julho 21, 2020

[Segurança] Ransomwares e Double Extortion

Uma nova ameaça surgiu recentemente no mercado recentemente e já afetou algumas centenas de empresas no mundo todo, o ataque de...

Double Extortion


Nessa nova modalidade de ciber ataque, as novas famílias de ransomwares não se limitam a sequestrar os dados, como acontece normalmente. Elas também roubam os dados e ameaçam a vazá-los caso a vítima não pague o valor exigido na extorsão. Além da vítima ter seus dados sequestrados, sem conseguir acessá-los, elas também sofrem a ameaça de terem seus dados vazados pelo ransomware, caso não paguem o sequestro.

A Tempest aponta oito famílias de ransomware com esta característica que estão mais presentes atualmente, e são utilizadas por 11 grupos criminosos diferentes: Maze, Snake, RagnarLocker, Clop, REvil (Sodinokibi), Netwalker (Mailto), DoppelPaymer e Nefilim.

O ransomware Maze, que surgiu no final de 2019, foi o pioneiro a usar essa tática de dupla extorsão, e fez escola! Ou seja, além de criptografar os dados e exigir o resgate, o Maze também exfiltra (rouba os dados) para que o criminoso possa chantagear a vítima que os dados serão vazados publicamente caso o resgate não seja pago.



Um outro golpe bizarro, que surgiu após o Maze, é que alguns fraudadores mandam mensagens falsas, ameaçando vazar dados das empresas sem que eles tenham sido roubados de verdade.

Para saber mais:

julho 20, 2020

[Segurança] Um dia é da caça, o outro é do caçador...

Me permitam fazer um post sarcástico comparando duas notícias recentes, relacionada a golpes e fraudes digitais.

No dia 17/07 o jornal Correio Brasiliense publicou uma matéria com o título "Hackers (sic) fizeram desvios do auxílio emergencial pelo aplicativo Caixa Tem", em que um trecho chamou a atenção de vários profissionais de segurança, alegando que a Caixa invadiu grupos de WhatsApp das quadrilhas:
"Ainda de acordo com o executivo (Pedro Guimarães, presidente da Caixa Econômica Federal), a Caixa já bloqueou "algumas contas usadas por esses bandidos" e também já "invadiu grupos de WhatsApp de hackers". "Já temos bastante coisas e vamos passar para a Polícia Federal", avisou."
Fast forward... Dois dias depois, uma matéria publicada no UOL no dia 19/07 destaca que o "Presidente da Caixa diz a contatos ter sido hackeado e troca número de celular". Pela reportagem, é possível entender que ele teve diversos dados pessoais vazados.

Ou seja, pelo jeito rolou alguma vingança pelo comentário do presidente da Caixa.

Vale a pena destacar que uma série de falhas na poupança digital e no aplicativo Caixa Tem permitiram que criminosos acessassem as contas dos beneficiários do auxílio emergencial e realizassem fraudes em saques e pagamentos, o que causou um prejuízo de mais de R$ 60 milhões para a Caixa.

julho 17, 2020

[Carreira] Dicas para o Curriculum

O processo de contratação de emprego, normalmente, passa por um ritual:
  1. O candidato toma conhecimento da vaga (ou alguém da empresa convida alguém a participar do processo)
  2. O candidato envia seu CV para a empresa
  3. A empresa analiza o CV dos candidatos
  4. Os candidatos com melhores CVs são convidados para uma primeira entrevista
  5. Acontecem algumas entrevistas (cada empresa tem seu processo específico)
  6. Candidato é informado se foi aceito ou não
Pelo passo-a-passo acima, fica claro a importância do Curriculum Vitae (CV) no processo de contratação. Ele é o documento que te apresenta para a empresa, e que ela vai utilizar para a primeira filtragem dos possíveis candidatos. Um CV mal feito, que não transmita as suas qualidades, reduzem drasticamente a sua chance de ser chamado para uma entrevista.

Por isso, há muito tempo se fala sobre a importância de ter um CV bem feito. Recentemente eu li um artigo interessante, aonde o autor deu algumas dicas após analizar 22 currículos de candidatos para uma vaga de desenvolvedor.

Isso me inspirou a compartilhar algumas dicas, mescladas com as dicas do artigo:
  • Antes de mais nada: lembre-se, o Curriculum deve vender a sua imagem! Deve destacar as suas qualidades e conquistas profissionais;
  • Jamais minta no currículo, não invente. As vezes as pessoas validam as informações, e aí você fica queimado;
  • A aparência é tudo! Capriche bastante no seu CV: use uma diagramação agradável, moderna, com uso cuidadoso das fontes, negritos, bullets, etc. O próprio entrevistador fica mais motivado quando lê um CV bem feito, com bom visual, claro e objetivo;
  • O CV tem que ser curto e objetivo,em geral comenta-se que ele deve ter 2 páginas, no máximo. Mas o grande desafio é manter ele curto e ao mesmo tempo destacar as suas qualidades e sua experiência;
  • Cuidado com os detalhes: erros de digitação, nomes mal escritos, etc;
  • Se você pretende se candidatar para cargos diferentes (por exemplo, pré-vendas ou consultor de segurança), vale a pena criar duas versões do seu CV, cada uma direcionada para cada vaga. Assim, você pode destacar as suas qualidades e experiências que melhor se adequa a cada perfil profissional. Se tiver apenas uma versão genérica do CV, você não conseguiria dar tanto destaque nas informações que o entrevistador quer ver;
  • O LinkedIn é seu aliado! Hoje em dia, o LinkedIn pode ser usado como substituto ao tradicional CV. É cada vez mais comum compartilhar o link para sua página do Linkedin em vez de enviar um documento com o seu CV. Ou também pode ser usado  como um complemento - o LinkedIn pode ter mais detalhes sobre a sua vida profissional, enquanto você deixa o CV mais enxuto e objetivo;
  • Destaque suas atividades públicas: voluntariados, blog, repositórios de códigos, palestras realizadas e participação em comunidades. Um entrevistador mais cuidadoso e interessado pode usar essas informações para avaliar você muito positivamente;
  • Não coloque foto no seu CV, nem dados pessoais (números de documentos);
  • Não coloque pretensão salarial. Guarde essa informação para a negociação;
  • Não coloque participação em eventos, a menos que você seja o organizador ou palestrante.
Lembre-se: o empregador tem que analisar dezenas ou centenas de currículos, por isso é fundamental para o seu futuro profissional que o seu CV se destaque no meio da multidão!

julho 08, 2020

[Segurança] Desafios de segurança no Home Office

Um estudo recente da Kaspersky trouxe algumas estatísticas que mostram como as pequenas e médias empresas estão vulneráveis no cenário de trabalho remoto imposto pela pandemia do novo Coronavírus. O estudo entrevistou 6 mil pessoas em 12 países, incluindo o Brasil.

Veja algumas estatísticas apontadas pela Kaspersky sobre o cenário das pequenas empresas brasileiras:
  • 58% dos funcionários estão usando seus computadores pessoais, pois não receberam equipamentos corporativos para o trabalho em casa;
  • Apenas 44% dos funcionários receberam instruções de segurança para trabalhar de casa;
  • 50% dos funcionários começaram a armazenar informações corporativas em seus dispositivos domésticos;
  • 44% dos funcionários começaram a armazenar informações corporativas em serviços de armazenamento em nuvem pessoal
O estudo também traz vários números globais que são bem interessantes:
  • 46% dos entrevistados nunca tinham trabalhado de casa antes da pandemia;
  • 32% dos funcionários dizem estão trabalhando em condições menos confortáveis ​​do que no ambiente de escritório;
  • 55% dos entrevistados receberam dispositivos específicos para trabalhar em casa, como computadores e celulares;
  • 73% ainda estão usando os mesmos dispositivos com os quais trabalhavam no escritório;
  • 52% dos entrevistados têm o parceiro trabalhando em casa, sendo que apenas 11% moram sozinhos;
  • 26% dos pesquisados ​​não têm salas separadas para familiares que precisam trabalhar em casa;
  • 84% afirmam permitir que outras pessoas em sua casa acessem seu computador pessoal usado para o trabalho;
  • 50% das empresas que permitem que os funcionários realizem trabalhos a partir de dispositivos pessoais, não possuem políticas para regulamentar como elas são usadas;
  • 73% dos trabalhadores afirmam não ter recebido nenhum treinamento adicional de conscientização de segurança depois que passaram a trabalhar em casa;
  • 53% dos trabalhadores estão usando VPN para acessar a rede de seus empregadores;
  • 42% dos trabalhadores estão usando contas de e-mail pessoais para trabalhar;
  • 53% dos entrevistados estão usando serviços pessoais de compartilhamento de arquivos.
A Kaspersky traz também alguns conselhos para proteger os funcionários trabalhando em home office:
  • Se possível, utilize apenas os equipamentos fornecidos pelo empregador;
  • Os dispositivos pessoais dos funcionários devem possuir ferramentas de segurança, atualizados;
  • Use senha em todos os dispositivos, incluindo celulares e redes sem fio. Altere as senhas de fábrica;
  • Use um gerenciador de senhas para criar e gerenciar senhas fortes;
  • As redes domésticas devem ser criptografadas, com o roteador configurado para usar o padrão WPA2;
  • O uso de uma VPN é fortemente recomendado, e deve ser obrigatório quando estiver conectado a uma rede wifi desconhecida;
  • Mantenha cópias de segurança (backups) de todos os dados corporativos;
  • Compartilhe com os funcionários uma lista de serviços online confiáveis para armazenar e transferir dados corporativos;
  • Realize treinamentos de conscientização de segurança para todos os funcionários
  • Os funcionários devem ser informados sobre quem contatar caso tenham algum problema de segurança.
Para saber mais:

julho 06, 2020

[Cidadania] Vivemos na era da pós-verdade?

Essa já virou uma das minhas TED talks favoritas!

A palestra "Vivemos na era da pós-verdade?", do TEDx da UFPR em Outubro de 2019, foi apresentada pelos fundadores e apresentadores do canal Meteoro Brasil, que fala desde cultura pop até ciência e filosofia. Os palestrantes, identificados como "Cara Mais Simples e Mulher Mais Sábia", discutem de forma criativa sobre a importância de tratarmos fontes numerosas e variadas de informação, e como diferenciar o que é verdade.


O tema da palestra, "pós-verdade", é um substantivo que "denota circunstâncias nas quais fatos objetivos têm menos influência em moldar a opinião pública do que apelos à emoção e a crenças pessoais". Ou seja, e o cenário que vemos diariamente nas redes sociais, aonde palpites e opiniões são mais valorizados do que fatos científicos e estudos estatísticos.

Esse fenômeno, recente, é alimentado pelo chamado "efeito bolha", muito explorado nas redes sociais: os algoritmos de compartilhamento de informação valorizam, para cada pessoa, o conjunto de posts e notícias que estejam em acordo com suas opiniões. Isso reforça as crenças de cada pessoa e desencoraja a discussão e análise dos fatos. Nas redes sociais, quanto mais simples, polêmico e/ou em acordo com a opinião de uma determinada pessoa, maior a chance da informação ser compartilhada e, portanto, maior a chance dela "viralizar".

Um conceito muito interessante que eles expõe é da "Esfera pública de comunicação", aquele pequeno conjunto de assuntos que podem ser discutidas simultaneamente pela sociedade. Como esse é um espaço limitado, um pequeno conjunto de Assunto que conseguimos discutir ao mesmo tempo, acaba surgindo uma priorização das mensagens que conseguem ganhar essa competição pelo interesse público. A visibilidade que os meios de comunicação de massa dão para um determinado tema dependem da capacidade desse tema de gerar debate, de causar "ressonância". O mais interessante é que essa atenção toda é fruto da legitimidade da notícia. MAs a legitimidade não quer dizer que a notícia seja verdadeira - mas sim, se a pessoa que a lê a considera válida ou não. Ou seja, a veracidade não depende da ciência nem da realidade! Por causa desse fenômeno, hoje em dia vemos a mentira ganhar cada vez mais espaço!
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.