O treinamento promete ser uma sólida introdução sobre Análise de Malware em ambientes Windows, aonde o aluno aprenderá o que é Análise de Malware, como e onde ela é aplicada, além de conceitos importantes por trás de diversas técnicas utilizadas por malwares a fim de analisá-los. O curso também vai abordar como subverter essas técnicas utilizando engenharia reversa.
O innstrutor é o Leandro Fróes, pesquisador de segurança e analista de malware numa das maiores empresas de software de segurança do mundo, a Trend Micro, e autor de vários artigos no portal Mente Binária. O monitor do treinamento é ninguém menos do que o Fernando Mercês, fundador do Mente Binária e pesquisador de ameaças com muitos anos de experiência na área, além de criador de várias ferramentas livres.
O treinamento será nos dias 18 e 19 de novembro desse ano, presencial (na FIAP em São Paulo), e custa R$ 2.450,00. Além de oferecer um boom no seu conhecimento e na carreira, o dinheiro arrecadado vai ajudar a manter e criar mais conteúdos gratuitos e projetos sociais no Mente Binária (como, por exemplo, o Do Zero Ao Um) ;)
Quer ter um gostinho de como será o treinamento? Veja essa live do Fernando Fróes sobre o assunto:
O site The Joy of Tech (@JoyofTech) é um repositório das charges criadas desde 1999 pelos cartunistas Nitrozac e Snaggy, com temáticas sobre o uso da tecnologia.
Eu separei alguns cartoons que achei mais legais, na temática e na abordagem, e que são relacionados a segurança e privacidade, começando com um cartoon fantástico e que ficou bem popular, sobre ransomare em dispositivos IoT domésticos:
As charges estão disponíveis online. O legal é que a política de licenciamento de uso deles é relativamente branda para um uso bem esporádico e, para quem curtiu o trabalho, é possível fazer doações :)
Dentre as diversas ações de conscientização que ocorreram nessa semana, em função da Semana da Segurança Digital promovida pela Febraban, uma das que eu considerei mais legal foi o Bingo da Segurança publicado pelo C6 Bank no Instagram:
Eu destaquei ele pois o "bingo" é um jeito simples e divertido de destacar os principais cuidados que devem ser feitos pelos clientes das instituições bancárias para prevenir fraudes:
Configurar o bloqueio automático da tela do celular, com uso de senha para desbloquear;
Desabilite as exibição das notificações quando estiver com a tela bloqueada. Esse é um recurso que os criminosos utilizam para visualizar as mensagens ao tentar resetar as senhas - mesmo quando o celular está travado;
Habilitar a autenticação de dois fatores sempre que for possível - incluindo nas suas redes sociais, e-mail pessoal e no WhatsApp. Os apps bancários normalmente já tem esse recurso ativo;
Utilizar senhas fortes, com letras, números e, se possível, caracteres especiais;
Ao realizar compras online, sempre utilizar o cartão virtual do seu banco, pois se o cartão vazar, não será possível realizar compras com ele pois os dados do cartão virtual são válidos por um curto tempo;
Ter a biometria como fator adicional de autenticação em seus apps;
Ao realizar uma compra com cartão, sempre verificar o valor digitado na maquininha e, se não estiver legível (ou a tela quebrada, por exemplo), não digite a senha - recuse a transação;
Mantenha habilitada a função de rastreamento do celular, pois ela permite que, em caso de furto ou roubo, você consiga apagar remotamente os dados e apps do seu aparelho - evitando, assim, que o criminoso tenha acesso a eles;
Contrate o seguro contra roubos das instituições financeiras, pois isso ajuda a diminuir seu prejuízo em caso de acesso indevido sua conta corrente.
O Cert.br lançou há pouco tempo um novo O fascículo sobre Furto de Celular como parte da sua boa e tradicional Cartilha de Segurança. Esse fascículo, que está disponível gratuitamente online (em PDF),. mostra como se preparar antecipadamente para reduzir os prejuízos e o que fazer caso ocorra um furto do aparelho.
Além desse fascículo, repleto de dicas importantes, o NIC.br também criou vários vídeos bem curtos (15 segundos) do projeto Cidadão na Rede, disponíveis no YouTube, que abordam várias dicas relacionadas a este fascículo:
As ações tradicionais de conscientização estão mortas! Nos tempos atuais, aonde parte da força de trabalho pode estar remota (graças a adoção do home office e trabalho híbrido em várias empresas), as campanhas tradicionalmente realizadas no ambiente de escritório – como posts, banners e ações teatrais – não funcionam mais para todos os colaboradores. Por isso mesmo, precisamos pensar em novas formas de atrair a atenção dos funcionários e adequar nossa comunicação para o público atual.
Mas não se apresse... antes de mais nada, lembre-se que para ter um programa de conscientização eficaz, você precisa de muito planejamento, de uma estratégia clara, de ter ações contínuas e, principalmente, apoio da alta gestão. Conscientização é muito mais do que fazer um treinamento anual e realizar testes de phishing periodicamente.
Eu juntei aqui algumas dicas e sugestões simples para construir uma campanha de conscientização na sua empresa, pensando nos desafios atuais para criar uma comunicação que possa atingir e engajar os colaboradores.
Ser curto, claro e objetivo, indicar os riscos e recomendações;
As mensagens tem que ser curtas e simples, ninguém mais tem tempo para ler um artigo na Intranet e visitar 5 sites na referência. Assistir um treinamento online de 1 hora de duração é quase impossível! Sua mensagem tem que caber numa sequencia de tweets, pois atualmente as pessoas querem consumir conteúdos curtos e objetivos, sem tempo nem paciência para ver um vídeo de 10 minutos, que seja;
Prefira "micro treinamentos" (treinamentos curtos e sobre temas específicos) do que treinamentos longos. Os treinamentos tradicionais, longos e com agenda repleta de assuntos, abordam tantos temas que as as pessoas acabam não absorvendo todos o conteúdo;
Ser algo prático e aplicável no dia-a-dia
Melhor ainda se for algo que o usuário conecta com sua vida pessoal (por exemplo, ao falar sobre 2FA/MFA, lembrar o usuário de colocar senha no seu WhatsApp pessoal);
Traga exemplos reais de ciber ataques e suas consequências. Há centenas de exemplos na mídia, então aproveite e escolha um ou dois relacionados ao seu segmento de atuação ou ao dia-a-dia dos usuários (ex, vazamento de dados em uma rede social ou site conhecido) e que tenham impacto marcante. Traga também exemplos internos, por exemplo, mensagens reais de phishing recebida pelos usuários;
Seja divertido, pois o bom humor chama mais a atenção e facilita a retenção da mensagem. Use memes, charges, vídeos engraçados. Faça desafios e perguntas descontraídas para a audiência (o Kahoot! e o Mentimeter são ferramentas que podem facilitar sua interação com a platéia);
A comunicação tem que ser multi-canal, pois cada pessoa tem seu canal de comunicação preferido. Isso inclui e-mails, posts na intranet, mensagens no aplicativo de comunicação corporativa (por exemplo, se você tiver um canal de avisos de segurança), posts nas redes sociais, imagens nas TVs do escritório, etc.
Nenhum canal vai atingir a maioria dos colaboradores, e sempre vai ter gente que não vai ver nenhum deles;
A comunicação deve ser sincronizada em todos esses canais (em série ou paralelo, de acordo com a necessidade);
A comunicação deve utilizar múltiplas formas e linguagens, desde um texto simples, um “tweet”, vídeos, treinamentos curtos ou longos, questionários e desafios (quiz), etc.
Segmente a campanha para cada público alvo. Há ações que se aplicam para toda a empresa, mas também devemos prever ações para times específicos, de acordo com suas necessidades e conhecimentos específicos. Por exemplo, o time de desenvolvimento deve receber treinamentos sobre práticas de desenvolvimento seguro e podem gostar de uma atividade do tipo "Capture The Flag" (CTF). O time de facilites, principalmente as recepcionistas e seguranças, devem receber treinamento sobre engenharia social. E por aí vai, levante as necessidades de cada time;
Insira o tema segurança na rotina de trabalho das pessoas. Planeje ações junto com a rotina de trabalho dos times específicos, pois atualmente as pessoas estão tão atarefadas que resistem a ter que realizar treinamentos ou assistir reuniões não relacionados diretamente com suas atividades. Uma ótima dica é incluir conteúdo de segurança nos encontros e treinamentos dos outros times - como abrir 5 ou 10 minutos para você nas reuniões periódicas dos times. Assim é mais fácil ter a atenção do pessoal;
Leve a segurança também para o dia-a-dia do colaborador e sua família! Assim, o funcionário consegue associar suas atitudes a benefícios palpáveis para ele mesmo, e para atividades de sua rotina. Por exemplo, muitas empresas criam suas cartilhas de segurança para resumir as políticas, regras e orientações da empresa. Mas, que tal fazer uma versão com dicas para a família e amigos? Ao fazer uma campanha sobre uso de MFA (múltiplos fatores de autenticação) na VPN, por exemplo, inclua dicas de como ativar o MFA nas contas nas redes sociais, e sua importância;
Não deve ser “punitivo”, pois todos erram. A sua campanha deve ter um tom positivo e focar no lado educacional;
O apoio do time executivo é fundamental para mostrar a relevância do tema. por exemplo, quando o executivo convida o pessoal para os treinamentos, quando está presente nos treinamentos ou ações junto com os demais colaboradores, ou quando compartilha um depoimento sobre a importância da segurança para o negócio.
Além disso, duas estratégias muito comuns de conscientização hoje em dia, com sucesso, são o uso de gamificação e programas de "Security Champions".
Lembre-se: crie métricas para avaliar a eficácia e a maturidade do seu programa de conscientização.
O pessoal da IBLISS fez, recentemente, uma live sobre Conscientização com 4 profissionais excelentes da área, vale muito a pena assistir.
No dia 24/10/2022 eu apresentei uma palestra no GTS 37 sobre os "Desafios para construir uma cultura e conscientização em Segurança". O vídeo está disponível online:
Pelo terceiro ano consecutivo, a Febraban está organizando, junto com os bancos brasileiros, uma semana inteira de ações de conscientização sobre golpes e fraudes, a Semana Da Segurança Digital.
A campanha, batizada de Semana Da Segurança Digital, acontece nessa semana, de 24 a 28 de outubro, com diversas ações nas redes sociais usando a hashtag oficial que identificam a campanha: #SemanaDaSegurançaDigital.
O foco dessa campanha são os golpes no WhatsApp, da Falsa Central de Atendimento, golpes do falso boleto (que também incluem via PIX e transferências), além de tratar de Phishing e de proteção de dados no celular e dispositivos móveis. Mas essa é apenas a ponta do iceberg. Segundo a própria FEBRABAN, os principais golpes atualmente são:
Golpe da Falsa Central de Atendimento: O fraudador entra em contato com a vítima se passando por um falso funcionário do banco ou empresa com a qual ela tem um relacionamento ativo. Informa que sua conta foi invadida, clonada ou outro problema e, a partir daí, solicita os dados pessoais e financeiros da vítima. Sempre entre em contato com a instituição financeira através dos canais oficiais. O banco nunca liga para o cliente pedindo senha nem o número do cartão;
Golpe do Falso Motoboy: O golpe começa quando o cliente recebe uma ligação do golpista que se passa por funcionário do banco, dizendo que o cartão foi fraudado. O falso funcionário solicita a senha, pede que o cartão seja cortado (mas que o chip não seja danificado) e diz que o cartão será retirado na casa do cliente para investigação. Os bancos nunca pedem o cartão de volta nem mandam portadores até a sua casa para buscá-lo;
Golpe no WhatsApp: Os golpistas conseguem acesso ou clonam a conta de WhatsApp para enviar mensagens para os conhecidos, pedindo dinheiro emprestado. Desconfie de pessoas pedindo dinheiro ou seus dados, e confirme a identidade de quem está do outro lado. Proteja o seu WhatsApp com a “Confirmação em Duas Etapas”. Nunca compartilhe o código de segurança.
Golpe da troca do cartão: Golpistas prestam atenção quando você digita sua senha na máquina de compra e depois trocam o cartão na hora de devolvê-lo. Fique sempre atento na hora das compras e confira se é mesmo o seu nome impresso no cartão devolvido;
Golpe do link falso: Criminosos usam ofertas muito atrativas por e-mail ou redes sociais como iscas para que os usuários informem seus dados pessoais, de conta, cartões e senhas. Essas mensagens também podem instalar vírus. Sempre desconfie de mensagens que você não pediu ou ofertas muito vantajosas. Em caso de dúvida, não clique;
Golpe do falso leilão: Golpistas criam sites falsos de leilão, anunciando produtos por preços bem abaixo do mercado. Depois pedem transferências, depósitos e até dinheiro via Pix para assegurar a compra, mas nunca entregam as mercadorias pagas. Sempre pesquise sobre a empresa de leilões em sites de reclamação e confira o CNPJ do leiloeiro.
Golpe do delivery/maquininha quebrada: No momento da entrega de uma compra online, o motoboy apresenta uma maquininha com o visor danificado ou se posiciona de uma forma que a vítima não veja o preço cobrado na tela., num valor superior ao pedido. Mesmo se a compra foi paga pelo aplicativo, a vítima é convencida que ocorreu um problema e é cobrada novamente, ou o motoboy cobra algum frete adicional. Não aceite maquininhas quebradas e sempre confira o valor que aparece no visor. Prefira pagar diretamente no aplicativo de compra;
Golpe do falso boleto: O emissor do boleto falso usa os dados pessoais da vítima e envia uma falsa correspondência ou email com um boleto de cobrança em nome de uma loja ou empresa conhecida. Ao pagar um boleto adulterado, o valor é direcionado para a conta do fraudador ao invés do verdadeiro credor. Para reduzir as chances de cair nesse golpe, é essencial ficar atento aos dados do beneficiário do boleto;
Roubo de celulares: Os criminosos roubam aparelhos celulares, preferencialmente desbloqueados, para obter acesso a aplicativos e realizar fraudes. Os criminosos buscam por senhas anotadas ou dados em e-mails, redes sociais, chats de conversa, blocos de notas ou outros apps para recuperar ou mudar as senhas de aplicativos de bancos. Nunca use o recurso de “lembrar/salvar senha” e jamais anote ou compartilhe suas senhas;
Golpe do consignado: O fraudador se passa por um funcionário de instituições financeiras e oferece empréstimos consignados com condições vantajosas. Em seguida, pede ao consumidor que faça um depósito referente a taxas de cadastro ou pede antecipação de alguma parcela para que possa liberar o dinheiro às vítimas. Outra tática consiste em utilizar os dados pessoais e financeiros da vítima para pedir empréstimo em nome delas e, em seguida, contacta-las em nome do banco alertando sobre o empréstimo indevido e pedindo o retorno dos valores, para supostamente cancelar o empréstimo. O cliente acaba transferindo o dinheiro do empréstimo para o fraudador, e continua com a dívida em seu nome.
Chame suas filhas, filhos, sobrinhas, sobrinhos e indique para todas as mães e pais do seu círculo de amizades: de 26 a 29 de outubro acontecerá o Teckids Day 2022, uma série de atividades voltadas para educação e conscientização de crianças e adolescentes sobre os riscos na Internet.
O Teckids Day é um evento online e gratuito com palestras e oficinas direcionadas às crianças - e aos adultos também. Segue um formato de "bootcamp", ou seja, um conjunto intenso de sessões de palestras e treinamentos oferecidos por profissionais nas áreas de saúde, educação, tecnologia, direito, carreiras e segurança digital. As sessões trazem recomendações e ações práticas, abordando temas como educação sexual na adolescência, o dia a dia de um investigador, como funciona a Internet, perigos e armadilhas, jogos educativos, proteção de dados pessoais de crianças e adolescentes, bullying na escola, entre outros.
De quarta-feira, 26/10 até sexta-feira 28/10 o evento contará com diversas palestras, a partir das 14h. No sábado de manhã o Teckids Day terá oficinas e campeonato das 9h da manhã até o meio dia. A grade de palestras e atividades está disponível no site do evento.
O evento começou no ano passado e esta é a sua segunda edição. Em 2021, foram 28 palestrantes e 839 pessoas inscritas. Ele acontece online, é gratuito e recomendado para crianças a partir de 8 anos de idade.
A Autoridade Nacional de Proteção de Dados (ANPD) tem desenvolvido vários documentos para orientar os diversos agentes de tratamento de dados sobre o tema de proteção de dados pessoais. En seu site, ela mantém um repositório com todas as publicações existentes, incluindo guias, regulamentações, relatórios, estudos e notas técnicas.
Vale a pena aqui destacar as principais resoluções e guias publicados até o momento pela ANPD.
Resoluções da ANPD
RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021 - Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados.
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022 - Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
A letra e o clipe da paródia foram criados para abordar o mercado de cyber segurança, em torno de um cenário em que a empresa poderia sofrer uma invasão e ataque de ransomware - do ponto de vista do time de defesa na equipe de cibersegurança. A intenção, portanto, é provocar se sua empresa está preparada para defender-se de um possível ciber ataque.
Esse é mais um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar principalmente em notícias relacionadas a ameaças, ciber ataques, fraudes e golpes direcionadas a usuários finais no Brasil, ou alguns casos mais relevantes no mundo. Algumas dessas notícias, aquelas que eu considero mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.
Pesquisadores da equipe do 365 Defender, da Microsoft, descobriram um problema no aplicativo do TikTok para o sistema operacional Android que permitia o sequestro de contas com um link malicioso. Quem clicasse no endereço podia dar permissão para postar vídeos, mandar mensagens e editar detalhes do perfil.
Segundo um estudo de pesquisadores das Universidades de Cambridge, Edimburgo e Strathclyde, os ciber ataques relacionados a guerra entre Rússia e Ucrânia tiveram baixo impacto e o aumento dos ataques cibernéticos durou cerca de duas semanas antes de retornar aos níveis anteriores à guerra. De acordo com a pesquisa, a maioria dos ataques foi de baixa complexidade, realizada por cibercriminosos de baixo nível usando ferramentas amplamente disponíveis. Em vez de atacar a infraestrutura crítica, como esperado, os hackers atacaram “sites inofensivos, extintos ou triviais”.
A Samsung divulgou que sofreu uma violação de segurança cibernética no final de julho deste ano, que expôs dados confidenciais de alguns usuários nos Estados Unidos: nome, contato e detalhes demográficos, data de nascimento e data de registro do produto. A empresa afirma que os números de segurança social e de cartão de crédito dos clientes não foram expostos.
O Keybank, banco regional com sede em Cleveland, Ohio, nos EUA, comunicou que um incidente cibernético num fornecedor deu acesso a dados de clientes em sua carteira de hipotecas - sem fornecer maiores detalhes sobre o ocorrido. As informações acessadas incluíam o nome, endereço, número da conta da hipoteca e os primeiros oito dígitos, dos nove dígitos, do número de seguro social dos clientes.
A Ativy Digital, empresa brasileira de cloud computing, admitiu que teve servidores afetados por ataque de ransomware. Em nota oficial, a Ativy Digital reporta que o ataque 'impactou uma pequena parcela de clientes e houve acesso limitado aos serviços por prevenção, o que causou intermitência nos serviços'.
Autoridades norte-americanas e portuguesas fecharam o WT1SHOP, um popular marketplace de crimes cibernéticos que rendeu milhões de dólares aos ciber criminosos que venderam informações pessoais roubadas ao longo dos anos. O site era um dos maiores do gênero, oferecendo cerca de 6 milhões de registros para a venda.
Segundo a Secureworks, um grupo de hackers chinês foi atribuído a uma nova campanha destinada a infectar funcionários do governo na Europa, Oriente Médio e América do Sul com um malware modular conhecido como PlugX.
Um levantamento realizado pela Fast Facts, da Trend Micro, revelou que o Brasil ocupa a quarta posição no ranking dos cinco países que mais sofrem ataques de ransomware, atrás dos EUA, Japão e Taiwan, e à frente da Turquia.A média de ataques ficou em torno de 1 milhão, depois do salto registrado em março, de 2,5 milhões.
Segundo a Sophos, 77% dos líderes de TI do setor de varejo pesquisados no mundo todo, inclusive no Brasil, admitiram que suas organizações foram atingidas por ataques de ransomware no ano passado. O aumento foi de 75% em relação a 2020. O valor médio do resgate pago pelos varejistas em 2021, de US$ 226.044, também subiu cerca de 53% acima da média de US$ 147.811 desembolsados no ano anterior. Mais de um quinto (22%) das empresas do varejo pagou resgate inferior a US$ 1.000, enquanto mais de dois terços (70%) pagaram algo em torno de US$ 100 mil. 62% dos varejistas que pagaram resgate em 2021 conseguiram recuperar alguns de seus dados, mas apenas 5% dos varejistas foram capazes de restaurar todos os seus dados após pagar o resgate.
Segundo números da Statista, os crimes cibernéticos devem causar danos totalizando US$ 8,44 trilhões (R$ 43 trilhões) este ano, um aumento de 630% desde 2019. Se fosse medido como um país, o cibercrime seria a terceira maior economia do mundo, depois dos EUA e da China. A previsão é que esses danos devem crescer 40% em 2023 e atingir US$ 11,5 trilhões (R$ 59 trilhões).
Um grupo de cibercriminosos vazou arquivos roubados no início deste ano da Cisco, mas a empresa garante que não há impacto em seus negócios. A CISCO admitiu em 10 de agosto que havia detectado uma violação de segurança em 24 de maio pelo grupo de ransomware Yanluowang.
Um presidiário de 23 anos da cidade de Groningen, nos Países Baixos, que no ano passado foi condenado a 54 meses de prisão por phishing em grande escala, continuou as atividades de dentro da prisão. O holandês usou quatro celulares para realizar as campanhas, que renderam perto de 34 mil Euros. Ele se apresentava como um potencial comprador num marketplace e pedia às vítimas que transferissem um centavo de euro para verificação. No entanto, o link de pagamento enviado pelo suspeito apontava para um site de phishing, com objetivo de capturar os dados de pagamento das vítimas e, assim, permitir o acesso à conta bancária da vítima para roubar dinheiro.
Pesquisadores da empresa de cibersegurança Group-IB alertaram sobre a intensificação do uso de uma técnica de phishing batizada como BitB, abreviação de browser-in-the-browser, que faz os usuários pensarem que estão interagindo com uma página legítima. A técnica tem sido usada principalmente para assumir o controle de contas do Steam, a plataforma de jogos da empresa Valve. Somente em julho, os especialistas do CERT-GIB identificaram mais de 150 recursos fraudulentos imitando o Steam.
A pesquisa “Maturidade da Indústria - LGPD e Incidentes Cibernéticos”, realizada pela Fiesp e pelo Ciesp, mostra que as empresas não estão preparadas para lidar com ataques cibernéticos. Das 261 indústrias entrevistadas, 95 disseram ter sofrido algum tipo de ataque cibernético e em 36,2% dos casos obtiveram êxito. Em 68,4% dos ataques houve tentativa de extorsão (pedido de dinheiro para normalizar os serviços da empresa). Sobre o cumprimento da LGPD, o maior desafio apontado pelas indústrias é relativo ao treinamento e à conscientização dos funcionários (54%), seguido de mapeamento das atividades de tratamento de dados pessoais (51,7%). Outro dado preocupante é que 53,3% das empresas não têm plano de resposta para incidentes e 78,9% não fazem simulações de ataques cibernéticos. As principais causas dos ciber ataques são a falha humana (141 dos casos) e o uso de nuvens ou softwares de terceiros (45 respostas).
A Uber descobriu que sua rede de computadores foi invadida, levando a empresa a colocar vários de seus sistemas internos de comunicação e engenharia offline enquanto investigava a extensão do ciber ataque. A pessoa que assumiu publicamente a responsabilidade pelo ataque, possivelmente um integrante do grupo Lapsus$, enviou imagens de e-mail, armazenamento em nuvem e repositórios de código da empresa. Segundo relatos, a invasão aconteceu graças ao envio de uma mensagem de texto para um funcionário do Uber alegando ser um profissional de tecnologia da informação corporativa. Assim, o trabalhador foi persuadido a entregar uma senha que permitiu ao atacante ter acesso aos sistemas da Uber. Após comprometer a conta o funcionário, o hacker utilizou o aplicativo de mensagens Slack para enviar uma mensagem aos funcionários da empresa anunciando a invasão e acessou a conta da empresa no portal da HackerOne para anunciar publicamente a invasão, nos relatórios de vulnerabilidades existentes.
Para órgãos de defesa do consumidor, os bancos não fazem o suficiente contra golpes. Apesar de investir em campanhas informativas, as instituições falham ao se isentar da responsabilidade e atribuir culpa ao cliente, dificultando também o auxílio às vítimas. Febraban afirma que instituições investem em segurança e fazem campanhas de conscientização.
Representantes da Secretaria de Governo Digital do Ministério da Economia (SGD/ME), do Banco Interamericano de Desenvolvimento (BID) e da Rede Nacional de Ensino e Pesquisa (RNP) se reuniram para dar início à criação do Centro integrado de Segurança Cibernética do Governo Digital (CSIRT GOV.BR). A iniciativa tem por objetivo fortalecer a prevenção, o tratamento e a resposta a incidentes cibernéticos, como parte das ações de cibersegurança e uso de novas tecnologias no setor público, previstas no acordo de cooperação entre as instituições.
O grupo de ransomware como serviço LockBit pagou a primeira premiação de US$ 50.000 como parte de seu programa de recompensas por bugs para pesquisadores dispostos a ajudar a cibercriminalidade. Em 6 de julho foi anunciado o primeiro pagamento de recompensa, oferecido a um indivíduo pela notificação de um bug no software de criptografia, que foi corrigido no mesmo dia.
Relatório da Kaspersky mostrou que 78% das indústrias desativariam sua solução de cibersegurança caso ela afete a produção ou os sistemas de automação. Além disso, 12% das empresas afirmam ter sistemas legados, que não podem ser mais atualizados.
A comissão de valores mobiliários dos EUA (Securities and Exchange Commission, SEC) formalizou acusações contra o banco Morgan Stanley Smith Barney decorrentes das extensas falhas na proteção de informações de identificação pessoal de aproximadamente 15 milhões de clientes, que duraram pelo menos cinco anos. Em 2015, o banco falhou em descartar adequadamente dispositivos que continham informações pessoais de seus clientes. O banco concordou em pagar uma multa de US$ 35 milhões, ou algo em torno de R$ 175 milhões, para liquidar as acusações da SEC.
A Polícia Civil do Estado de São Paulo investiga um esquema fraudulento que pode ter desviado R$ 2,4 milhões do Departamento Estadual de Trânsito (Detran) paulista. Na Operação Gravame, um diretor do Detran foi preso, apontado como responsável por comandar os desvios. A suspeita é de que a rede irregular operava em mais 17 Estados, fazendo a transferência irregular de veículos e emitindo a Carteira Nacional de Habilitação (CNH) sem que o candidato fizesse provas e exames regulares. A fraude também incluía baixa de multas e débitos de veículos não pagos no sistema, e emissão de documentos de veículos novos sem recolhimento do imposto. Para realizar a fraude na emissão da CNH, eram usados dedos de silicone com a digital impressa do candidato a motorista.
Segundo pesquisa global da Experian sobre autenticação e prevenção à fraude, o roubo de identidade preocupa 77% dos brasileiros, muito acima da média mundial que é de 57%. A pesquisa também mostra que 61% dos brasileiros já passaram por alguma experiência deste tipo ou conhecem alguém que foi vítima. 78% dos brasileiros temem que as informações do cartão de crédito sejam roubadas, número também acima da média global, que é de 61%.
A empresa de telecomunicações australiana Optus está enfrentando uma demanda de extorsão de US$ 1 milhão para impedir a liberação de até 11,2 milhões de registros confidenciais de clientes. A invasão ocorreu graças a exploração de uma API não autenticada.
As autoridades da Ucrânia desarticularam uma quadrilha de criminosos cibernéticos que atuava no próprio território ucraniano em operações pró-Rússia. O grupo teria vendido 30 milhões de dados pessoais de cidadãos ucranianos e da União Europeia, lucrando pelo menos US$ 372 mil.
Pesquisadores de segurança da Satori Threat Intelligence (Human) identificaram 75 aplicativos com adware que estavam disponíveis na Google Play e outros 10 na App Store. Ao todo esses aplicativos com adware somam cerca de 13 milhões de downloads. A campanha foi batizada de “Scylla” pelos pesquisadores.
Foi identificado mais um caso de roubo de criptomoedas, onde foram roubados 732 moedas em Ethereum (ETH), equivalente a cerca de US$ 950.000 de um gerador de endereço de vaidade, ou Vanity Adress, da Profanity.
Até 75 aplicativos no Google Play e 10 na Apple App Store foram descobertos envolvidos em fraudes de anúncios, como parte de uma campanha em andamento desde 2019, batizada de Scylla pela empresa de prevenção de fraudes HUMAN Security. Antes de sua remoção das lojas, os aplicativos foram instalados mais de 13 milhões de vezes.
O Exmatter, um conhecido malware de exfiltração de dados usado pelo grupo de ransomware BlackMatter, foi detectado pela equipe Cyderes Special Operations operando uma nova tática, o que pode significar uma mudança no modus operandi nos ataques de ransomware. O malware foi atualizado com a funcionalidade de corrupção de dados, em vez do uso de criptografia: os arquivos são enfileirados para serem processados , aonde um segmento de tamanho aleatório começando no início do segundo arquivo é lido em um buffer e, em seguida, gravado no início do primeiro arquivo, substituindo-o e corrompendo-o.
Relatório da Trend Micro revela um crescimento de mais de 57% nas ofensivas digitais contra empresas no primeiro semestre de 2022, em comparação com o mesmo período do ano passado. Ao todo, as ferramentas bloquearam 63 bilhões de ataques no período. O Brasil figura entre os top 5 em dois rankings neste primeiro semestre: de malwares detectados, no qual ocupa a quarta posição, com 97 milhões e 327 mil bloqueios, e de ataques ao setor bancário, com a quinta colocação, por pouco mais de 5 mil tentativas de golpes.
Os servidores e redes do Grupo Jaime Câmara, controlador da maior rede de mídia de Goiás, foram atingidos por um ataque de ransomware, causando problemas em grande parte das suas operações. Foram atingidas a TV Anhanguera (afiliada da Globo), os sites dos jornais O Popular e Daqui e da rádio CBN Goiânia, além das rádios Executiva e Moov. Algumas publicações informaram que os atacantes exigiram o equivalente a R$ 1 milhão para fornecer a chave para decodificação dos arquivos.
Segundo a Trend MIcro, o Brasil ocupa a quarta posição em malwares detectados, com 97,327 milhões de bloqueios, e está na quinta colocação em ataques ao setor bancário, com pouco mais de 5 mil tentativas de golpes neste primeiro semestre de 2022.
A American Airlines informou que o acesso não autorizado ao seu sistema de e-mail causou a violação de dados pessoais em julho, que afetou 1.708 pessoas. A investigação descobriu que o atacante conseguiu sincronizar as caixas de e-mail no ambiente Microsoft Office 365 da empresa de pelo menos um funcionário, a partir da qual enviou emails de phishing, além de acessar arquivos do funcionário no SharePoint.
Segundo o relatório semestral da Apura Cyber Intelligence, as tentativas de fraude financeira com cartões, como crédito, débito, pré-pago, tiveram um aumento de aproximadamente 637% no número de ocorrências identificadas em comparação ao primeiro semestre de 2021. A procura por burladores de selfie também teve aumento de cerca de 659% (ferramentas que buscam contornar o envio de selfies para autenticação em procedimentos financeiros).
O Brasil é o país da América Latina que mais sofre ataques DDoS,. segundo relatório da Netscout. O Brasil representou 12,4% dos ataques DDoS identificados pela empresa, com uma média de um ataque a cada 26 minutos. O maior ataque registrado foi de 450 GB por segundo. O relatório também aponta que houve um crescimento de 19% nos ataques desse tipo na América Latina. Dessa porcentagem, metade dos ataques foi realizada no Brasil.
Após um ano desaparecido, o grupo brasileiro Prilex, especializado em fraudes com cartões com chip, ressurge segundo análise dos especialistas da Kaspersky. O grupo tem conseguido roubar dados de cartões de crédito e débito alterando o software de TEF, além de manipular as portas de comunicação (serial ou USB) entre as máquinas de POS e o sistema. Para conseguir infectar as vítimas, o golpe usa táticas de engenharia social para convencer os estabelecimentos comerciais a efetuar uma falsa atualização de sistemas.
Um ex-funcionário da Agência de Segurança Nacional (NSA) do Colorado foi preso em flagrante pelo FBI acusado de vender informações confidenciais a um governo estrangeiro. O ex-funcionário foi preso por um agente do FBI disfarçado, que se passou por representante da nação estrangeira, que recebeu a oferta de três documentos considerados confidenciais.
A Fortinet divulgou, no LinkedIn, o "FortinetNews", um vídeo de 2 minutos falando sobre as notícias e novidades que eles destacaram para o mês de setembro. Vale a pena dar uma olhadinha também.
O pessoal do Hacker Rangers criou uma campanha especial para o Dia das Crianças e lançaram um Concurso de Desenho dos Personagens do Hacker Rangers. Eles tem um material de conscientização bem legal, tanto em formato digital, com uma plataforma de gamificação, e também num bom e velho jogo de tabuleiro <3
Para concorrer, as pessoas interessadas devem postar no LinkedIn uma foto com o desenho de algum dos personagens feito por uma criança do seu convívio e marcar a Hacker Rangers (@hacker-rangers).
O concurso vai até o Domingo dia 16/10 e os 10 melhores desenhos, escolhidos pelos nossos colaboradores, ganharão um jogo de tabuleiro do Hacker Rangers (veja ele aqui)!
Anote aí na sua agenda e não perca a oportunidade de participar da primeira edição "pós-pandemia" da Security BSides São Paulo (BSidesSP): no domingo, 20 de Novembro, estaremos novamente na PUC-SP, campus Consolação, para a nossa décima-sétima edição da BSidesSP.
O evento contará com diversas trilhas de palestras, competições, vila temáticas (villages), além dos shows no intervalo e churrasco. Tudo isso como sempre fizemos desde 2011: gratuito.
O Call For Papers está aberto até 30/10 e as inscrições serão abertas no início de novembro.
Para esta edição, fizemos pequenos ajustes no formato do evento - o principal é que realizaremos em apenas um dia, ao contrário dos dois dias de atividades nas edições passadas. Assim o Domingo 20/11 irá concentrar:
Nossa competição de CTF a partir das 14h, organizado em parceria com o pessoal do HackaFlag;
Diversas atividades simultâneas, incluindo palestras, oficinas e as Villages.
Teremos nosso tradicional churrasco e open bar, além de hot dogs oferecidos por um grupo de voluntários, profissionais de segurança engajados em apoiar nossa comunidade. Na área externa teremos o show com música ao vivo.
Fiquem de olho no nosso site, pois nos próximos dias ainda vamos atualizar muitas informações, como a agenda, nome dos palestrantes e lista das Villages - que estarão muito boas!
No início do ano tomamos a decisão de não realizar a BSidesSP em Maio, junto com o You Sh0t the Sheriff (YSTS), como regularmente fazemos desde 2011. Isso porque, naquela época, ainda estávamos preocupados com o grande número de casos de COVID-19 no Brasil, causados pela variante Ômicron. Mas, nesse meio tempo, vimos os casos de COVID caírem drasticamente e, felizmente, o retorno a vida normal e a retomada dos eventos. Ao mesmo tempo, éramos frequentemente questionados se realizaríamos uma edição ainda neste ano.
A decisão de realizar no segundo semestre também não foi fácil. Entre outras coisas, uma dificuldade que tivemos foi na escolha da data. O segundo semestre é, normalmente, mais cheio de eventos, então há poucas opções de datas que possam conflitar com outros eventos da área. Some a isso que estamos em um ano de eleições e de Copa do Mundo, o que tornou o segundo semestre bem tumultuado. Assim, a melhor opção que encontramos foi o dia 20 de novembro - entre a Nullbyte e a BHACK.
A conferência Security BSides São Paulo (BSidesSP) é uma confêrencia gratuita sobre segurança da informação e cultura hacker, com objetivo de promover o compartilhamento de informações e a integração entre pesquisadores de segurança, profissionais e estudantes de todas as idades. A BSidesSP faz parte do circuito global de conferências Security BSides que, até agosto de 2022, realizou mais de 750 eventos da família BSides em todo o mundo, em 205 cidades em 60 países.
Nos encontraremos lá!
Data: 20/novembro de 2022, a partir das 10h
Local: PUC Consolação (Av. Marquês de Paranaguá, 111)
Anote na sua agenda: de 24 a 28 de outubro ocorrerá a 12ª Semana de Infraestrutura da Internet no Brasil, aqui em São Paulo, na Amcham Brasil - uma semana inteira que inclui 3 eventos organizados pelo NIC.br:
24/10: 37º encontro do GTS (Grupo de Trabalho em Segurança de Redes)
25/10: 51º encontro do GTER (Grupo de Trabalho de Engenharia e Operação de Redes)
26 a 28/10: IX (PPT) Fórum: Encontro direcionado aos provedores de conectividade, com o objetivo de discutir os problemas da infraestrutura da Internet no Brasil e suas possíveis soluções.
O GTS (Grupo de Trabalho em Segurança de Redes) é um dos eventos mais antigos da área de segurança, normalmente com duas edições por ano e sempre com palestras de ótimo conteúdo técnico. Neste ano, teremos palestras sobre investigações de crimes cibernéticos, uso de IA na proteção de dados, gestão de vulnerabilidades, detecção de Ransomware e mitigação de ataques DDoS. Eu vou palestrar sobre os desafios em conscientização em segurança.Veja o vídeo da edição passada, de novembro de 2021, que foi realizada apenas online (por causa da pandemia do coronavírus).
Entre os assuntos que estarão em pauta nos eventos, incluem:
os impactos para a região Amazônica com a chegada do OpenCDN;,
o que é e por que se preocupar com o TLP 2.0;
a importância do IX.br para os provedores e à Internet no Brasil;
influência do 5G na infraestrutura de TIC;
os desafios para a implantação do IPv6 em uma rede de campus universitário;
Os eventos serão híbridos, com possibilidade de acompanhar presencialmente ou assistir todas as apresentações online e ao vivo no canal NICbrvideos no YouTube.
A Semana de Infraestrutura da Internet no Brasil é uma iniciativa do NIC.br e CGI.br, que também conta com diversas empresas patrocinadoras, incluindo a Connectoway, Netflix, ABRANET e EdgeUno.
Hoje, 05 de outubro, a Associação Brasileira de Normas Técnicas (ABNT) realiza o evento de lançamento da nova versão da norma "NBR ISO/IEC 27002:2022 Segurança da Informação, Segurança Cibernética e Proteção da Privacidade — Controles de Segurança da Informações". Essa norma é a versão traduzida para o Português da ISO/IEC 27002:2022, revisada pela ISO e publicada em fevereiro deste ano. Portanto, ela substituirá a versão anterior, de 2013, da 27002, uma das mais importantes normas de segurança da família ISO.
Segundo o , Ariosto Farias Jr., coordenador da comissão da ABNT responsável pela norma, “A norma é voltada para organizações de todos os tipos e tamanhos, incluindo setor público e privado, comercial e sem fins lucrativos, que criam, coletam, tratam, armazenam, transmitem e descartam informações de diversas formas, incluindo eletrônica, física e verbal, como por exemplo, conversas e apresentações”. A adoção da NBR ISO/IEC 27002:2022 no Brasil é de responsabilidade da Comissão de Estudos da ABNT/CEE 021.004.027: Comissão de Estudo de: Segurança da Informação, Segurança Cibernética e Proteção da Privacidade.