de TI e nas práticas de negócios. Não é adicionado como um add-on, após o fato. O resultado é que a privacidade se torna um componente essencial da funcionalidade central que está sendo entregue. A privacidade é parte integrante do sistema, sem diminuir a funcionalidade.
4. Funcionalidade total - Soma positiva, não soma zero: A Privacy by Design busca acomodar todos os interesses e objetivos legítimos de uma maneira de soma positiva “ganha-ganha”, não por meio de uma abordagem datada e de soma zero, onde compensações desnecessárias são feitas. A Privacy by Design evita a pretensão de falsas dicotomias, como privacidade x segurança, demonstrando que é possível ter as duas.
5. Segurança ponta a ponta - Proteção total do ciclo de vida: A privacidade desde o design, tendo sido incorporada ao sistema antes do primeiro elemento de informação ser coletado, se estende com segurança por todo o ciclo de vida dos dados envolvidos - fortes medidas de segurança são essenciais para a privacidade, do início ao fim. Isso garante que todos os dados sejam retidos com segurança e, em seguida, destruídos com segurança no final do processo, em tempo hábil. Assim, o Privacy by Design garante do início ao fim, o gerenciamento seguro do ciclo de vida das informações, de ponta a ponta.
6. Visibilidade e transparência - mantenha aberto: A Privacy by Design visa garantir a todos os interessados ​​que, seja qual for a prática comercial ou tecnologia envolvida, ela está, de fato, operando de acordo com as promessas e objetivos declarados, sujeita a verificação independente. Suas partes componentes e operações permanecem visíveis e transparentes para usuários e provedores. Lembre-se, confie, mas verifique.
7. Respeito pela privacidade do usuário - Mantenha-se centrado no usuário: Acima de tudo, o Privacy by Design exige que os arquitetos e operadores mantenham os interesses do indivíduo em primeiro lugar, oferecendo medidas como fortes padrões de privacidade, aviso apropriado e valorizando opções amigáveis ​​ao usuário. Mantenha-se centrado no usuário.

Referências:

• IAPP: "A Guide to Privacy By Design"
• IAPP: Privacy by Design - The 7 Foundational Principles
• Implementing Privacy By Design

[Segurança] Os principais elementos da cultura de segurança

Uma notícia recente mostrou a todos a importância de ter funcionários alinhados com a empresa e ajudando a protegê-la contra ciber ataques: um funcionário da Tesla recusou uma oferta de 1 milhão de dólares, recebida de um espiÃo russo, para instalar um malware na rede da empresa, com um pen-drive.

Aproveitando esse tema, eu quero destacar um artigo interessante que li recentemente no portal TechTarget, que indicou "os 7 elementos de uma cultura de ciber segurança na empresa".

A criação de uma cultura de ciber segurança visa preparar os funcionários da corporação para se protegerem de ciber ataques. Quanto mais preparados forem os funcionários, menor a chance de serem explorados por alguma ameaça (na vida profissional e pessoal também). No mundo de segurança, isso ganhou uma buzzword:

Human Firewall

Cada funcionário acaba se tornando um aliado do time de segurança, apoiando as ações da empresa e rapidamente reportando qualquer potencial problema ou comportamento suspeito.

O artigo da TechTarget destaca uma lista com 7 elementos essenciais, a seguir:

1. Liderança - sim, é fundamental que a liderança da empresa respeite, divulgue e dê o exemplo quando se trata das boas práticas de segurança. Não basta um texto na Intranet escrito pelo time de marketing e assinado pelo CEO. Os executivo e gestores tem que dar o exemplo diariamente, mostrando preocupação com a segurança da empresa, discutindo o assunto nos seus times e estimulando os funcionários a participar de treinamentos, entre outras coisas. A propósito, os executivos também devem participar dos treinamentos! Isso mostra para os demais funcionários, na prática, o comprometimento deles com o tema;
2. Representantes em diversos times - um fator chave para espalhar a cultura de segurança em uma grande empresa é ter pessoas dentro dos demais times representando os interesses e preocupações de segurança no dia-a-dia de seu time. Eles podem ser chamados de vários nomes, tais como "embaixadores de segurança", "security champions", etc. Eles ajudam a identificar riscos e oportunidades de melhoria nas atividades do dia-a-dia, e fazer uma ponte entre os demais funcionários e o time de segurança;
3. Educação constante - a empresa deve possuir uma estratégia de educação sobre os riscos e boas práticas de segurança, incluindo treinamentos, palestras, vídeos, artigos, notas, etc. Mecanismos de educação podem incluir exemplos reais, atualizados, guias práticos (como usar as ferramentas, como notificar incidentes, etc) e melhorias constantes, aproveitando o feedback dos colaboradores. Mas cuidado, pois educação constante não significa que devemos insistir no assunto com grande frequência: o desafio é manter os funcionários interessados pelo assunto, sem excessos;
4. Relevância para os funcionários - a conscientização deve ser personalizada, direcionada as responsabilidades e necessidades de cada grupo de funcionários e integrado com seu trabalho.  O esforço de educação também deve levar em consideração a realidade de cada público (o tipo de mensagem, o meio, a linguagem utilizada, etc);
5. Atitudes e comportamentos - As pessoas devem ser motivadas a encarar a segurança de uma forma positiva, como aliada. Os funcionários devem se sentir parte da solução, e não do problema. Quando conseguimos influenciar positivamente as atitudes e comportamentos, as boas práticas de segurança são exercidas naturalmente pelos funcionários;
6. Ecossistema - Um fator importante é levar em consideração todo o ambiente interno e externo, incluindo o cenário externo de ameaças;
7. Métricas - Um fator de sucesso é construir um programa robusto de métricas, para identificar os esforços realizados e seu impacto na postura de segurança das pessoas e organizações. Nesse momento, a gamificação é sempre lembrado, pois além de motivar, cria algumas métricas naturalmente durante o processo educacional. Pegando um exemplo bem simples e recorrente, é interessante avaliar a porcentagem de colaboradores que clicam em uma simulação de phishing antes e depois de terem realizados um treinamento sobre o assunto.

A lista está de acordo com a realidade de mercado. Muito do que foi citado acima também pode ser encontrado nessa pequena lista de 3 dicas para criar uma cultura de segurança elaborado por pesquisadores do MIT. O diagrama abaixo, também da TechTarget, também sumariza um pouco os pontos acima.

Mesmo nos tempos de pandemia, quarentena e home office, a cultura de segurança continua sendo um fator muito importante dentro da estratégia de segurança. Afinal, os colaboradores tem que manter seus hábitos de proteção mesmo longe da empresa e sem o contato diário com seus colegas e com o time de segurança.

Para saber mais:

• The 7 elements of an enterprise cybersecurity culture
• 10 tips for cybersecurity awareness programs in uncertain times
• 3 ways leaders can build a stronger security culture

[Segurança] Exemplos para relembrar a importância do fator humano

 Dois casos recentes viraram noticias no mercado de segurança, e destacam a grande importância do elemento humano na segurança corporativa (para o bem e para o mal):

• Tesla: Um funcionário da Tesla foi abordado por um espião russo e recusou uma oferta de 1 milhão de dólares para instalar um malware na rede da empresa, provavelmente um ransomware;
• BancoEstado: enquanto os brasileiros aproveitavam o feriado de 07 de setembro, o banco chileno BancoEstado sofreu um ataque de ransomware que o forçou a fechar seus escritórios e agências. Segundo uma reportagem na ZDNet, "O incidente está sendo investigado como tendo origem em um documento malicioso do Office recebido e aberto por um funcionário. Acredita-se que o arquivo malicioso do Office tenha instalado um backdoor na rede do banco."

Enquanto na Tesla o funcionário salvou a empresa de uma invasão, roubo de informação e chantagem, o BancoEstado foi vítima de um funcionário distraído que abriu um arquivo malicioso.

Aproveitando para comentar um pouco sobre o ataque ao BancoEstado, eles foram vítima do ransomware REvil (Sodinokibi) durante o final de semana. Ainda segundo a ZDNet, após um funcionário abrir um arquivo malicioso, foi instalado um backdoor na rede do banco durante o final de semana. Os criminosos usaram esse backdoor para acessar a rede do banco e instalar o ransomware. A reportagem destaca que "os danos foram extensos, com o ransomware criptografando a grande maioria dos servidores internos e estações de trabalho dos funcionários." Mas a segmentação de rede limitou o alcance do ransomware, o que salvou o site, portal bancário, aplicativos móveis e caixas eletrônicos do banco.

Para saber mais:

• Elon Musk confirmed Russian's plans to extort Tesla
• Russian National Arrested For Conspiracy To Introduce Malware Into A Nevada Company's Computer Network
• Russian National Indicted For Conspiracy To Introduce Malware Into A Computer Network
• Chilean bank shuts down all branches following ransomware attack
• Comunicado Sobre Alerta Cibernética - ANÁLISIS DE VECTORES DE ATAQUES ACTIVOS (PDF)
• 2CMV20-00081-01 CSIRT comparte información sobre múltiples campañas de malware

[Segurança] Quanto tempo leva para identificar um ataque?

Quanto mais rápido uma empresa identificar uma invasão, provavelmente o impacto deste incidente será menor. Por isso, é importantíssimo que as empresas tenham capacidade de detecção e resposta a ataques. Essa estimativa de tempo é chamada de... 

Dwell Time

O relatório M-Trends, da FireEye Mandiant, há vários anos estima quanto tempo as empresas demoram para identificar uma intrusão. Os resultados acumulados nesses últimos anos mostra uma tendência de queda desse prazo.

Em 2011, a média do número de dias que um atacante permanecia em uma rede sem ser identificado era de 416 dias (mais de 1 ano). Essa média caiu para apenas 56 dias em 2019. O relatório M-Trends 2020 trouxe a comparação histórica, sendo que desde 2015 eles também estimam o tempo médio de detecção quando o incidente é identificado pela própria empresa ou por pessoas externas a ela.

Em 2019, as empresas que identificaram um ataque em seu ambiente demoraram, em média, 30 dias desde o início da intrusão. Se o ataque passou desapercebido pela empresa, a ponto dela tomar conhecimento do incidente por fontes externas, então nesses casos em média o atacante permaneceu na empresa por 141 dias. Sem considerar a forma de detecção, essa média em 2019 foi de 56 dias. No continente americano, essa média foi de 60 dias, versus 54 dias nas empresas na região da Europa, Oriente Médio e África (EMEA). Além disso, 41% das empresas investigadas pela FireEye tiveram o Dwell time abaixo de 30 dias. Mas 12% das empresas demoraram mais de 700 dias para identificar a invasão. 

Segundo o relatório, existem duas causas pata essa maior velocidade na detecção de ataques:

• Crescimento de ataques "destrutivos", que rapidamente impactam as empresas e, por isso, são facilmente identificados. Ou seja, estamos falando dos ataques como os Ransomwares, que se manifestam no momento da infecção, e são uma das maiores pragas hoje em dia. O aumento dos ataques de ransomware significa uma queda no tempo médio para identificar ataques (o dwell time);
• Aumento da adoção de serviços de gerenciamento de segurança, trazendo maior agilidade para os times de resposta a incidentes.

Outro relatório da FireEye Mandiant também mostra a dificuldade das empresas em detectarem quando foram invadidos. Segundo ele, 91% dos ciber ataques que conseguem se infiltrar nas empresas não geram alertas, e 53% dos ataques não são detectados pelas ferramentas de segurança existentes.