dezembro 30, 2021

[Segurança] Ciber Retrospectiva 2021 (com memes)

É impossível pensar em 2021 sem lembrar dos diversos ataques de ransomware, dos constantes vazamentos de dados e do COVID-19 (mas isso é outra história). E, claro, fechamos o ano com "chave de ouro", com o stress ao máximo graças a terrível vulnerabilidade do Log4J que assustou toda a comunidade de segurança em Dezembro.


Não foi um ano fácil para ninguém, convenhamos, com uma carga grande de stress nos profissionais de segurança, causado principalmente pelo ritmo intenso de trabalho, o grande risco de ciber ataques (ransomware em particular) e ao esgotamento após mais de um ano e meio trabalhando em casa, quarentenado.


Assim como nos últimos anos, não foi diferente: Mais um ano das tretas causadas pelos ransomwares, com ataques direcionados a grandes empresas, o que traz grandes impactos e resgates milionários. Com certeza, nada supera o ataque de ranwomware à Colonial Pipeline, em Março deste ano, que simplesmente interrompeu o abastecimento de gasolina em metade dos EUA. E, junto com o ataque a JBS que impactou o fornecimento de carnes no mercado americano, colocou o governo dos EUA no encalço dos grupos criminosos. O ataque a Kaseya em Julho também foi marcante, pois fez co que mais de mil empresas fossem afetadas e trouxe a discussão sobre ataques a cadeia de fornecedores.


Diversas empresas brasileiras também foram atacadas, como a JBS, a Cyrela, a CVC, o laboratório Fleury, a Renner (destaque pela rapidez em que recuperaram os sistemas) e a Atento (destaque pelo impacto e demora em reestabelecer seus sistemas e o atendimento). O REvil foi a família de ransomware mais atuante em 2021, responsável por 37% dos ataques - segundo a IBM. Não deixe de ver esse post: Ransomware no Brasil: Um panorama de 2021.


Aqui no Brasil, o PIX dominou o cenário das fraudes online. Não estou falando de vulnerabilidades no PIX. O problema aconteceu porque, principalmente, o PIX deu grande agilidade para a movimentação de fundos pelos criminosos, trazendo maior dificuldade em rastrear e bloquear o dinheiro roubado através de fraudes eletrônicas. Além disso, a agilidade no roubo através do PIX fomentou o aumento significativo de roubo de celulares (com objetivo de acessar o app bancário) e a volta do sequestro relâmpago.

Na "pandemia das fraudes" brasileira, os golpes do Whatsapp reinaram absolutos! Além disso, as fraudes foram impulsionadas pela retomada econômica nesse momento de possível fim da pandemia. A volta ao emprego e a necessidade de renegociar as dívidas acumuladas na pandemia causou uma maior demanda por renegociação de dívidas e busca pos empréstimos, que tem sido explorada em golpes.

Em 2021 tivemos também o início das sanções da LGPD (Lei Geral de Proteção de Dados Pessoais). Mas, como a Autoridade Nacional de Proteção de Dados (ANPD) ainda está em formação, as penalidades ainda não se concretizaram.


Este foi mais um ano em que uma parcela do mercado de trabalho esteve quarantenada em home office graças a pandemia do novo Coronavírus. Mas, graças a expectativa de redução da pandemia e que a vida estaria voltando a sua normalidade, nos últimos meses temos visto algumas empresas retornarem ao escritório - aderindo ao modelo hibrido ou retornando definitivamente ao modelo de trabalho antigo, 100% presencial.


A lição que esses dois anos de pandemia nos deixa é que sim, o regime de trabalho remoto é viável, e isso foi testado e comprovado na prática. As empresas continuaram operando mesmo quando precisaram mover toda a sua força de trabalho para o home office. É claro que a transição não foi fácil, e nunca é. Mas, graças ao stress adicional causado pelo isolamento social, a saúde mental dos funcionários nunca foi tão discutida e valorizada.


Tenho vários colegas que, graças ao trabalho remoto, saíram de São Paulo em busca de melhor qualidade de vida: mudaram para o interior ou voltaram para suas cidades de origem. Na minha opinião, a adoção do home office tem um potencial transformador no mercado de trabalho brasileiro, permitindo a contratação de profissionais qualificados fora dos grandes centros. No modelo tradicional de trabalho, a única opção dada as pessoas é que se mudem para as grandes cidades para terem acesso ao mercado de trabalho e melhor possibilidade de crescimento profissional.

Vamos torcer para que a maioria das empresas abrace o trabalho remoto!


Não podemos falar de mercado de trabalho sem citar o "apagão de talentos" na área de segurança. As empresas tem grande dificuldade em contratar e reter profisisonais devido ao mercado estar super aquecido, graças a grande falta de profissionais na área. Para piorar, há um receio de que começaremos a encarar uma debandada de profissionais de segurança devido ao grande stress que enfrentamso.

Na minha opinião, só existem 3 formas de combater a falta de talentos:
  • Investir em automação, para que as pessoas sejam aproveitadas em atividades mais nobres;
  • Formar novos profissionais, em vez de buscar profissionais prontos no mercado;
  • Investir pesadamente na diversidade e equidade racial, atraindo, formando e contratando mais mulheres, pessoas negras e da comunidade LGBT+.
Para terminar, não podemos esquecer delas, das senhas. Estamos em 2021 e as pessoas ainda usam senhas triviais. E as empresas ainda não protegem suas bases de usuários e senhas. E, o pior de tudo é que a grande maioria dos problemas poderiam ser resolvidos se as empresas utilizassem duplo fator de autenticação!


(Adicionado em 04/01/22): Também é relevante lembrar e destacar a nova versão do OWASP Top 10 lançada em 2021, a 7a atualização desde que a lista foi criada, em 2003. Veja essa cobertura na The Hack.

Para saber mais
PS: Pequenas atualizações (novas referências) em 04, 06, 10, 11 e 18/01/22 e em 09 e 23/02. Atualizado em 28 e 30/03 para incluir uma nova referência.

PS/2 (atualizado em 09/02): Veja essa notícia e o infográfico compartilhados no portal Minuto da Segurança - Brasil sofreu mais de 88,5 bilhões de tentativas de ataques cibernéticos em 2021.



[Cidadania] Retrospectiva: O fim do debate sobre segurança nas urnas eletrônicas

É isso: o debate sobre a segurança nas urnas eletrônicas brasileiras foi definitivamente enterrado :(

Graças a campanha de difamação realizada pelo nosso presidente contra as urnas eletrônicas, baseada principalmente em fane news e acusações de fraude sem provas, a discussão deixou seu lado técnico e , de repente, partiu para a politicagem e para o jogo de torcidas. A partir daquele momento, cessou o debate construtivo de idéias e não interessava mais saber se, tecnicamente, o nosso sistema eleitoral oferece as garantias necessárias no processo de votação e apuração. A discussão passou a ser entre os que apoiam e os que são contra o presidente. Assim, a proposta de voto impresso foi ridicularizada nas redes sociais, sofreu grande apoio ou crítica pelo simples fato de ter sido sugerido pelo presidente.

   

   

As críticas constantes e infundadas acabaram trazendo uma forte reação do TSE contra as críticas ao sistema eleitoral atual e a proposta do voto impresso, que foram reverberadas pela imprensa, políticos e opositores ao governo federal.

A pá de cal foi quando o congresso rejeitou a PEC do Voto Impresso, em Agosto.

Vale a pena destacar: a campanha de desinformação foi ampla e disseminada, tanto pelos apoiadores e pelos críticos do nosso processo eleitoral. Enquanto o presidente insiste em dizer que houve falha nas eleições (inclusive nas eleições em que ele mesmo foi vitorioso!) sem apresentar provas, o próprio TSE, na batalha por defender as suas urnas, não tem pudor em disseminar informações distorcidas e imprecisas. Como, por exemplo, quando o TSE diz que os votos já são impressos e auditáveis.


E por que a mensagem acima, por exemplo, não condiz necessariamente com a verdade? Primeiro, porque o TSE faz uma correspondência indevida entre o boletim e urna e a capacidade de impressão de votos (quando o eleitor pode verificar se a urna considerou corretamente o seu voto). Segundo, porque ao contrário do que o TSE diz, o fácil acesso ao boletim de urna colado na sessão eleitoral não é verdade, pois depende de cada sessão eleitoral. Já aconteceu comigo: eu já tentei ver o BU ao final da eleição e fui impedido de entrar no colégio logo após o horário de encerramento.

Se me permitem outro desabafo, embora seja verdade que nunca houve qualquer prova ou mesmo denúncia relevante de fraude nas urnas eletrônicas, como a urna que utilizamos não permite a auditoria nem a recontagem dos votos. Ou seja, a verdade é que é impossível provar que houve ou que não houve fraude. Ou seja, o nosso sistema é inauditável, logo não é possível identificar nem provar a ocorrência nem a ausência de fraudes.

Dizer que nunca houve prova de fraude é equivalente, portanto, a dizer que nunca houve prova de que não ocorreu fraude. E, se alguém reclamar que houve fraude, não há como provar isso. De fato, após a eleição presidencial de 2014 em que a Dilma Roussef derrotou o candidato Aécio Neves, o PSDB solicitou uma recontagem dos votos e tentou fazer uma auditoria na eleição. O resultado, segundo a conclusão da auditoria, foi de que não é possível auditar o sistema utilizado pelo TSE.

O humorista e apresentador Gregorio Duvivier fez um vídeo de 30 minutos criticando a proposta de voto impresso em seu programa Greg News. Na minha opinião, esse vídeo deixa claro que o foco é criticar o posicionamento do nosso presidente sobre as urnas eletrônicas. Nesse vídeo ele reforçou a crítica ao posicionamento do presidente sobre o tema e, em defesa do sistema atual, ele simplesmente repetiu a argumentação tendenciosa e, as vezes, falaciosa, do TSE. O vídeo dele é uma ótima referência para quem defende o voto impresso baseado apenas nos argumentos do TSE - que, obviamente, tem o seu interesse em manter o sistema como está.


Quando discutimos tecnicamente o assunto, uma das críticas principais é sobre a falta de transparência no processo eleitoral e, principalmente, a incapacidade de auditar os votos digitados nas urnas.

Não basta o TSE fazer campanha dizendo que nossa urna é segura baseado em explicações vagas e exdrúxulas como o fato de não estar conectada na Internet, ou ser protegida por dezenas de camadas de tecnologias mágicas.


Não é a tôa que o governo americano conseguiu rebater as críticas do ex-presidente Donald Trump após sua derrota. Lá, nos EUA, as urnas eletrônicas realizam a impressão dos votos e, assim, conseguem garantir a auditoria. Como destaca essa reportagem da BBC, "o registro físico dos votos é fundamental para que exista um processo de auditoria da eleição sob a forma da recontagem de votos (total ou por amostra). Embora um processo de recontagem de votos possa ser custoso em termos de tempo, recursos e dinheiro, ele é um requisito necessário para a democracia, para a população ter certeza que o resultado de uma eleição reflete o seu voto. No sistema atual do TSE, esse processo de recontagem e auditoria do voto simplesmente não existe."

Se tudo isso teve um lado positivo, foi que neste ano o TSE flexibilizou um pouco o processo dos testes públicos de segurança das urnas, e está fazendo alguns movimentos para tornar o processo eleitoral um pouco mais transparente.

[Humor] Retrospectiva 2021 - As buzzwords do ano

Vou fazer uma pequena lista das principais buzzwords que convivemos em 2021 (ou melhor, "nessa segunda temporada de 2020"):

  • Cancelamento: o Big Brother Brasil (BBB) trouxe a tona esse pesadelo dos influenciadores digitais: "ser cancelado";
  • Cringe: é cringe perguntar "o que é cringe"?
  • Sommelier de vacina: graças a politização que foi criada em torno da vacina contra o COVID-19, diversas pessoas começaram a questionar a eficácia das vacinas (muitas vezes baseadas em fake news) e ao chegar nos postos de vacinação queriam escolher de qual fabricante iriam tomar a vacina;
  • Vacina de ar: o mau caráter de alguns poucos profissionais de saúde trouxe esse jargão, que acontece quando um profissional de saúde finge aplicar a vacina contra o Coronavírus;

  • Supply Chain Attack: na área de segurança, essa foi a minha buzzword favorita em 2021, que bombou após o ciber ataque a Kaseya. Junto com ela merece destaque o risco de ataque de Ransomware na infra-estrutura crítica.

O pessoal do Porta dos Fundos fez uma rápida retrospectiva de 2021, veja:




dezembro 29, 2021

[Cidadania] Retrospectiva 2021 - O que aprendemos em quase 2 anos de pandemia

É impossível pensar em 2021 sem lembrar da pandemia do novo Coronavírus. Se no final de 2020 estávamos esperançosos que a vida voltaria ao normal em 2021, a realidade foi muito mais dura: a pandemia se intensificou, a quantidade de mortes aumentou absurdamente e vivemos em uma sequência de lockdowns e quarentenas intermináveis. A situação começou a melhorar a medida em que a vacinação ampliava, mas ainda assim, as constantes mutações do vírus da COVID-19 fazem pairar uma incerteza no horizonte.

Após mais de 1 ano e meio convivendo com pandemia, não podemos negar que estamos exaustos com essa situação. E o que aprendemos nesse período?

  • Adaptar-se as mudanças e ter paciência com as incertezas;
  • Lavar as mãos o tempo todo;
  • Usar em álcool gel o tempo todo;
  • Usar máscara quando sair de casa, ou até mesmo 2 máscaras sobrepostas. E o mais impensável há 2 anos atrás: entrar em uma agência bancária usando máscara é algo normal;
  • Até mesmo o "pulmão do mundo" pode ficar sem ar :(
  • Trabalhar a partir de casa, em home office;
  • Sim, as empresas continuaram funcionando mesmo com os funcionários longe dos escritórios (ao contrário do que alguns empresários imaginavam, o trabalhador em home office não largou tudo e foi para a praia!);
  • Aposentar o terno e a roupa de escritório, e viva as roupas confortáveis, pijamas e pantufas;
  • Lembrar de desligar o microfone e a câmera durante reuniões online e vídeo conferências, para não pagar micos;
  • Apreciar o conforto de casa;
  • Usar os aplicativos de comunicação (o Zoom) para manter contato com a família e os amigos mais próximos;
  • Vivemos o boom do e-commerce, delivery e dos motoboys.

Para saber mais:

dezembro 28, 2021

[Cidadania] Retrospectiva - O que são 600 mil?

Estamos chegando ao final de 2021 com um saldo bem triste. Infelizmente passamos da marca de 600 mil mortes por COVID-19 no Brasil. Mais precisamente, estamos no final de Dezembro com mais de 618 mil mortos: desde o início da pandemia, o país contabiliza 618.723 óbitos e 22.252.231 casos de coronavírus.


Embora a vacinação tenha avançado no Brasil durante 2021, ainda somos o segundo país em que a pandemia causou mais mortes, atrás apenas dos EUA (818 mil mortes) e a frente da Índia (480 mil mortes, numa população de 1,38 bilhões de pessoas), Rússia e México (com 299 mil mortes cada). Quando esse post aqui foi escrito, o Peru era o 5o país no mundo com mais mortes, 203 mil.

O novo Coronavírus atingiu praticamente todo mundo, a ponto de que atualmente eu acho difícil encontrar alguém que não tenha perdido um parente ou uma pessoa conhecida por causa da COVID-19.

Mas eu acredito que a imprensa falha em não tentar tornar essas estatísticas sobre a pandemia mais palpáveis para a população. Não basta falar em números totais e porcentagens - ainda mais em um país em que uma parcela significativa da população provavelmente não sabe fazer conta com porcentagens.

O número de 618 mil mortes pode parecer um valor muito abstrato para muita gente. Por isso, acho importante fazer alguns comparativos, para tornar essa triste realidade mais palpável:
  • As 22,2 milhões de pessoas que tiveram COVID são o equivalente a população do estado de Minas Gerais, o segundo mais populoso do país (com 21,4 milhões de habitantes);
  • 618 mil mortes seria como se toda a cidade de Joinville sumisse do mapa, a 36º maior maior do Brasil, com 604 mil habitantes;
  • Entre Março e Abril de 2021 tivemos o pico da pandemia, atingindo até 3.500 mortes por dia. Em 12 de abril, a média móvel chegou ao recorde de 3.125 óbitos.
    • Ou seja, a cada 2 dias o Coronavírus matava mais do que a polícia brasileira matou em todo o ano de 2020;
  • Abril de 2021 foi o ano mais macabro da pandemia, quando 82,2 mil brasileiros perderam a vida para a Covid-19 em um único mês;
  • Em um mës, a COVID matou 4 vezes mais brasileiros do que 70 anos de conflitos entre Israel e Palestina;
  • Durante 191 dias seguidos, até 31 de julho, o Brasil registrou média móvel de mortes acima de 1 mil pessoas por dia;
    • mil mortes por dia é equivalente a 5 aviões Airbus A320 caindo do céu no mesmo dia, considerando que um dos piores acidentes aéreos do Brasil, o acidente da TAM em Congonhas em 2007, matou 199 pessoas.
Ou seja, se colocássemos todos os infectados pela Covid em um estado, seria o 2o maior do país. Se juntássemos todos os falecidos em um único cemitério, seria a 36a maior cidade brasileira.

Veja abaixo alguns dados comparativos que eu utilizei:
PS: Infelizmente, em 28/12 o site do Ministério da Saúde mostrava dados estatísticos de 09/12.

dezembro 27, 2021

[Segurança] Como foram os eventos de Segurança em 2021

Infelizmente esse foi mais um ano de pandemia do novo Coronavírus, e mais um ano em que os eventos presenciais não aconteceram. Hummm.... em partes... Na verdade, aqui no Brasil os eventos na área de tecnologia continuaram no modelo online, por conta do agravamento da pandemia em 2022. Por outro lado, nos EUA o avanço da vacinação e a queda nos casos de COVID permitiram que alguns eventos voltassem ao presencial, tais como a Defcon e a BlackHat. Foram edições híbridas, na verdade, com parte do público presencial e parte online. 

No final das contas, 2020 e 2021 foram os anos dos eventos online!!!

Além do calendário de eventos ter ficado bem mais reduzido (no primeiro e segundo semestres), alguns dos principais e mais importantes eventos brasileiros da área continuaram suspensos, infelizmente: o You Sh0t the Sheriff (YSTS), a Security BSides São Paulo (BSidesSP), a Hackers to Hackers Conference (H2HC) e o Roadsec São Paulo. Por outro lado, alguns eventos surgiram nesse período de pandemia, como vou comentar aqui no post.

O lado bom dos eventos em 2021? Acabaram as lives!!! Sim, aquele tsunami de lives que vimos em 2020, que começou logo no início da pandemia, finalmente deu uma grande diminuída e restaram poucas e boas lies que merecem ser seguidas.

Vou aproveitar o quadro que fiz no ano passado para ilustrar o cenário que vivemos em 2021:

CanceladosRealizados onlineNovos eventos (online)
Criptorave
YSTS
BSides São Paulo
BSides Vitória
Jampasec
Conferência Gartner Segurança & Gestão de Risco
Roadsec São Paulo
Alligator
H2HC
Campus Party
Roadsec
MindtheSec
Security Leaders
CIAB
DISI
RNPSeg
BHACK
GTS
Latinoware
Vale Security Conference
Security Summit & Expo Vitória
8.8 Brasil

ON Security

Bootcamp de proteção à criança online

Security Conference 2021

Agora, no final do ano, temos a perspectiva que os eventos poderão voltar ao modelo presencial no ano que vem, e alguns eventos já estão arriscando em anunciar suas datas para 2022.

Para mim, em particular, os eventos da RNP tem um significado muito especial durante esse período de pandemia. O DISI 2020 foi o último evento em que eu palestrei presencialmente no ano passado, poucos dias antes do Brasil entrar no modo "pandemia". Graças a diminuição de casos de COVID nos últimos meses deste ano, eu tive a oportunidade de participar do RNPSeg, que foi realizado online e ao vivo a partir de um estúdio. Assim, essa foi a minha primeira participação presencial em um evento, em que eu não estivesse palestrando de casa.

Sem mais delongas, mesmo no meio desse caos e incerteza, vamos comentar sobre os eventos de Segurança deste o ano, em uma análise sincera e divertida. Também gosto de aproveitar para reconhecer os eventos e pessoas que, na minha opinião, se destacaram na nossa comunidade. O objetivo, deste post, sempre foi o de ajudar na discussão sobre como podemos melhorar cada vez mais o nosso mercado e os eventos de infosec.
Importante: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.
    Segue um resumão das minhas principais observações sobre alguns dos eventos nacionais em 2021: 
    • Os grandes destaques e novidades de 2021
      • Poucos eventos relevantes. Graças a pandemia, a agenda de eventos em 2021 ficou bem reduzida, o que reflete na melhor quantidade de críticas e elogios nesse meu post;
      • O reinado do Mind The Sec: O Mind The Sec (MTS) foi o principal grande evento que se aventurou na transmissão online, e assim reinou quase que absoluto em 2022. Na verdade, é muito difícil realizar um evento online, e o pessoal do Mind The Sec encarou o desafio nesses dois anos. Além do evento principal, aberto ao público, o MindTheSec continuou realizando online o "MindTheSec Club", o evento de relacionamento com executivos de mercado. Nesse caso, última edição do "Club" deste ano foi presencial, uma oportunidade de matar saudades dos colegas da área. Voltando ao Mind The Sec, o evento também manteve-se gigantesco, com vários dias de atividades e diversas trilhas de painéis, palestras e mini-palestras, num verdadeiro show de profissionalismo. Algumas atividades eram ao vivo e outras foram pré-gravadas;
      • A chegada da 8.8 Security Conference Brasil: esse evento, organizado pelo pessoal do Chile em parceria com os organizadores da BSidesSP, e com diversas edições na América Latina, realizou sua primeira edição brasileira neste ano. O evento, ao vivo e online, trouxe diversas palestras de grande qualidade, e na minha opinião merece destaque o bate-papo com o Chema Alonso, um dos grandes nomes da comunidade mundial de segurança e que até então nunca tinha palestrado em um evento público aqui no Brasil;
      • Merece um parabéns especial o Bootcamp para crianças realizado pela TecKids, um evento que durou uma semana inteira, repleto de palestras e atividades sensacionais para falar sobre segurança e privacidade das crianças no mundo online. O único "defeito" do evento, para dizer que teve algum, foi que a agenda não separou bem (nem na descrição nem no calendário) as atividades que eram só para crianças, específicas para adolescentes ou direcionadas para adultos (pais e educadores);
      • Os Palestrantes do ano: mesmo com a escassez de eventos, vários profissionais marcaram presença neste ano. Quero destacar o Filipi Pires, que tem se esforçado em palestrar em diversos eventos, sempre com bom conteúdo. Também merece um parabéns a Andrea Thomé, que além de atuar como líder do capítulo brasileiro da WOMCY (LATAM Women in Cybersecurity), está constantemente palestrando em eventos e participando de lives e painéis. Ela é uma das melhores pessoas para falar sobre diversidade e a importância da participação feminina no mercado de trabalho. Outros brazucas que merecem destaque são o nosso ninja Magno Logan, o Rodrigo "Spooker" Montoro e o Felipe Pr0teus, que estão sempre presentes em grandes eventos ao redor do mundo! Por último, novamente vou registrar o meus parabéns coletivo para as diversas mulheres que palestraram em 2020, algo que aconteceu com muita frequência nas diversas lives da WOMCY;
      • Quer palestrar em um evento? Então fique atento nas buzzwords do ano, para ser aceito nos CFP. Em 2021, dominaram a cena: LGPD, ransonware e supply chain.
    • Os melhores eventos de 2021
      • Em um ano tão caótico para os eventos, ainda assim tivemos alguns deles que merecem destaque.
      • Novamente o MindTheSec São Paulo foi o destaque para o público corporativo, e mais uma vez entregaram um ótimo evento, mesmo sendo online. Eles aumentaram o tamanho do evento, foram de 3 para 5 dias de atividades, com 5 trilhas simultâneas, e atraíram dezenas de patrocinadores. Novamente o pessoal do YSTS junto comigo e o Alcyon do SecurityCast produziu um bate-papo online sobre o evento, no horário do almoço, com comentários sobre as palestras e minhas piadas de tiozão sobre ransomware;
      • BHACK novamente foi o principal evento da comunidade de segurança que se manteve online. Parabéns aos organizadores !!!
      • 8.8 Security Conference Brasil chegou aqui pela primeira vez e trouxe um mix bem legal e bem distribuído de palestrantes gringos e brasileiros, homens e mulheres, todos abordando temas relevantes e atuais para o mercado - em um evento ao vivo e, principalmente, gratuito!!!
    • Os bons eventos de 2021
      • ON Security:  o pessoal da Daryus repaginou e rebatizou o Global Risk Meeting (GRM) e criou o ON Security, com uma pegada mais leve, online e realizado de forma gratuita duas vezes neste ano;
      • Roadsec manteve uma versão online, modesta, nos moldes do "Roadsec@Home" realizado em 2020. Embora a Flipside tenha cogitado em realizar uma edição do Roadsec São Paulo neste ano, online ou híbrido, isso acabo não acontecendo. As expectativas agora estão no Roadsec 2022, que promete voltar grandioso!!!
      • Security Leaders também soube se adaptar para o mundo da pandemia. Além de realizar pequenas lives durante o ano através da TV Decision (TVD), para manter o público antenado, repaginou a sua versão regional – unificou os eventos regionais, que ficaram online e gratuitos. Em vez de focar em uma cidade, eles estão com foco em regiões geográficas. Mas seguiu a mesma fórmula de painéis de debate - como eu sempre digo, discussões superficiais, com muitos expositores, não necessariamente especialistas no tema, além de palestras marqueteiras dos patrocinadores;
      • As lives da comunidade WOMCY: Das comunidades que eu acompanho, ninguém abraçou tanto as lives durante a pandemia quanto a comunidade WOMCY (LATAM Women in Cybersecurity). Foram diversos eventos online, em vários formatos e temas. Neste ano elas mantiveram as lives, em um ritmo não tão frenético quando foi em 2020, mas ainda assim bem relevantes;
      • projeto Ultimate Hacking Championship (UHC) está de parabéns por manter o ritmo das competições de CTF no formato e-esporte ("e-sports");
    • As ótimas surpresas em 2021
      • As trilhas de segurança e LGPD do TDC foram excelentes. Embora seja um evento de tecnologia, grandioso por sinal, o TDC tem duas trilhas que nos interessam, dedicadas a segurança e LGPD. Valem a visita;
      • Modéstia a parte, eu gostei bastante do painel que realizamos no RNPSeg. Foi uma conversa franca e descontraída sobre o nosso mercado, transmitido online e gratuito;
      • As lives diminuíram de ritmo e felizmente deixou de ser aquela agenda sufocante de lives que tivemos no an passado. Eu destaco as lives da comunidade WOMCY, com palestras e painéis com mulheres sensacionais e também o Cyber Talk, lives mensais com conversas realizadas com profissionais da área pelo pessoal da CrowdStrike;
      • Sentimos saudades
        • Todos os eventos que foram cancelados em 2020 e 2021 por causa da pandemia, incluindo a Cryptorave, o YSTS, a BSidesSP e, claro, a H2HC;
      • Não cheirou nem fedeu
        • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade, gratuito e com transmissão online. Mas, apesar da longevidade, tenho o sentimento de que a cada ano ele chama menos atenção da comunidade de infosec (é triste copiar e colar o mesmo comentário do ano passado, mas acho que a realidade continua sendo essa);
      • Micos e roubadas
        • Eu não tenho nenhum mico ou roubada específicos para destacar nesse ano, mas eu vejo dois grandes desafios para os eventos online nesse período: evitar dificuldades técnicas durante as transmissões, principal motivo para vários eventos optarem pela gravação prévia das palestras, e a grande dificuldade em atrair público e medir a audiência.
      Segue então aminha "premiação" para os eventos brasileiros no ano de 2021...


      Resumão 2021
      Melhores Eventos BrasileirosMindTheSecSP
      Melhor Novidade8.8 Brasil e Bootcamp de proteção à criança online
      Maior SurpresaHappy hour presencial no final do MindTheSec
      Maior RoubadaEventos não conseguirem voltar ao presencial em 2021
      New kids on the block8.8 Brasil, ON Security, Bootcamp de proteção à criança online
      Festa estranha com gente esquisitaEncontro do último MTS Club (foi ótimo rever a galera, mas estava bagunçado, muvucado e sem agenda clara)
      Maior MicoQualquer evento com problemas de transmissão
      Maior WTF?Determinar a quantidade de pessoas presentes em um evento online
      BuzzwordsLGPD, Ransomware, Supply Chain, Colonial Pipeline
      Maior PolêmicaSem polêmicas em 2021
      Os Patrocinadores PiraMindTheSec SP
      AlternativoDISI
      Visual e Infra CaprichadosMindTheSec e ON Security
      Organização CaprichadaFlipside (MindTheSec)
      Sumiu :(Os eventos presenciais
      SaudadesCriptorave, BSidesSP, YSTS e H2HC
      Melhor CamisetaA camiseta do pijama mesmo
      Melhor LocalEm casa, de quarentena :)
      Pior LocalEm casa, de quarentena :(
      Fora do Eixo Rio-São PauloBHack, Security Summit e Expo Vitória
      Não Pode Faltar no seu EventoTransmissão de boa qualidade
      Para Ver e Ser VistoMindTheSec Club
      Para Poucos e BonsMindTheSec Club
      Para o Público TécnicoGTS e 8.8 Brasil
      Para o Público NinjaBHack
      Para o Público UndergroundSem evento nesse ano :(
      Para o Público GerencialMindTheSec, RNPSeg e 8.8 Brasil
      Para a Baixa GerenciaSecurity Leaders
      Para o CISOMindTheSec Club
      Para os Ciber ativistasFicaram sem a CryptoRave de novo :(
      Para o Usuário FinalDISI
      Para quem está começandoRoadsec
      Para valorizar a diversidadeLives da WOMCY
      Para CriançasBootcamp de proteção à criança online
      Para Competir no CTFUHC
      Para Ajudar uma Boa CausaFicar em casa de quarentena :(
      Para ver os AmigosLives
      Para Beber com os AmigosHappy hour no final do Mind The Sec e na última edição do MTS Club
      Para Babar o Ovo ou ser BabadoSó em 2022
      Para ser VIPHappy Hour no último MTS Club
      Para ir de GraçaEventos online e lives
      Para pagar caroMindTheSec SP
      Para Assistir de CasaTodos os eventos free e lives
      Evento HostilNenhum, dessa vez
      Evento Paz e AmorNenhum, dessa vez
      Não fui mas queria ter idoPara qualquer lugar :(
      Palestrante gringo mais Pica GrossaChema Alonso (8.8 Basil)
      Melhor Palestrante do anoFilipe Pires
      Melhores Palestrantes de todos os temposNesse ano eles ficaram meio sumidos de novo, mas quem é rei nunca perde a majestade: Fernando Mercês, Nelson Brito e Rodrigo Rubira Branco
      Palestrantes revelação 2021Todas as mulheres maravilhosas da comunidade WOMCY
      Em 2022 você deve ir para...Todos os eventos possíveis: YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, Ekoparty, 8.8
      Em 2022 eu quero ir na...BSides Vitória, Latinoware e Alligator (se me convidarem de novo!)
      Em 2022 eu quero viajar para...Defcon (US), 8.8 (Chile), Ekoparty, BSides Lisboa
      Patrocinadores "ponta firme"Todos que patrocinaram os eventos online em 2021. Novamente, a Trend Micro Brasil esteve presente em eventos relevantes para a comunidade.


      Para saber mais:
      Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes, para o bem ou para o mal ;) Se algum evento não foi citado, ou é porque eu esqueci ou, mais provavelmente, é porque considero que não vale a pena escrever sobre ele.

      dezembro 24, 2021

      [Humor] Só Jesus Salva!

      Vou aproveitar esse período natalino para compartilhar essa piada, que é antigona, eu a vi pela primeira vez lá nos primórdios da Internet, muito antes de surgirem as redes sociais. Você pode perceber isso pelas referências e citações tecnológicas na piada, que eu mantive conforme o original (só fiz pequenos ajustes no texto, para deixar mais claro). Por exemplo, você sabe o que é um XT?


      Certa vez, o Diabo fez um desafio "informático" a Jesus: "Aposto como digito muito mais rápido do que você..."

      Aquele que digitasse mais texto em 30 minutos seria o vencedor. O desafio foi aceito.

      No dia marcado, de um lado Jesus com um computador PC XT - 4.77 Megahertz e o Diabo com um Pentium 4 - 2 Gigahertz, rodando Windows ME, 1024 Mb de memória. Todos a postos. O Diabo estala os dedos enquanto Jesus olha calmamente para o seu oponente.

      Inicia-se a competição.

      O Diabo digita de maneira feroz com 900 toques/minuto. Do outro lado da sala, Jesus digita usando apenas os dois dedos indicadores, no melhor estilo "catador de milho" em Jerusalém. A platéia fica obviamente nervosa com a performance do Messias e começa a roer as unhas.

      Quinze minutos se passaram. O diabo já digitou cerca de 10MB de texto, sem erros, enquanto Jesus ainda está na casa dos 5KB. Os olhares se tornam mais nervosos.

      Vinte e cinco minutos se passaram. O diabo já anda pela casa dos 20MB de texto. Jesus anda pelos 8KB.

      Vinte e nove minutos passados e aquele suspense!

      De repente, PLUM... Acaba a luz...

      Desespero geral, pânico, gritaria. Os juízes decidem terminar a competição pelo tamanho final do arquivo.

      Tamanho final do arquivo de Jesus: 10 KB
      Tamanho final do arquivo do Diabo: 0 KB

      "Mas não pode ser.", grita o Diabo. "Isso é roubo. Roubo!"

      Então os juízes respondem "Você esqueceu de algo muito importante: SÓ JESUS SALVA".


      PS: Embora eu me lembrasse direitinho dessa piada (caso raro, pois eu sou péssimo de memória!), eu achei a transcrição dela aqui, no site Doce Limão e nesse blog de 2010.

      dezembro 23, 2021

      Boas festas!!! (com memes)

      Chegamos ao final de 2021, ou melhor, encerramos a "segunda temporada de 2020". Tempo de celebração e de reflexão! Embora a pandemia do novo coronavírus continue nos assombrando, com suas novas variantes, estamos com a expectativa de que a vida está voltando a normalidade.

      Eu não podia celebrar esse final de ano sem colocar um pouco de bom humor, não é?

      Todos os anos eu dedico um post aqui no meu blog para celebrar o Natal e a virada do ano, pois essas datas tem um valor muito especial para mim. São datas que sempre comemorei com a família e, no meu caso, representa rever todos os meus parentes (tias, tios, primas, primos), pois todos moram em outras cidades. Essa data me traz um grande sentimento de amor e pertencimento, e espero que seja uma data muito especial para todos.

      Vamos decorar nossas casas, com árvore de natal, luzes, enfeites, mas que eles representem o melhor de todos nós.


      Numa época que falamos tanto sobre privacidade, vale a pena refletir o quanto o Papai Noel, a Amazon e o Facebook sabem sobre você.


      Resumindo? Eles sabem de quase tudo, talvez mais até do que você saiba sobre si mesmo!

      Nunca falamos tanto em diversidade, empatia e cuidados com a saúde mental. Com a crise econômica causada pela pandemia do COVID-19, a solidariedade é mais importante do que nunca! Vamos aproveitar esses temas para transformar o mundo em um lugar melhor para viver?

      E não se esqueça: a melhor forma para sairmos logo dessa pandemia é a prevenção! Tomar a vacina e ficar em casa.


      Afinal, nós de segurança, não falamos tanto na importância de manter o antivírus atualizado!?

      Boas festas e um feliz 2022 para todos nós!

      PS (adicionado em 29/12): Seguem mais duas piadinhas sobre o Natal...




      dezembro 21, 2021

      [Segurança] Cuidado com os golpes na época do Natal

      Antes tarde do que nunca, vale a pena dar uma olhada nas dicas que a Febraban divulgou, no início desse mês, para evitar golpes durante as compras de final de ano. Isso porque os fraudadores aproveitam essa época para cometer mais fraudes, em busca do pessoal que está fazendo suas compras de presentes de Natal.

      Ao todo, a Febraban compartilhou 15 dicas para fazer compras seguras no Natal e evitar golpes, que na verdade eu vou resumir um pouco nas 11 dicas que eu considero mais relevantes, conforme abaixo:
      • Em lojas físicas
        1. Passe você mesmo o cartão na maquininha em vez de entregá-lo para outra pessoa;
        2. Sempre confira o valor da compra na maquininha antes de digitar a sua senha. Desconfie se o visor estiver danificado e evite que alguém veja você digitando o código de segurança;
        3. Ao finalizar uma compra na maquininha, verifique o nome no cartão para ter certeza de que realmente é o seu. Golpistas podem se aproveitar de distrações para trocar o seu cartão.
      • Em lojas virtuais
        1. Dê preferência a sites conhecidos e confira sempre se o endereço do site é o verdadeiro. Para garantir, não clique em links e digite o endereço no navegador
        2. Ao visitar uma nova loja, veia comentários de clientes anteriores;
        3. Nunca clique em links desconhecidos para fazer suas compras e nem em links recebidos por WhatsApp e SMS;
        4. Sempre use o cartão virtual para realizar compras na internet;
        5. Desconfie das promoções cujos preços sejam muito menores que o valor real do produto, pois criminosos se utilizam da empolgação dos consumidores em procurar ofertas para coletar informações e aplicar golpes que geram grandes prejuízos;
        6. Antes de incluir o número do cartão, veja, na barra do navegador, se está na página certa e oficial da loja;
        7. Antes de pagar a compra, sempre confira com atenção todos os dados do pagamento e a identificação da conta de destino, se são os dados da empresa correta (por exemplo, no campo de beneficiário no boleto);
        8. Se for pagar com Pix, pegue os dados da chave PIX do lojista e faça o pagamento no app do seu banco - evite clicar em links;
      E não custa lembrar da importância de sempre ter muito cuidado com suas senhas: Não anote em papel, celular ou computador nem compartilhe com amigos e parentes, e jamais encaminhe senhas por aplicativos de mensagens, e-mails ou SMS. Nunca use dados pessoais como senha (ex. data de aniversário, placa de carro, etc.), nem números repetidos ou sequenciais (ex. 111111 ou 123456);


      dezembro 20, 2021

      [Segurança] Extorsão de ransomware na base do susto!

      E o arsenal de idéias para promover a extorsão em ataques de ransomware não para de crescer!!!

      A Cofense identificou uma nova campanha do ransomware MIRCOP que, ao infectar as suas vítimas, coloca uma imagem grotesca na tela para causar maior impacto nas vítimas. Com essa imagem violenta, os ciber criminosos esperam chocar os usuários e aumentar a pressão pelo pagamento do resgate.


      O artigo da Cofense destaca que o ransomware é distribuído inicialmente via mensagens de phishing. Após infectar uma empresa, ele é capaz de travar arquivos e bloquear computadores em apenas 15 minutos. O ransomware começa a agir assim que o download termina, tirando screenshots da tela e travando arquivos. Ao final, o papel de parede do Windows é modificado para a imagem de um zumbi ensanguentado, contendo também os contatos da quadrilha responsável pelo ataque. Apenas o navegador de internet permanece funcionando no computador infectado, com acesso limitado aos sites pertencentes aos criminosos.

      De acordo com a Cofense, os resgates exigidos são altos e a aparência grotesca ajuda a aumentar o susto e a pressão sobre as vítimas. Com isso, eu já identifiquei nada menos do que nove técnicas diferentes de extorsão utilizadas pelos operadores de Ransomware, e assim chegamos  na...


      Noncuple extorsion !

      Veja a minha "lista de extorsões" abaixo:

      1. O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
      2. Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
      3. Realizar ataques de DDoS contra a empresa;
      4. Call centers que ligam para a empresa atacada pelo ransomware;
      5. Avisar os clientes que a empresa teve os dados roubados!
      6. Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
      7. Vazar documentos que mostrem práticas ilegais da empresa;
      8. Vazar documentos confidenciais para os competidores;
      9. Uso de imagens violentas para assustar as vítimas.
      Para saber mais:

      dezembro 16, 2021

      [Segurança] Golpe do "celular provisório" faz muitas vítimas no Whataspp

      Não é de hoje que o golpe do WhatsApp é uma verdadeira pandemia no Brasil. Atualmente a modalidade mais comum desse golpe tem sido o uso de uma foto de parente ou conhecido, em um número telefônico novo, para pedir dinheiro emprestado. Esse golpe é chamado, às vezes, de "golpe do celular provisório".

      Simples assim. Na verdade, é incrível imaginar que um golpe tão simples consegue enganar tanta gente!

      De repente, você recebe uma mensagem de um parente ou amigo próximo em um número telefônico novo, desconhecido, dizendo que trocou de número por causa de algum problema (por exemplo, perdeu o celular ou teve problema com o chip). A foto, no perfil do WhatsApp, é dessa pessoa, então a vítima pensa que está conversando com o contato real.

      As vítimas preferidas são as pessoas idosas, e normalmente o fraudador tenta se passar por um parente próximo, filha/filho ou sobrinha/sobrinho.

      Para realizar esse golpe, normalmente os criminosos cruzam dados de vazamentos de empresas com informações facilmente obtidas em redes sociais para escolher suas vítimas: a pessoa que vai ser abordada e um parente ou amigo - do qual pegam uma foto nas redes sociais para construir o perfil falso.

      A partir dos vazamentos, eles escolhem uma pessoa e seu número telefônico. Em seguida, procuram pela vítima nas redes sociais e encontram seus contatos, pegam a foto de um deles (preferencialmente um parente próximo) e coloca essa foto da pessoa conhecida em um perfil qualquer no Whatsapp que está no celular nas mãos do bandido (logo, com um número telefônico desconhecido). O fraudador entra em contato com a vítima, se identifica como um parente ou amigo específico e alega que precisou trocar o número telefônico por algum problema (por exemplo, o celular foi perdido ou danificado). Após uma rápida conversa, ele pede dinheiro emprestado alegando uma emergência qualquer - um boleto que vence naquele dia e estão sem limite ou sem acesso ao app do banco, por exemplo.


      Isso aconteceu recentemente em minha família: um criminoso entrou em contato com o meu pai, em um número estranho usando a foto do meu irmão. Outra colega de trabalho teve a sua tia recebendo mensagens em seu nome. Felizmente, ambos perceberam o golpe. Outro colega de trabalho teve o pai abordado, com um perfil em seu nome, mas infelizmente o pai não desconfiou que poderia ser um bandido e fez a transferência para o fraudador :(

      Para piorar a situação, normalmente quando a vítima faz a transferência, os criminosos percebem que a enganaram e passam a pedir mais dinheiro, por outros motivos, até que a vítima perceba que caiu no golpe. :(

      Há pouco que possa ser feito para evitar a fraude, pois o criminoso não explora nenhuma fragilidade ou vulnerabilidade técnica - eles exploram apenas a inocência da vítima. A boa e velha "engenharia social".

      Mas vale a pena tomar os cuidados abaixo para previnir o golpe:
      • Antes de mais nada, restrinja o acesso ao seu perfil nas redes sociais somente aos seus contatos (ou conhecidos). É possível configurar as suas contas no Twitter, Facebook e Instagram para que sejam "privadas", só visualizadas por pessoas que foram adicionadas como amigos;
      • O mesmo deve ser feito no WhatsApp: limite a visualização da sua foto de perfil somente aos seus contatos cadastrados no celular!
      • Caso algum parente ou conhecido te aborde no WhatsApp para pedir dinheiro emprestado,  antes de mais nada certifique-se de que está falando com a pessoa correta! Faça perguntas ou comentários sobre algum assunto pessoal e, para ter certeza de que a pessoa é realmente aquela que você conhece, faça uma ligação de vídeo ou voz.
      Aproveita e compartilha esse vídeo do Porta dos Fundos no grupo da família:


      Para saber mais:

      dezembro 15, 2021

      [Segurança] Principais notícias de segurança em Novembro de 2021

      Esse é um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

      Boa leitura!

      01/11/2021 - Bancos derrubam 3 mil páginas de fraudadores por mês na internet (R7)

      01/11/2021 - Pequenas empresas pagam até US$ 1 milhão para escapar de hackers (TecMundo)

      Segundo o Identity Theft Resource Center (ITRC), um número considerável de pequenas empresas dos EUA já desembolsou mais de US$ 1 milhão para recuperar de ataques de cibercriminosos. Dentre os pequenos empresários entrevistados que tiveram seus negócios afetados por acessos não autorizados aos dados, 44% gastaram entre US$ 250 mil a US$ 500 mil para cobrir custos de violação, ao passo que 16% afirmaram ter desembolsado entre US$ 500 mil a US$ 1 milhão. A maioria dos entrevistados levou vários anos para se recuperar financeiramente dessas violações. Um terço desses empresários foi obrigado a "queimar" suas reservas financeiras, enquanto 36% admitiram que tiveram que recorrer a empréstimos para se recuperar.

      01/11/2021 - FBI alerta para Hello Kitty: gangue de cibercriminosos conhecida por fazer dupla extorsão (Olhar Digital)

      01/11/2021 - 0News - Notícias de Segurança (Papo Binário)
      • Ataques contra cadeia de suprimentos seguem firmes e fortes, afirma Microsoft
      • Lazarus também prepara ataques contra cadeia de suprimentos, afirma a Kaspersky
      • Membro importante do REvil foi identificado pela polícia alemã
      • Nova ameaça focada no acesso inicial via spam é identificada
      • Sistema iraniano de distribuição de combustível sofre ciberataque

      02/11/2021 - Toronto Transit Commission (TTC) é atacado por ransomware (em inglês) (Security Affairs)

      02/11/2021 - Geração Z é a mais descuidada com senhas, aponta pesquisa (O Globo)

      Segundo pesquisa inédita encomendada pelo C6 Bank ao Ipec Inteligência, 38% das pessoas entre 16 e 24 anos já salvaram senhas no bloco de notas do celular, percentual que cai para 12% entre os brasileiros com mais de 55 anos. O número de jovens que relata ter escolhido sequências numéricas como 1234 como palavra-passe também é maior (18%, ante 5% no grupo dos mais velhos) e um em cada quatro jovens já escolheu o primeiro nome como senha (o percentual é de 6% para quem tem mais de 55 anos).

      03/11/2021 - "Golpe do Presente" rouba foto da vítima para fraudar reconhecimento facial (Canal Tech)

      03/11/2021 - Criminosos aplicam golpe com falsa transferência de Pix (vídeo) (R7)

      03/11/2021 - iFood hackeado? App sofre ataque e restaurantes têm nomes alterados (UOL)

      O aplicativo de delivery iFood surpreendeu alguns usuários ao apresentar inúmeros nomes "polêmicos" nos restaurantes, que envolviam desde ofensas políticas e mensagens antivacina. Dentre os nomes dos estabelecimentos alterados estão "Lula Ladrão", "Bolsonaro 2022", "Marielle de Franco Peneira" e "Vacina Mata". Nas redes sociais, o aplicativo informou que o incidente foi causado por um funcionário de uma empresa que prestava serviços de atendimento para o app, e que tinha o poder de alterar nomes dentro da plataforma. Segundo informações do iFood, o incidente atingiu cerca de 6% dos restaurantes cadastrados. O incidente ganhou destaque nas redes sociais e em grandes veículos da imprensa, como o portal Exame e BAND, por exemplo.

      03/11/2021 - Golpes financeiros: 400 fraudes por hora são bloqueadas no Brasil (TecMundo)

      Mais de 3,4 milhões de golpes financeiros foram bloqueados no Brasil nos 10 primeiros meses de 2021, de acordo com relatório divulgado pela empresa de segurança digital PSafe. O número representa uma média superior a 11 mil tentativas diárias ou 400 fraudes online por hora. Os golpes são difundidos principalmente por SMS, e-mail e redes sociais. 

      03/11/2021 - Golpe com Pix usa nome de pequenas empresas em contas falsas (Convergência Digital)

      No golpe do falso fornecedor, estelionatários abrem contas de Pessoa Jurídica (PJ) em bancos digitais em nome de falsas empresas, usando nomes similares a corporações já conhecidas. Com a conta aberta, os criminosos entram em contato com a empresa que será vítima do golpe se passando por fornecedores daquela corporação, informam que houve uma alteração nos processos de pagamentos via PIX e solicitam uma transferência de confirmação ou de teste para cadastro. Há casos em que os criminosos solicitam no contato o valor exato da fatura do contrato entre as empresas.

      03/11/2021 - Cavalo de Troia bancário retorna com força total por meio de grupos de cibercriminosos (Security Report)

      A Check Point detectou e bloqueou mais de 100 ataques cibernéticos do Mekotio, um cavalo de Troia bancário destinado aos países da América Latina e originário do Brasil. Brasil, Chile, México, a Espanha e o Peru têm sido alvos do Mekotio, sendo que os principais grupos cibercriminosos operam no Brasil e que têm colaborado com criminosos espanhóis para distribuir o malware. Desenvolvido para computadores Windows, o Mekotio usa e-mails falsos, de phishing, para intectar suas vítimas. Depois da infecção, o malware permanece oculto, esperando até que os usuários façam login em contas de internet banking para coletar as credenciais.

      04/11/2021 - PagSeguro e Wirecard: vazamento de dados atingiria 1 milhão de clientes (TecMundo)

      Foi identificada uma postagem em fórum cibercriminoso oferecendo 1 milhão de linhas de dados supostamente foram capturados da Wirecard, empresa adquirida pela PagSeguro em 2020 e que também atua no processamento de pagamentos eletrônicos. As informações encontradas datam desde 2016 até 2021 e incluem nome completo, endereço físico, telefone, data de nascimento e imagens de documentos sensíveis, como imagens de CPFs e RGs.

      04/11/2021 - Justiça decreta prisão de quadrilha suspeita de arrecadar mais R$ 13 milhões em fraudes bancárias (TJRJ)

      A 1ª Vara Criminal Especializada do Tribunal de Justiça do Estado do Rio de Janeiro (TJRJ) decretou a prisão preventiva de uma quadrilha que atuava em fraudes bancárias e aplicava golpes que somaram mais de R$ 13 milhões no Rio e no sudeste do país. Com a conivência de gerentes e funcionários de bancos, os acusados se utilizavam do desvio de cheques dos clientes das instituições bancárias, que eram depositados nas contas de integrantes da quadrilha para saque posterior, e com a clonagem de cartões de créditos. O líder da quadrilha, Eduardo da Costa Ferreira (conhecido como “Frango") chegou a tatuar nos antebraços os logos de instituições bancárias, algumas delas onde o bando praticou golpes.

      04/11/2021 - Apps de terceiros são 'minas de ouro' para criminosos, diz Apple (TecMundo)

      Durante palestra no evento Web Summit, em Portugal, o chefe da Engenharia de Software da Apple, Craig Federighi, destacou as ameaças da instalação de aplicativos por meios alternativos à App Store — uma prática também conhecida como sideloading, no termo em inglês.

      04/11/2021 - Golpes usam Google Ads para roubar milhões em criptomoedas (TecMundo)

      04/11/2021 - Lojas falsas podem aumentar na Black Friday; veja como se proteger (TecMundo)

      04/11/2021 - Sites de prefeituras no ES e MG sofrem ataques virtuais e ficam indisponíveis (Canal Tech)

      07/11/2021 - ANPD publica regulamento de fiscalização e sanção (LGPD News)

      07/11/2021 - Serasa alerta: tentativas de fraude no Brasil cresceram 22,2% (Olhar Digital)

      Segundo o Indicador de Tentativas de Fraude da Serasa Experian, as tentativas de fraude cresceram 22% no período de um ano, entre setembro de 2020 e setembro de 2021. Ao todo, foram identificados 3,1 milhões de ataques, sendo que a maioria (57%) ocorreram em bancos e cartões. Em setembro deste ano foi identificada uma tentativa de fraude a cada 7 segundos. 

      08/11/2021 - Hackers white-hat (‘do bem’) ganham US$ 1 milhão em competição de cibersegurança (Olhar Digital)

      Um grupo de hackers white-hat venceu a competição Pwn2Own, organizada pela Trend Micro, e arrendou um prêmio total de US$ 1,081,250.

      08/11/2021 - Veja 10 dicas para não cair em golpes na Black Friday (FEBRABAN)

      09/11/2021 - App Robinhood tem dados de 7 milhões de clientes comprometidos (Canal Tech)

      Um ataque de engenharia social levou à exposição dos dados de mais de sete milhões de clientes do app de investimentos Robinhood. A empresa notificou seus os clientes usuários sobre o vazamento, que conteria apenas dados pessoais, sem perdas financeiras ou comprometimento de informações bancárias ou de pagamento. Em comunicado, o Robinhood afirma que um atacante se passou por um representante de suporte por telefone, obtendo as informações necessárias para acessar os sistemas internos. A empresa disse ter sido extorquida para que os dados comprometidos não fossem revelados ao público.

      09/11/2021 - Atila Iamarino afirma que seus dados pessoais foram alterados de forma ilegal em plataforma do SUS (G1)

      08/11/2021 - 0News - Notícias de Segurança (Papo Binário)
      • Série de vulnerabilidades críticas no Nagios é descoberta
      • CISA cria catálogo de vulnerabilidades críticas e ordena agências a aplicar patches
      • CERT francês documenta novo grupo ligado a ataques com ransomware
      • Novo fluxo de infecção do Trojan Mekotio é descoberto no Chile
      • Ucrânia desvenda operação do Gamaredon
      • Falha no Kernel do Linux permite execução de código arbitrário
      • Governo dos EUA coloca NSO Group em lista de bloqueio comercial

        10/11/2021 - Mais de um terço das empresas pagam após serem vítimas de ransomware (Canal Tech)

        Uma pesquisa realizada nos Estados Unidos pela da empresa de segurança Mimecast mostrou que 80% das corporações foram atingidas por ataques de ransomware desde 2019, com 39% delas efetivamente pagando o resgate exigido pelos criminosos para terem seus dados e operações de volta. No país, a média de pagamentos é de US$ 6,3 milhões, um dos maiores números em todo o mundo.

        10/11/2021 - Bandidos estão “roubando” lives de famosos para ganhar dinheiro no TikTok (Canal Tech)

        10/11/2021 - Espião americano invadiu a Booking.com, a empresa ficou em silêncio (em inglês) (NRC)

        No início de 2016, um hacker americano invadiu os servidores do site de hotéis Booking.com e roubou detalhes de milhares de reservas de hotéis em países do Oriente Médio. Após dois meses de pesquisa, quatro especialistas em TI do Booking.com determinaram que o hacker era um homem que tinha laços estreitos com os serviços de inteligência americanos. A empresa solicitou ajuda do serviço de inteligência holandês (AIVD) em sua investigação sobre a violação de dados, mas não notificou os clientes afetados ou a Autoridade de Proteção de Dados Holandesa (AP).

        10/11/2021 - Como criar senhas mais seguras (CryptoID)

        11/11/2021 - Golpe da falsa vaga de trabalho atingiu 75% dos desempregados em 2021 (Canal Tech)

        11/11/2021 - Habib’s: criminosos anunciam, mas não publicam dados (CISO Advisor)

        11/11/2021 - Novo spyware infecta mais de mil usuários do Android (TecMundo)

        Pesquisadores da Zimperium, uma empresa especializada em segurança em celulares, descobriu um novo malware batizado de PhoneSpy que pode ser instalado de forma secreta por meio de 23 aplicativos em dispositivos Android para desviar informações confidenciais e obter controle remoto dos dispositivos. Os ataques com o spyware foram descobertos espionando mais de mil residentes sul-coreanos.

        12/11/2021 - Polícia identifica quadrilha que aplicava 'golpe do motoboy' (TecMundo)

        12/11/2021 - Cervejaria espanhola paralizada por ciber ataque (em inglês) (Infosecurity Magazine)

        12/11/2021 - Hackers permaneceram no controle de uma estação de água por 9 meses sem serem detectados (Olhar Digital)

        Um grupo de hackers manteve controle completo da estação estatal de água Statutory, no estado de Queensland, norte da Austrália, permanecendo indetectados por nove meses, em uma falha de segurança que durou de agosto de 2020 até maio de 2021.

        12/11/2021 - Vazamento de dados pode causar demissão por justa causa (The Hack)

        Segundo decisão do Tribunal Regional do Trabalho de São Paulo (TRT-SP), funcionários que armazenam dados da empresa em ambientes pessoais podem ser demitidos por justa causa, por se tratar de um vazamento de dados da empresa. A dispensa por justa causa foi aplicada a um atendente de telemarketing que enviou para seu e-mail pessoal lista de dados sigilosos da empresa tomadora de serviços, a Ticket Serviços SA. Entre os dados, havia CNPJ, CPF, números e valores carregados em cartões, além de locais de lotação dos empregados da prestadora, a Liq Corp SA

        12/11/2021 - Brasil é o oitavo país do mundo em ataques cibernéticos associados à 'internet das coisas' (O Globo)

        13/11/2021 - Falha de segurança expõe mais de 300 câmeras do aeroporto de Guarulhos (UOL)

        Foi identificado um link compartilhado em grupos na internet que possibilita ver ao vivo a mais de 300 câmeras das instalações de carga do aeroporto internacional de Guarulhos, GRU, sem a necessidade de login ou senha.

        14/11/2021 - 'Rei da Fraude' pega 10 anos de prisão por crimes online (TecMundo)

        O cibercriminoso Aleksandr Zhukov, conhecido como "Rei da Fraude", foi condenado a dez anos de prisão. Ele atuou na Rússia e embolsou mais de US$ 7 milhões em um esquema de anúncios online.

        15/11/2021 - Amazon faz piada com Alexa e acende preocupações de privacidade; entenda (Estadao)

        15/11/2021 - E-mail do FBI é invadido e envia milhares de alertas falsos (TecMundo)

        15/11/2021 - Novo grupo Moses Staff mira organizações israelenses em ataques destrutivos (em inglês) (The Record)


        15/11/2021 - 0News - Notícias de Segurança (Papo Binário)
        • Void Balaur: novo grupo de mercenários é identificado
        • Modificações em recursos do Lyceum são identificadas
        • 14 novas vulnerabilidades são descobertas no BusyBox
        • Ataque do Lazarus foca em pesquisadores de malware
        • Descoberta de 0-day em sistemas da Palo Alto causa controvérsia



          A popularização das fintechs e a disseminação da pandemia de covid-19 fizeram o número de contas digitais aumentar. Uma pesquisa da Federação Brasileira dos Bancos (Febraban) aponta que os canais digitais tiveram aumento de 90% na quantidade de contas abertas em 2019 em relação ao ano anterior. O problema é que os riscos e o volume de golpes têm aumentado e, segundo levantamento da Andressen Horowitz, 20% das contas criadas digitais na América Latina são falsas.

          18/11/2021 - Grupo de ransomware ameaça vazar 1,5 TB de dados de empresa brasileira (CanalTech)

          A empresa brasileira Docol aparentemente teve um volume de 1,5 terabytes de dados sensíveis roubados pelo ransomware LV, operado pelo grupo de criminosos Gold NorthField.

          18/11/2021 - Faxineiro do ministro da defesa de Israel é preso acusado de espionagem (The Hack)

          18/11/2021 - Golpistas tentam roubar contas de influenciadores do TikTok (TecMundo)

          18/11/2021 - Operação Torpedo: Depatri deflagra ação contra grupo que causou prejuízo de mais de R$ 12 milhões em golpes bancários em SE (Polícia Civil)

          18/11/2021 - As senhas mais comuns em vazamentos de dados no Brasil em 2021 (G1)

          Um levantamento realizado pelo gerenciador de senhas NordPass apontou que combinações de números, a palavra "brasil" e nomes próprios são os termos que mais aparecem em senhas de usuários brasileiros. O levantamento apontou que a combinação "123456" foi encontrada cerca de 1 milhão de vezes em vazamentos relacionados a usuários no Brasil. Em todo o mundo, há 103 milhões de registros dessa credencial. As combinações numéricas "123456789" e "12345" completam o pódio de senhas mais usadas em todo o mundo. Entre usuários brasileiros, a palavra "brasil" apareceu 154 mil vezes, enquanto o termo "senha" foi usado 103 mil vezes. Outras senhas frequentes incluem palavras como "gabriel", "flamengo" e "felicidade".

          19/11/2021 - 'Golpe do Ray-Ban' volta ao Instagram; saiba como se proteger (TecMundo)

          Nos últimos dias, o conhecido "golpe do Ray-ban" voltou a ganhar espaço no Instagram. O golpe consiste na divulgação de falsas promoções da marca Ray-Ban por meio de publicações não consentidas na conta dos usuários, que foram previamente invadidas. No post, os criminosos anunciam produtos com preços extremamente baixos.

          19/11/2021 - WhatsApp lança campanha ‘Teste de DNA’ para alertar sobre segurança (TecMundo)

          19/11/2021 - Alexa armazena conversas até quando está inativa, aponta relatório (TecMundo)

          Uma série de relatórios divulgados pela Amazon revelou que a empresa conhece dados pessoais como altura, peso, estado de saúde, etnia, orientação política e locais visitados pelos clientes e que a assistente virtual Alexa pode armazenar conversas até quando está inativa.

          19/11/2021 - SBT é alvo de ataque cibernético e dados de funcionários vazam (TecMundo)

          A emissora SBT foi alvo indireto de um ataque cibernético. Segundo a empresa, o banco de dados de uma prestadora de serviços foi invadido há dois meses e informações sensíveis dos colaboradores e ex-funcionários da emissora foram vazados, incluindo nome, CPF e endereço.

          21/11/2021 - De 5 ladrões condenados pelo maior roubo a banco no Brasil só um está preso (UOL)

          Dos cinco ladrões condenados a 18 anos e oito meses pelo maior roubo da história do País, estimado em até R$ 500 milhões entre joias, pedras preciosas e moedas estrangeiras levados do Banco Itaú da avenida Paulista, em agosto de 2011, só um está preso e em regime semiaberto.

          21/11/2021 - ‘Hackers do bem’ são recompensados ao testar os sistemas de grandes empresas (Estadão)

          22/11/2021 - Cooperativa de crédito com mais de 200 mil cooperados sofre ataque cibernético (Convergência Digital)

          A Unicred, cooperativa de crédito e soluções financeiras que teve origem nas cooperativas Unimed, comunicou através de seu site na internet que sofreu um ataque cibernético e seus sistemas e canais de atendimento ficaram indisponíveis. A companhia não informa detalhes sobre o ataque cibernético. Após 3 dias o aplicativo e internet banking foram restabelecidos para consulta de saldo e extrato de conta-corrente, aplicação financeira e previdência privada, transferências entre contas Unicred e transações via Pix.

          22/11/2021 - Banco Central limita opções do Pix no período noturno; veja o que muda (CanalTech)

          22/11/2021 - Amazon coleta detalhes íntimos sobre seus usuários através da Alexa; veja quais (IG)

          22/11/2021 - Vazamento de dados na GoDaddy impacta 1,2 milhões de donos de sites Wordpress (em inglês) (The Record)

          22/11/2021 - Dados de 2,5 milhões de brasileiros são expostos em falha [em provedor] de rede Wi-Fi (Convergencia Digital)

          Uma falha de configuração de armazenamento em nuvem pela empresa WSpot, fornecedora de solução de gerenciamento para redes WiFi e tem clientes como Sicredi, Unimed e Pizza Hut, expôs os dados de aproximadamente 2,5 milhões de pessoas, que estavam expostos no sistema de armazenamento Amazon S3 Bucket.

          23/11/2021 - Memento: ransomware rouba dados com WinRAR e pede US$ 1 milhão (TecMundo)

          23/11/2021 - Vírus pode ter infectado 9,3 milhões de dispositivos Android (TecMundo)

          Um relatório do antivírus Dr.Web notificou a Huawei após mais de nove milhões de dispositivos terem sido potencialmente infectados pelo cavalo de Troia, detectado como "Android.Cynos.7.origin", uma versão modificada do malware Cynos projetado para coletar dados confidenciais dos usuários.. Mascarados em mais de 190 aplicativos diferentes, eles estavam disponíveis na loja nativa da empresa, a AppGallery.

          23/11/2021 - Fraudes usando pagamentos online aumentam em 208% antes da Black Friday (CanalTech)

          Segundo relatório da Kaspersky, durante os primeiros dez meses de 2021 as soluções de segurança da empresa bloquearam mais de 40 milhões de tentativas de phishing que usavam indevidamente as marcas de comércio eletrônico e de instituições bancárias. Em especial, no período de setembro a outubro de 2021 o número total de tentativas de phishing financeiros usando tema de pagamento online contaram com um crescimento de 208%, passando de 627.560 notificações em setembro para 1.935.905 em outubro. A Kaspersky também identificou os quatro nomes de varejos mais usados como isca em tentativas de phishing: Amazon, eBay, Alibaba e Mercado Livre.

          24/11/2021 - Comércio criminoso de dados corporativos é o maior facilitador de ransomware (CanalTech)

          24/11/2021 - Pesquisa aponta que 2 a cada 3 brasileiros têm medo de comprar com Pix (CanalTech)

          24/11/2021 - Black Friday: mais de 1,1 milhão de tentativas de golpes barradas (CISO Advisor)

          24/11/2021 - Em 24h, hackers localizam e invadem 256 nuvens (CISO Advisor)

          Em um teste organizado pela empresa Palo Alto, em menos de 24 horas hackers conseguiram localizar e invadir 256 instalações inseguras de nuvem das 320 implantadas. O objetivo foi verificar em quanto tempo elas seriam descobertas e invadidas por hackers.

          25/11/2021 - FEBRABAN reforça dicas de segurança para compras na Black Friday (FEBRABAN)

          25/11/2021 - Blizzard confirma que Battle.net quase caiu por ataque DDoS (TecMundo)

          25/11/2021 - Pix na Black Friday: 5 golpes que podem ser aplicados com o sistema instantâneo (e como evitá-los) (InfoMoney)

          25/11/2021 - Phishing cresce em todas as suas modalidades no Brasil em 2021 (CanalTech)

          Segundo um levantamento realizado pela Avast do Brasil com 1,3 mil usuários de seus serviços, 55% dos entrevistados encontraram phishing em 2021, em comparação com 39% que alegaram o mesmo em 2020. Quando se trata das vítimas, 35% mais brasileiros disseram ter sido vítimas de um esquema desse tipo, em comparação com os resultados do ano passado. Houve um crescimento de 41% no número de brasileiros que encontraram golpes de phishing.

          25/11/2021 - O que fazer para proteger seus dados caso seu celular seja roubado (CNN)


          28/11/2021 - Em novo golpe, falso entregador pede 'foto de confirmação' e recebe financiamento de até 100 mil reais em nome da vítima (Fantástico)

          Golpe utiliza dados pessoais da vítima que constam em bases de dados vazadas para solicitar empréstimos bancários, mas a foto precisa ser registrada diretamente no aplicativo. Fraude já foi aplicada em todos os estados do país.

          29/11/2021 - Mercado negro anuncia venda de passaportes falsos para a vacina do COVID-19 (em ingles) (Data Breach Today)

          29/11/2021 - Pfizer diz que funcionária roubou segredos de vacinas (CISO Advisor)

          A gigante farmacêutica Pfizer entrou com uma queixa crime contra uma ex-funcionária acusada de roubar os segredos da vacina contra a covid-19 antes de mudar de emprego para uma empresa concorrente. A gigante farmacêutica alega que a acusada carregou mais de 12 mil arquivos, incluindo “dezenas” de documentos confidenciais para uma conta do Google Drive. Ela teria incluído análises de estudos de vacinas e informações sobre o desenvolvimento de novos medicamentos.

          29/11/2021 - Panasonic confirma que sofreu invasão e teve dados acessados (TecMundo)

          29/11/2021 - HAECHI-II: Interpol prende mais de 1000 cibercriminosos em operação envolvendo 22 países (The Hack)

          29/11/2021 - Cyber Monday: As 4 tentativas de phishing mais usadas pelos criminosos (CanalTech)

          29/11/2021 - Apple é condenada a indenizar brasileiro que sofreu invasão após roubo de iPhone (CanalTech)

          A Apple foi condenada a pagar indenização de R$ 5 mil a um consumidor brasileiro que teve seus dados pessoais e contas bancárias invadidas após o roubo de seu iPhone 12, em São Paulo. Além de condenar a Apple por danos morais, a decisão também determinou a responsabilização do banco por onde os criminosos efetuaram a transferência bancária em nome da vítima.

          29/11/2021 - Apple processa NSO Group - [0News] (Papo Binário)
          • Zero day para o Windows Installer está sob exploração por malware
          • Malware Cynos é embutido em 190 aplicativos e distribuído a milhões de usuários
          • Descoberto loader JavaScript que instala oito familias de trojan
          • Correção causa falha na ativação do Microsoft Defender
          • Novo APT foca na indústria de vacinas
          • Apple processa NSO Group e empresa israelense vem definhando após embargo americano

            30/11/2021 - Empresa de Teste de DNA: 2,1 milhões afetados por invasão a base de dados legada (em ingles) (Healthcare Info Security)
            Creative Commons License
            Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.