janeiro 28, 2022

[Segurança] Relembre seus direitos no Dia Internacional da Privacidade de Dados

Hoje, 28/01, é o Dia Internacional da Privacidade de Dados. Além do mais, hoje encerra a Semana da Proteção de Dados Pessoais 2022 promovida pela Autoridade Nacional de Proteção de Dados (ANPD).

Hoje em dia o debate sobre proteção de dados e privacidade está bem ativo! A Lei Geral de Proteção de Dados Pessoais (LGPD) já está fazendo parte da realidade das maiores empresas, e a ANPD está, aos poucos, se tornando mais ativa. Some, a isso, a preocupação com os vazamentos constantes de dados pessoais e o uso deles por ciber criminosos. Ou seja, já passou da hora de nos preocuparmos com os direitos que nós, cidadãos, temos frente as empresas que possuem ou capturam nossos dados.

Que tal, portanto, aproveitarmos a data de hoje para relembrar nossos direitos sobre os nossos dados pessoais? Eles foram estabelecidos no Capítulo III da LGPD, nos artigos 17 ao 20. Esses artigos apresentam diversos direitos que são garantidos aos titulares dos dados pessoais, destacando a importância de preservar a nossa liberdade, intimidade e privacidade.


Os principais direitos dos titular dos dados pessoais estão definidos no artigo 18, e valem a qualquer momento e mediante requisição, sem custos. São eles:
  • Confirmar a existência de tratamento de seus dados pessoais;
  • Acessar seus dados pessoais;
  • Corrigir dados pessoais incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade de dados pessoais a outro fornecedor de produto ou serviço;
  • Eliminação dos dados pessoais pessoais tratados com o consentimento do titular;
  • Obtenção de informações sobre as entidades públicas e privadas com as quais o controlador realizou o compartilhamento de seus dados pessoais;
  • Ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa do consentimento;
  • Revogação do consentimento dado para o tratamento de dados pessoais.
O Artigo 20 também garante ao titular dos dados o direito de solicitar a revisão de decisões tomadas pela empresa unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas aí, por exemplo, as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Em tempo: O pessoal da Daryus preparou um webinar gratuito e ao vivo para celebrar o Dia Internacional da Privacidade de Dados, com o tema "Protegendo Dados na Prática: Desafios e oportunidades para profissionais de privacidade". O evento será hoje, 28/01, as 17h30. Para se inscrever, clique aqui.

Para saber mais:
  • Aqui no blog: Dia Internacional da Privacidade de Dados e Semana da Proteção de Dados Pessoais 2022

janeiro 27, 2022

[Segurança] International ISO/IEC 27001 Day

O pessoal da International Organization for Standardization (ISO) escolheu o dia 27/01 para comemorar, pela primeira vez, o “International ISO/IEC 27001 Day”.

A ISO/IEC 27001 é uma das mais importantes normas internacionais sobre segurança da informação, dentro da família de normas 27000. A 27001 é amplamente conhecida e adotada pela comunidade de segurança, fornecendo os requisitos para que as empresas possuam um sistema de gerenciamento de segurança da informação ("information security management system", ou ISMS).

A ISO 27001 surgiu no início dos anos 2000, baseada na BS-7779, uma norma inglesa que fez muito sucesso na comunidade de segurança quando foi lançada em 1995. A BS-7799, embora fosse uma norma britânica, passou a ser usada como referência por empresas em diversos países, a ponto de que, no final dos anos 90, era comum profissionais brasileiros fazerem os treinamentos e prova de certificação para dar consultoria na norma para empresas aqui mesmo no Brasil. A partir da BS-7779, a ISO/IEC então criou a ISO/IEC 17779, publicada em Dezembro de 2000, que foi revisada em 2005 e em seguida deu origem a ISO/IEC 27001 e a ISO/IEC 27002. Isso porque a BS-7799 tinha duas partes, e cada uma delas foi transformada em uma norma ISO diferente. Com o passar dos anos. essas normas deram origem a uma enorme família de normas ISO/IEC 27000 sobre Segurança da Informação. A primeira edição da 27001 foi lançada em 2005 e a versão atual é de 2013, e a ISO está trabalhando na sua revisão e renovação, que deve ser publicado em breve.

Dentro da estrutura da ISO, as normas sobre segurança da informação e privacidade são de responsabilidade do subcomitê 27 (SC 27), dentro da comissão técnica conjunta ("joint technical committee", o JTC 1 - que, por sinal, tem uns 40 subcomitês abaixo dele. Por sinal, o SC 27 existe há mais de 30 anos. O site da ISO lista 216 normas sob responsabilidade do SC 27, além de 73 padrões em desenvolvimento ou revisão.

Aqui no Brasil, compete a Associação Brasileira de Normas Técnicas (ABNT) criar normas e padrões para o mercado nacional. Cabe  portanto, a ABNT, a responsabilidade por identificar as normas ISO relevantes para o nosso mercado e criar uma versão em português que é adotada como norma nacional. Ela também tem um grupo de trabalho específico para tratar as normas sobre segurança da informação, a comissão 027 dentro do comitê CB-021 (Tecnologias da Informação e Transformação Digital), formada por voluntários, profissionais de mercado que tem interesse em colaborar na criação de normas. Essa comissão é responsável por criar normas nacionais (como, por exemplo, a NBR 16167, sobre classificação da informação) e adotar para o Brasil as normas da ISO que achar relevante, de acordo com a demanda do mercado nacional. Nesses casos, as normas ISO são traduzidas integralmente para o Português e passam a ser uma norma da ABNT, e portanto, tem efeito normativo no território nacional. A primeira versão brasileira da 27001 (a NBR ISO/IEC 27001) foi publicada pela ABNT em 2006, no ano seguinte a sua publicação como norma internacional ISO.

O processo de criação de uma norma de segurança é longo, muito longo, e pode facilmente passar de 2 anos de trabalho. Isso porque, desde o momento em que ela é sugerida, ela passa por vários estágios de desenvolvimento, desde a coleta de informações e sugestões, criação do primeiro rascunho e diversas etapas de revisão e refinamento, até o momento em que um texto final é criado e aprovado em plenária. E cada fase dessas dura pelo menos 3 meses, pois a ISO faz apenas 4 reuniões por ano com seus grupos de trabalho.

A criação de normas nacionais e internacionais tem papel fundamental na padronização de recomendações e boas práticas a serem seguidas por empresas e entidades interessadas naquele tema específico. Desde  início dos anos 2000 as normas da ISO sobre segurança da informação tem auxiliado diversas empresas a criar seus programas e estratégias de segurança da informação.

Ah, não custa lembrar: as normas ISO e ABNT são pagas, devem ser compradas nos respectivos sites. Logo, quando você procura por uma versão gratuita das normas, você está violando os direitos autorais e está se arriscando a baixar um documento desatualizado ou, pior, um arquivo infectado com código malicioso.

janeiro 24, 2022

[Segurança] Dia Internacional da Privacidade de Dados e Semana da Proteção de Dados Pessoais 2022

No dia 28 de janeiro comemoramos no mundo o Data Privacy Day, que aqui virou o Dia Internacional da Proteção de Dados (alguns usam "proteção" ou "privacidade" de dados). Aproveitando essa data e, buscando incentivar a comemoração do dia, a nossa Autoridade Nacional de Proteção de Dados (ANPD) vai realizar algumas atividades durante essa semana agora, que antecede a data.

Assim, nasceu a Semana da Proteção de Dados Pessoais, uma iniciativa da ANPD para compartilhar informações sobre a  Lei Geral de Proteção de Dados Pessoais (LGPD), informações sobre as atividades da própria ANPD e abordar os direitos dos titulares de dados pessoais! A ideia é incentivar a celebração da data e a criação e compartilhamento de conteúdos explicativos sobre o tema.

A ANPD promete divulgar informações em seu site e nas redes sociais, e para fechar as comemorações da Semana da Proteção de Dados Pessoais, a ANPD promete publicar na sexta-feira, 28/01, o "Guia de Tratamento de Dados Pessoais pelo Poder Público".

Veja o vídeo da campanha:


A ANPD incentiva que, durante toda essa semana e, especialmente no Dia da Privacidade de Dados (28/01), os diversos setores, como poder público, setor privado, sociedade civil, terceiro setor, academia e outros interessados realizem atividades de sensibilização sobre os direitos à proteção de dados pessoais e à privacidade.

(Adicionado em 26/01) O pessoa da ANPD está divulgando o material da semana da proteção dados no site deles: Materiais da Semana da Proteção de Dados 2022.

Uma forma de aproveitar essa semana é revisar seus controles de privacidade nos principais apps e redes sociais. Que tal? O pessoal do National Cybersecurity Alliance e do site Stay Safe Online compartilharam uma página com dicas de configurações de privacidade nos principais sites, vale a pena dar uma olhada:
Qualquer pessoa ou organização que queira comemorar, participar e acompanhar a campanha pode utilizar as hashtags #SemanaProteçãodeDados2022 ou #DataProtectionDay2022 nas redes sociais.

Veja também:
PS: Post atualizado em 26/01.

#SemanaProteçãodeDados2022
#DataProtectionDay2022

janeiro 19, 2022

[Segurança] Previsões e tendências para 2022 (com memes)

Após um ano tão intenso, o que podemos esperar para o mercado de segurança em 2022?


Na minha opinião, as principais tendências para o nosso mercado de segurança da informação, nesse ano, são as seguintes:
  • Ataques de ransomware continuarão dominando o cenário de ameaças;
  • A consolidação do trabalho remoto (ou híbrido);
  • Continuaremos com vazamentos de dados constantes, corroendo nossa privacidade e alimentando as fraudes e o roubo de identidade;
  • Fim da pandemia influenciando o cibercrime e seus golpes;
  • Indústria de segurança investindo em Automação e UX.

É inegável que a segurança está na agenda dos principais governos e organizações em todo o mundo. Afinal, a necessidade de isolamento social provocado pela pandemia do novo coronavírus forçou a rápida adoção no uso da Internet a aplicativos no dia-a-dia das pessoas, mesmo nos países aonde essa tecnologia ainda não estava massificada. Além do mais, as notícias frequentes de vazamento de dados e ataques de ransomware mantém a preocupação com segurança na mente de todas as pessoas e executivos.

Além disso, podemos esperar que as principais ameaças em 2021 estarão presentes no nosso dia-a-dia nesse ano: os vazamentos de dados e ataques de ransomware. Não há qualquer sinal de melhora a curto prazo que possa indicar uma queda na quantidade e frequência desses incidentes.


Há dezenas coisas que podemos falar sobre o impacto e tendências dos ataques de ransomware. Desde que os ciber criminosos começaram a focar no altamente lucrativo mercado das extorsões a empresas, essa alta lucratividade para os cibercriminosos fez deles a maior ameaça para as corporações atualmente, o que tira o sono de 10 a cada 10 CISOs.

Os ataques de ransomware devem continuar representando a maior ameaça para as empresas no(s) próximo(s) ano(s), e a cada vez eles vão se aprimorando mais. Como consequência da sofisticação e crescimento dos ataques de ransomware, eu acredito que eles vão influenciar de várias formas o mercado de segurança em 2022: 
  • Ransomware regionalizado, com operadores (criminosos) locais - no mesmo país ou região das vitimas. Além de falar a língua local e usar moeda local para pagamento de resgates, isso vai permitir uma melhor escolha de alvos e, até mesmo, usar leis locais como forma de pressão das vítimas (como, por exemplo, para evitar multas regulatórias);
  • TTP dos ransomwares usados para outros tipos de ataque - como os grupos de ransomware tem sido muito eficientes em invadir suas vítimas, incluindo grandes empresas, é de se esperar que outros ciber criminosos e até grupos de ciber espionagem podem começar a usar seus métodos de ataque - por exemplo, para praticar ciber terrorismo, ciber espionagem, ataque a concorrentes, etc;
  • Os países começarão a criar legislação específica para criminalizar o pagamento de ransomware, uma vez que diversas vitimas optam por pagar o resgate para recuperar seus dados e evitar que eles sejam expostos;
  • Diversos governos vão focar esforços em combater os grupos criminosos por trás dos ataques de ransomware. O governo americano já está nesse pegada desde que aconteceu o ataque à Colonial Pipeline, e a tendência é que o cerco se aperte cada vez mais;
  • Crescimento vertiginoso na busca por seguro contra ciber ataques e ataques de ransomware. Graças ao medo e incerteza se a empresa pode sofrer uma taque, e ciente do impacto, muitos executivos estão procurando ofertas de seguros contra ciber ataques;
  • Empresas investindo em suas capacidades de detecção e resposta a incidentes;
  • Foco na cadeia de fornecedores/suprimentos, para expandir quantidade de vítimas.
Quando eu falo sobre a regionalização dos ataques de ransomware, com criminosos locais, é porque até hoje a maioria dos ataques de ransomware que ganham destaque na mídia são organizados por grupos ciber criminosos russos e do leste europeu, como o REvil, o BlackMatter, Ryuk e o FIN12. Como a maioria desses malwares são fornecidos como serviço (ou seja, "Ransomware as a Service" - RaaS), os criminosos de outros países podem se interessar em alugar esses códigos para realizar ataques contra empresas em seu próprio país. Assim, eles terão maior conhecimento dos alvos e da possibilidade de aproveitar as normas e legislações regionais para servir como pressão contra a empresa atacada - afinal, a empresa pode sofrer sanções regulatórias se tiver seus dados vazados.

Na minha opinião, o maior risco que temos no horizonte é os criminosos focarem em ataques a cadeia de fornecedores (a famosa buzzword "supply chain attack"), pois assim a partir da invasão em uma única empresa, eles conseguem plantar o ransomware em diversas empresas (como aconteceu com o caso da Kaesa em 2021). Imagine, por exemplo, se em vez de acionar o ransomware na Atento, se os criminosos tivessem aproveitado para invadir as empresas que estão conectadas na Atento? Pelo porte da Atento, e sua relevância no mercado de centrais de atendimento, provavelmente eles teriam acesso a várias das maiores empresas brasileiras !!! Felizmente isso não aconteceu, talvez porque os criminosos, de outro país, não tinham conhecimento do potencial da Atento no mercado brasileiro.

Além disso, por conta dos ataques de ransomware, as empresas vão investir cada vez mais em sua capacidade de detecção e resposta a incidentes, além de aumentar consideravelmente a procura por seguros contra incidentes cibernéticos. Por outro lado, as empresas que fornecem seguro cibernético estão tornando suas exigências mais rígidas e aumentando o preço, devido a alta demanda e alto risco dos clientes serem invadidos. Mas cuidado: é importante investir também em prevenção, mas infelizmente acredito que a tendência natural do mercado, na vida real, é focar sua preocupação com a detecção e resposta, em vez de investir em prevenção.

Vale lembrar que o governo americano já está focando esforços em combater os grupos ciber criminosos responsáveis pelos ataques de ransomware, tentando criminalizar o pagamento dos resgates e colocando muita pressão no governo Russo para que também combata esses grupos. Acabamos de ver o primeiro resultado prático disso: no início desse ano as forças policiais russas prenderam pessoas responsáveis pelo ransomware REvil.

Eu, particularmente, tenho esperanças de que as empresas tenham aprendido a vantagem do trabalho remoto durante o período da pandemia e abracem essa prática - nem que seja em um modelo híbrido, com o time revezando alguns dias em casa e outros no escritório. Mas, infelizmente, no final de 2021 (antes da explosão de casos causada pela nova variante ômicron) vi várias empresas mandando seus funcionários voltarem aos escritórios. Eu vejo várias vantagens do trabalho remoto (ou híbrido), e não custa relembrar algumas:
  • permitir o equilíbrio entre vida pessoal e profissional;
  • menor ocupação dos escritórios, reduzindo o custo da empresa com infra-estrutura (imagina, por exemplo, cortar seus gastos com os escritórios pela metade - aluguel, água e luz, imobiliário, etc);
  • diminui a movimentação de pessoas, com redução do trânsito e da poluição nas grandes cidades;
  • permite a contratação de pessoas fora dos grandes centros (São Paulo, Rio e capitais), democratizando o acesso ao trabalho e melhorando a economia local. Poderíamos reduzir a grande concentração econômica que temos nas grandes cidades brasileiras.
Consequentemente, os times de segurança devem continuar focando seus esforços na proteção do usuário no ambiente de sua casa, na proteção do ambiente e da infra-estrutura de acesso remoto e nas aplicações em nuvem. Sim, nessa hora, o Zero Trust continuará com uma das principais buzzwords dos maiores fabricantes de soluções de segurança.


A fraude online e os malwares devem focar cada vez mais em aplicativos móveis. Graças a quarentena causada pela pandemia do novo Coronavírus, houve um aumento significativo no uso de aplicativos móveis no dia-a-dia, incluindo mobile banking, e-commerce e delivery. Consequentemente, os ciber criminosos tendem a seguir essa demanda e focar seus táticas para atacar os usuários móveis.

A perspectiva de chegarmos ao fim da pandemia e a suspensão das medidas restritivas, de quarentena e fechamento do comércio, traz consigo a retomada econômica, com a recuperação das empresas e dos empregos. Milhões de pessoas que perderam seus empregos ou foram obrigadas a aceitar situações de sub-emprego tem agora a possibilidade de retomar suas vidas e reconstruírem suas finanças. Com isso, cresce a busca por oportunidades de quitação de dívidas em empréstimos, cartões de crédito e cheque especial, da mesma forma que cresce a procura por empréstimo pessoal. Essa busca e recuperação de crédito também é explorada por ciber criminosos, que aproveitam a fragilidade econômica das vítimas para trazer falsas ofertas de empréstimos e renegociação de dívidas. O empréstimo consignado, em particular, tem grande atratividade pois seu modelo de juros mais baixos acaba atraindo mais pessoas interessadas - e os fraudadores estão se especializando nessa modalidade de crédito.

No mercado de trabalho, vamos continuar convivendo com o apagão e talentos, até mesmo porque esse problema não tem solução a curto prazo. Para piorar, os profissionais de segurança estão vivendo sob forte pressão, o que causa muita desmotivação e já há relatos de pessoas abandonando a área por não aguentar o ambiente. O que as empresas podem fazer, nesse momento, é investir na automação de tarefas e capacitação de pessoal, para que seus funcionários possam se dedicar a tarefas mais nobres. Ao mesmo tempo, as empresas devem começar a investir na contratação de novos talentos, de pessoas que estão iniciando na carreira de segurança - preferencialmente com foco na diversidade. Eu acredito que, a longo prazo, somente a diversidade no mercado de trabalho em tecnologia e segurança pode resolver esse problema.


Em termos de indústria de segurança, acredito que devemos ter um foco cada vez maior em duas frentes: Automação e User Experience (UX). A automação, possível graças a tecnologias de inteligência artificial (IA) e machie learning, vai permitir uma melhor escalabilidade das ferramentas frente a crescente de ataques cibernéticos que as empresas devem ter, enquanto a preocupação com UX é fundamental para aumentar a adoção das ferramentas no dia-a-dia.

Resumindo, acredito que as principais buzzwords em 2022 serão (ou melhor, "continuarão sendo"):
  • Ransomware e double extorsion
  • Supply chain attack
  • Zero Trust
  • Artificial Intelligence (IA)

Vamos agora torcer por um ano melhor :)

Para saber mais:
PS: Pequena atualização em 27/01, 23/02, 02, 04 e 21/03.

PS/2 (adicionado em 11/02/2022): Esse artigo me fez pensar sobre uma possível tendência para os ataques de ransomware: focar os ataques nas empresas de médio porte, para não chamar tanta atenção das autoridades.

janeiro 17, 2022

[Segurança] Principais notícias de segurança em Dezembro de 2021

Esse é mais um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!


02/12/2021 - Fraudes crescem 131% na Black Friday brasileira (Convergência Digital)

Segundo estudo realizado pela ClearSale, a Black Friday registrou um crescimento de 131,54% no número de tentativas de fraudes no comércio eletrônico brasileiro, em comparação com a mesma data em 2020. O aumento foi de 51.553 pedidos potencialmente fraudulentos em 2020 para 119.318 neste ano. Em termos financeiros, foram R$ 125,8 milhões em fraudes evitadas no varejo virtual em 2021, contra R$ 70,3 milhões no ano anterior – crescimento de 78,93%.

02/12/2021 - Vítimas de ransomware de dupla extorsão crescem 935% (CISO Advisor)

02/12/2021 - 245 prefeituras catarinenses atacadas num só servidor (CISO Advisor)

02/12/2021 - Perfis roubados se passam por conhecidos de vítimas com "ofertas imperdíveis" (Canal Tech)

03/12/2021 - Criminosos vendem por R$ 200 acesso a dados completos de milhões de brasileiros (Folha de São Paulo)

Os dados completos de milhões de brasileiros estão expostos na internet em sites que podem ser acessados por quem se dispuser a pagar uma mensalidade que varia em torno de R$ 200. São páginas criminosas que reúnem cadastros vazados do CadSUS, da Senatran (Secretaria Nacional de Trânsito), da Receita Federal, do INSS (Instituto Nacional de Segurança Social), da empresa privada Boa Vista e do Sinarm (Sistema Nacional de Armas), da Polícia Federal.

03/12/2021 - Rede de malware Emotet usa PDFs falsos para atingir vítimas (Canal Tech)

03/12/2021 - Microsoft usa parcerias e programas bug bounty como chave para maior segurança (Canal Tech)

03/12/2021 - É golpe! Falsas ofertas de emprego chegam por SMS e WhatsApp para roubar dados (Canal Tech)

05/12/2021 - Brasil é alvo de 70% das ameaças online que usam a Covid como isca (R7)

06/12/2021 - Atletas e ex-atletas do Sport são vítimas de golpe no WhatsApp; confira (net10)

06/12/2021 - Mulheres são presas por participar de golpe na venda de caminhonetes que causou prejuízo de R$ 300 mil (Alagoas 24 horas)

Cinco mulheres foram presas pela Polícia Civil suspeitas de participar de golpes na venda de caminhonetes em Goiás. O grupo clonava anúncios na internet e se passava por parentes dos vendedores e compradores para conseguir enganar os envolvidos e ficar com o dinheiro. O prejuízo causado é de mais de R$ 300 mil.

06/12/2021 - Empresas novas possuem 400% mais chances de serem vítimas de fraude, revela estudo (The Hack)

Empresas novas, criadas a partir de janeiro de 2020, possuem 425% mais chances de sofrerem tentativas de fraude, identificou um estudo interno da ClearSale, firma brasileira de soluções de antifraude. O estudo também identificou que o furto de identidade (falsificação ideológica), a fraude de declaração de bens e a negociação indevida estão entre os três golpes mais aplicados em empresas criadas durante a pandemia da COVID-19.

06/12/2021 - Ataque a distribuidora de energia destrói 25 anos de dados (CISO Advisor)

A distribuidora de energia elétrica Delta-Montrose Electric Association (DMEA), do estado norte-americano do Colorado, está há um mês sem a possibilidade de cobrar as contas de luz por causa de um ataque de ransomware ocorrido no dia 7 de novembro. O ciberataque destruiu todos os seus dados armazenados nos últimos 25 anos e obrigou a empresa a desligar 90% de seus sistemas internos de computador.

06/12/2021 - IKEA é vítima de phishing complexo e tem seu serviço de email interno comprometido (The Hack)

06/12/2021 - Hackers roubam R$ 1 bilhão da corretora de criptomoedas BitMart (TecMundo)

06/12/2021 - Gravatar sofre vazamento de dados de 114 milhões de usuários (TecMundo)

06/12/2021 - Golpe de phishing usa falsa confirmação de dados para verificados no Twitter (Canal Tech)

06/12/2021 - Empresas abertas na pandemia são 452% mais vulneráveis a fraudes (Canal Tech)

06/12/2021 - 17% dos brasileiros já tiveram dados usados em fraudes! Saiba como evitar! (AllowMe)

06/12/2021 - Cinco mulheres são presas suspeitas de participar de golpe na venda de caminhonetes que causou prejuízo de R$ 300 mil (G1)

06/12/2021 - 0 News (Papo Binário)
  • Mozilla corrige falha crítica em biblioteca de segurança
  • EWDooR: Botnet ataca ativos da AT&T
  • Ex-funcionário da Ubiquiti é indiciado por roubo massivo de dados da empresa
  • Novo malware se disfarça de processo do web server NGINX
  • Roteadores de nove fabricantes concentram mais de duzentas vulnerabilidades

    07/12/2021 - Golpistas oferecem testes da variante Ômicron para roubar dados (TecMundo)

    07/12/2021 - Gangue do ransomware Cuba consegue extorquir R$ 250 milhões (TecMundo)

    07/12/2021 - Facebook é condenado a indenizar usuário que teve conta hackeada no Brasil (Canal Tech)

    O 3º Juizado Especial Cível de Brasília determinou que o Facebook pague uma indenização de R$ 3 mil reais, referentes a danos morais, pelos transtornos causados a um usuário que teve a conta invadida após usar o wi-fi do Aeroporto Internacional do Rio de Janeiro.


    10/12/2021 - Por que Brasil é alvo de hackers? Fiscalização fraca e competição explicam (UOL)

    12/12/2021 - Acórdão do TJ-SP abre discussão sobre aplicação de indenizações pela LGPD (Conjur)

    12/12/2021 - Máquinas com Log4j-2 vulnerável se tornam alvo do dia (CISO Advisor)

    Quem usa a biblioteca Log4J-2 do Apache precisa fazer update imediatamente: estão ocorrendo escaneamentos em massa pelo Censys e pelo Shodan, feitos por hackers que buscam essas versões vulneráveis para plantar e executar código malicioso. Isso ocorre desde que o pesquisador Chen Zhaojun, do Alibaba Cloud Security Team, identificou no dia 09/12 que essa vulnerabilidade já estava sendo explorada.

    13/12/2021 - Volvo admite incidente e roubo de dados de pesquisa (CISO Advisor)

    13/12/2021 - 0 News (Papo Binário)
    • Ministério da Saúde sofre ataque e obrigatoriedade do passaporte da vacina ao entrar no Brasil é adiada
    • Zero-day em biblioteca do Apache está sob forte exploração
    • Atividade de grupo relativamente desconhecido é documentada
    • Vulnerabilidade séria em sistemas Windows é corrigida parcialmente pela Microsoft
    • Novo estudo aponta para a frequente fragilidade de dispositivos MikroTiK

    14/12/2021 - Segurança da Informação: Mais de 800 mil ataques em 72 horas na brecha Log4j (Convergência Digital)

    14/12/2021 - CGU, PRF e IFPR confirmam que foram alvos de ataque cibernético (TecMundo)

    14/12/2021 - Identificados os primeiros ataques com o Log4Shell para distribuir ransomware (em inglês) (The Record)

    14/12/2021 - Nem todos somos “mestres” a gerir passwords, mas estes são os 10 piores exemplos de 2021 (SAPO)

    15/12/2021 - Aprovada adesão do Brasil à Convenção sobre o Crime Cibernético (Agência Senado)

    15/12/2021 - Ministério da Saúde alerta para golpes por e-mail (Convergência Digital)

    Segundo comunicado do Ministério da Saúde, criminosos estão enviando mensagens falsas por e-mail utilizando como gancho o argumento de envio do certificado de vacinação contra a covid-19.

    15/12/2021 - Grindr é multado por compartilhar dados de usuários sem autorização (TecMundo)

    A plataforma de relacionamentos Grindr foi multada em 6,3 milhões de euros — cerca de R$ 40,5 milhões em conversão direta de moeda — por compartilhar dados de usuários sem a devida autorização, com base na lei europeia de proteção de dados (GDPR). Detalhes como localização via GPS, endereço de IP, idade e gênero dos usuários eram coletados e compartilhados com terceiros sem o consentimento prévio e válido da comunidade.


    16/12/2021 - Golpe de R$ 2,5 mi pela internet usava lojas de celular para lavar dinheiro (Tecnoblog)

    O Tribunal de Justiça do Distrito Federal e Territórios (TJDFT) condenou 32 integrantes de uma quadrilha que praticava golpes pela internet que causaram um prejuízo total de R$ 2,5 milhões às vítimas. A organização era especialista em furtos mediante a golpes para acessar indevidamente contas bancárias de terceiros, e atuava em diversos estados e no Distrito Federal. Os criminosos tinham um extenso esquema de lavagem de dinheiro por meio de empresas de fachada, incluindo loja de celulares, um bar de narguilé e uma firma de materiais de construção. No total, os integrantes da quadrilha foram sentenciados a 257 anos na prisão.

    16/12/2021 - Apenas 2% das empresas segmentam rede para proteger ativos (ANPPD)

    16/12/2021 - Hackers roubam milhões de banco na Rússia em segundos (CISO Advisor)

    O grupo de hackers russo MoneyTaker conseguiu roubar uma grande quantia de dinheiro de vários clientes por meio do comprometimento de uma estação de trabalho automatizada operada por um cliente do Banco da Rússia. Embora os investigadores não tenham revelado o nome do banco afetado, fonte próxima do Banco Central russo garante que as perdas podem chegar a 500 milhões de rublos. O ataque começou em meados de 2020, quando conseguiram comprometer um dispositivo físico instalado em uma rede afiliada ao banco, dando acesso a rede bancária. Em janeiro deste ano os criminosos obtiveram acesso total ao sistema de transferência interbancária do sistema bancário russo, além de acesso a chaves digitais para assinatura de pagamentos que passam pelo Banco Central.

    16/12/2021 - Operação Mandaces: PC cumpre mandados contra associação criminosa por invadir sistemas informáticos e falsificar documentos (Policia Civil)

    17/12/2021 - Invasores usam Log4j para baixarem ransomware, web shells, backdoors (Minuto da Segurança)

    17/12/2021 - Log4J: falha atingiu mais de 60% das redes corporativas no Brasil (Convergência Digital)

    17/12/2021 - JPMorgan multada em USD $200 milhões por permitir que os funcionários usem o WhatsApp para evitar órgãos reguladores (em inglês)

    Segundo a SEC, o JPMorgan Securities admitiu falhas na contabilidade e concordou em pagar USD $125 milhões para liquidar os encargos. Outro regulador, a Commodity Futures Trading Commission, multou o banco em US $ 75 milhões. A SEC disse que o JPMorgan reconheceu que, pelo menos de janeiro de 2018 a novembro de 2020, seus funcionários usaram dispositivos pessoais para enviar textos, mensagens de WhatsApp e e-mails sobre os negócios da empresa. Até mesmo os gerentes e funcionários seniores responsáveis pela conformidade usaram seus dispositivos pessoais para comunicar assuntos de negócios sensíveis, segundo a SEC.

    19/12/2021 - Jovem sofre golpe ao tentar fazer empréstimo e aumentar 'score' em SP; perfis usaram fotos de mulheres (G1)

    20/12/2021 - Ataque cibernético afeta PF e PRF; policiais têm dados apagados (Tecmundo)

    20/12/2021 - Murilo Benício compra Apple Watch Series 6, recebe pedra e processa Carrefour (Tecnoblog)

    20/12/2021 - Receita Federal decide liberar dados de contribuintes no mercado (Minuto da Segurança)

    A Receita Federal do Brasil publicou a Portaria número 81, assinada em 11 de novembro de 2021, na qual “estabelece regras para o fornecimento, a terceiros, de dados e informações no interesse de seus titulares“, sejam pessoas físicas ou jurídicas. Essa portaria cria o sistema “Compartilha Receita Federal”, que permite que o contribuinte autorize o órgão a fornecer os seus dados pessoais e fiscais para terceiros.

    20/12/2021 - A vulnerabilidade no Log4j agora está sendo usada para instalar o malware bancário Dridex (em inglês) (Bleeping Computer)

    20/12/2021 - 0 News (Papo Binário)
    • Log4Shell se consolida como uma das vulnerabilidades mais sérias da história
    • Ataque contra o Ministério da Saúde pode ter afetado outros 20 órgãos do governo
    • Slack esteve no centro de um ataque ao setor de aviação
    • Campanha de espionagem foca também em alvos industriais
    • Emotet incorpora beacons do Cobalt Strike em seus ataques
    • Exploit FORCEDENTRY tem detalhes de sua execução publicados


    22/12/2021 - Ataque hacker desvia mais de R$ 500 mil da Prefeitura de Euclides da Cunha Paulista (vídeo) (G1 / Fronteira Notícias)

    22/12/2021 - Black Friday 2021 não vende, mas ataques cibernéticos dispararam (The Hack)

    Segundo estudo da Axur, a Black Friday e a Cyber Monday 2021, duas das datas mais aguardadas do ano para o comércio digital, foram marcadas pela diminuição das vendas e pelo aumento drástico no número de ataques cibernéticos, golpes e fraudes. A empresa identificou que o número de vendas gerais (total de vendas) foi de 37% menor do que o do ano passado), e registrou um aumento de 58,5% no número de perfis falsos em redes sociais, além de um aumento de mais de 135% em campanhas de aplicativos fraudulentos.

    23/12/2021 - Bandidos reciclam golpe velho para invadir apps de banco 'pelo ar' (UOL)

    O roubo de linha telefônica, através do golpe do SIM-swap (um tipo de ataque em que criminosos transferem o número de telefone de uma vítima para outro chip), tem sido utilizado por criminosos para roubar dados pessoais e invadir contas bancárias e aplicativos de e-commerce e delivery das vítimas. Os criminosos se aproveitam de serviços que usam SMS como sistema de recuperação de senhas para conseguir acesso a aplicativos utilizados pela vítima. O esquema criminoso também usa informações pessoais e logins vazados das vítimas, e até mesmo funcionários infiltrados ou cooptados dentro das operadoras para realizar a troca de chip.

    23/12/2021 - Shopee firma termo com Procon-SP para agilizar retirada de anúncios ilegais (Tecnoblog)

    23/12/2021 - CISA, FBI e NSA publicam um alerta em conjunto e um scanner para vulnerabilidades do Log4j (em inglês) (The Hacker News)

    23/12/2021 - Correios viram alvo de hackers e site está fora do ar (Tudocelular)

    23/12/2021 - Anatel descobre programa espião em aparelho 'gatonet' mais vendido do país (UOL)

    24/12/2021 - Ransomware dirigido cresce 150% na América Latina (CISO Advisor)

    24/12/2021 - Dridex trolla funcionários com falsos e-mails de rescisão de empregos (Minuto da Segurança)

    Uma nova campanha de phishing do malware bancário Dridex está usando e-mails falsos de rescisão de funcionários como uma isca para abrir um documento Excel malicioso, que então trolla a vítima com uma mensagem de saudação de boas festas. Assim que o arquivo infectado com o malware Dridex é baixado e executado, ele começa a instalar um malware adicional, roubando credenciais e executando outros comportamentos maliciosos.

    27/12/2021 - Bot exibe de graça dados pessoais até de políticos (CISO Advisor)

    27/12/2021 - Dowloads pirata do filme "Homem Aranha: Sem volta para casa" contém malware para mineração de criptomoedas (em inglês) (The Hacker News)

    27/12/2021 - Novo Malware para Android ataca clientes do banco brasileiro Itaú Unibanco (em inglês) (The Hacker News)

    Pesquisadores identificaram um novo malware bancário para Android direcionado a clientes do banco Itau Unibanco. Distribuído através de sites falsos similares a loja Google Play, o app malicioso utilizava o nome de “sincronizador (ITAU_SINC). Uma vez instalado, o app manipulava a entrada de dados do usuário para executar transações fraudulentas.

    27/12/2021 - Detectados mais de 1.200 toolkits de phishing capazes de interceptar 2FA (em inglês) (The Record)

    29/12/2021 - LastPass Master Passwords pode ter sido comprometida (Minuto da Segurança)

    Diversos usuários do LastPass relataram tentativas de login usando senhas mestras corretas de vários locais, mas a empresa diz que não há evidência de violação de dados e os acessos são resultado de senhas compartilhadas coletadas de violações de outros serviços.

    29/12/2021 - Você armazena senhas no próprio browser? Malware RedLine é motivo para repensar (Olhar Digital)

    Um novo malware, disponível na darkweb tem atacado o armazenamento de senhas em browsers. Batizado de RedLine, ele funciona com navegadores Chromium, como Chrome, Opera e Microsoft Edge.

    29/12/2021 - Plataforma de criptomoedas sofre ataque de ransomware relacionado ao Log4J (em inglês) (Data Breach Today)

    30/12/2021 - Exclusivo: Vivo indexa endereços de acesso a configurações de modem no Google (Tecnoblog)

    30/12/2021 - Grupo alega ter invadido a Claro e exibe telas (CISO Advisor)

    O grupo de hackers Lapsus$, o mesmo que assumiu a responsabilidade pelo ataque ao Ministério da Saúde, anunciou ter invadido computadores da operadora de telecomunicações Claro. O grupo publicou um comunicado em seu grupo no Telegram afirmando que a invasão atingiu as principais empresas do grupo, Claro, Embratel e Net, com acesso a cerca de 10 petabytes de dados e diversos sistemas corporativos, incluindo o sistema Vigia, utilizado pelos organismos policiais para monitoramento autorizado pela Justiça. O grupo divulgou 11 imagens supostamente obtidas pelo acesso remoto não autorizado em ambientes da Claro.

    30/12/2021 - A Sega deixou um enorme banco de dados com informações de clientes aberto a hackers (em inglês) (Techradar)

    Pesquisadores da empresa de segurança VPN Overview encontraram arquivos confidenciais da Sega Europa armazenados de forma insegura em um banco de dados acessível ao público armazenados, em um bucket do Amazon Web Services (AWS) S3 configurado incorretamente. Eles também foram capazes de obter vários conjuntos de chaves AWS que lhes deram acesso de leitura e gravação ao armazenamento em nuvem da Sega Europa.

    31/12/2021 - Ransomware na empresa de águas de Mato Grosso do Sul (CISO Advisor)

    Os sistemas de TI da Sanesul, a Empresa de Saneamento de Mato Grosso do Sul, sofreram um ataque de ransomware que comprometeu toda a operação da empresa, que foi obrigada a suspender o atendimento a clientes, presencial e online, em 68 municípios de Mato Grosso do Sul.

    31/12/2021 - Perfil da Unimed Fortaleza no Instagram sofre ataque hacker (G1)

    Veja também o vídeo dos incidentes do mês de Dezembro de 2021 da CECyber. Eles destacaram a  vulnerabilidade do Log4j, que eu cobri extensivamente aqui no blog.


    janeiro 14, 2022

    [Segurança] Checklist de segurança online

    O pessoal da IDWall criou um checklist online sobre segurança, para ver se você está seguindo boas práticas de proteção dos seus dados e sua privacidade. O checklist é bem feito, e você vai marcando as opções conforme vai lendo. Só faltou ganhar uma nota no final para o usuário saber se está indo bem ou não. Há uma barrinha no rodapé da página, mas não é tão intuitivo como se o site desse uma nota final (ex, "você ganhou 7 de 10").

    O mais legal desse checklist, na verdade, é que para cada pergunta eles incluem alguns links com dicas sobre o assunto e indicam as principais ferramentas que podem ser usadas.


    E aí, que tal dar uma olhada? Clique aqui para começar.

    janeiro 11, 2022

    [Segurança] Golpe do falso empréstimo

    Quem já precisou de empréstimo em banco sabe que pode enfrentar muita burocracia e altas taxas. Não é a tôa, portanto, que os criminosos costumem aproveitar esse momento para oferecer falsas promessas de empréstimos, com condições atrativas.

    Agora que estamos chegando ao final do período de crise econômica causado pela pandemia do novo Coronavírus, a busca por empréstimos cresceu, motivada por famílias que sofreram com o aumento no desemprego e aumento do endividamento nesse período de vacas magras. Segundo uma pesquisa da Serasa, 8 em cada 10 brasileiros recorreram a empréstimos durante a pandemia do Covid-19.

    Com o crescimento da demanda por empréstimos pessoais, os fraudadores se aproveitam para aplicar diversos golpes relacionados a concessão de crédito, muitas vezes utilizando sites falsos ou perfis fakes em redes sociais para enganar suas vítimas com promessas de empréstimos vantajosos.

    Uma prática muito comum consiste em pedir um valor antecipado para a vítima, que transfere o dinheiro para o criminoso e nunca mais recebe contato do mesmo.


    Normalmente usam a desculpa de ser uma taxa para liberação do empréstimo, ou dizem ser uma comissão, pagamento de imposto ou seguro. Se a vítima estiver negativada, ou seja, tem seu CPF cadastrado em sites de proteção de crédito, é comum ver casos em que os criminosos também aproveitam para solicitar uma taxa extra para liberar o empréstimo, ou podem até mesmo prometer "cancelar o cadastro negativo". A vítima, desesperada, acaba acreditando na falsa promessa e paga as taxas pedidas pelos criminosos.

    Segundo determinação do Banco Central, qualquer taxa ou valor cobrado do cliente que tomou crédito deve ser embutido nas parcelas, e nunca cobrado antecipadamente. #ficaadica

    Há pouco que possamos fazer para prevenir esse golpe, pois ele é baseado estritamente na engenharia social que ocorre no contato direto entre o fraudador e a vítima. E, nessa hora, os fraudadores são muito criativos e sabem como se aproveitar desse momento de vulnerabilidade das vítimas.

    Veja algumas dicas que eu separei:
    • Use sempre os canais oficiais de bancos conhecidos e, ao solicitar empréstimo ao banco, use o app ou o numero da central de atendimento;
    • Desconfie se receber contato de estranhos oferecendo crédito;
    • Desconfie de ofertas muito vantajosas, com taxas de juros muito abaixo do mercado, sem restrições, etc;
    • Se você não estiver falando diretamente com um banco conhecido, pesquise se a empresa existe, visite o seu site e busque por ela no site do Banco Central. Verifique a reputação dela em sites de reclamações, como o Reclame Aqui;
    • Desconfie se, na troca de mensagens com o representante da financeira, tiver erros de digitação, erros de português e se a pessoa mandar mensagens fora do horário comercial;
    • Desconfie se a pessoa com quem você está falando pedir adiantamento de valores, seja taxa, comissão, seguro, etc. Nunca pague valores adiantados para liberação do crédito!
    • Se, mesmo assim, você aceitar pagar uma taxa para receber o empréstimo prometido, verifique cuidadosamente os dados da conta de destino, se realmente é uma conta PJ do banco ou financiadora com quem você está falando. Fuja se for uma conta de pessoa física!
    Para saber mais:

    [Segurança] Vem aí o evento Hacker Cute

    Neste próximo sábado, dia 15 de Janeiro, vai acontecer a primeira edição do Hacker Cute, um evento de segurança novo, criado recentemente, com a idéia de ajudar ao próximo.


    Serão 15 palestrantes, divididos em 2 trilhas transmitidas online com palestras excelentes sobre segurança da informação, tecnologia e gestão. A grade de palestras está disponível online no site do Hacker Culture - e no Instagram do Hacker Cute (@h4ckercut3).

    Além as palestras, serão sorteadas bolsas de estudos e ingressos para outros eventos.

    A idéia surgiu como uma forma de ajuda uma amiga de toda a equipe do evento, Isabella Leal, que foi diagnosticada com fibromialgia, uma doença caracterizada pelas dores crônicas em todo o corpo. Como o custo dos tratamentos é muito alto, surgiu a idéia de criar um evento para arrecadar dinheiro para os remédios, consultas e cirurgias.

    Para se inscrever, será necessário uma doação de, no mínimo, R$ 15,00 e preencher o formulário de inscrição.

    Anote na sua agenda:
    Para saber mais:

    janeiro 10, 2022

    [Carreira] Não se esqueça da Carta de Oposição ao SINDPD 2022

    Se você trabalha na área de tecnologia ou segurança, ou simplesmente trabalha em uma empresa de tecnologia, e se você está filiado ao Sindicato dos Trabalhadores em Processamento de Dados e Tecnologia da Informação do Estado de São Paulo (SINDPD), então não se esqueça de fazer sua carta de oposição a contribuição mensal! 

    Segundo a convenção coletiva de trabalho para 2022/2023, cláusulas 58 e 60, as empresas devem descontar em folha dos empregados associados ao SINDPD uma "Mensalidade Associativa" de R$ 15 por mês e a "Contribuição Assistencial", também descontada mensalmente do salário de todos os trabalhadores, sindicalizados ou não, representando 1% do salário, limitado a até R$ 50. Ela não é obrigatória, mas o empregado deve manifestar formalmente que deseja se opor ao desconto.

    Por isso, todos os trabalhadores que são filiados ou cuja empresa é filiada ao SINDPD (confira na sua carteira de trabalho / CTPS), tem o prazo de dez dias úteis, de 03 a 12 de Janeiro, para entregar pessoalmente a carta de oposição a Contribuição Assistencial em 2022. O prazo para entregar a carta oposição em 2023 já está previsto também: de 03 a 12 de janeiro de 2023.



    Não se esqueça:
    • Prazo para entrega da carta de oposição: 03 a 12/01/2020, de segunda a sábado, das 9h as 17h
    • Local de entrega em São Paulo, Capital: Clube Atlético Juventus, na R. Comendador Roberto Ugolini, 152 (Mooca), CEP 03125-010
    Para saber mais:
    PS (adicionado em 13/01/2023): As informações sobre a carta de oposição ao Sindpd em 2023, que deveriam ter sido entregue entre os dias 03 e 12/01, estão disponíveis nessa notificação.
    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.