WhatsApp concentra quase 90% das mensagens de phishing do Brasil

Bastante popular entre a população brasileira, o WhatsApp é o alvo preferencial dos criminosos que enviam mensagens falsas (phishing) para realizar golpes ou roubar dados privados. Segundo uma análise conduzida pela Kaspersky a partir de usuários do sistema operacional Android, 89,6% dos links maliciosos reportados se concentram no mensageiro pertencente ao Facebook.

Embora outras plataformas de comunicação também sejam usadas para aplicar golpes, elas surgem de forma mais discreta: 5,7% das mensagens se concentram no Telegram, enquanto o Viber responde por 4,9% delas. A decisão de usar o WhatsApp como alvo é justificada pelo fato de que o aplicativo está instalado em 98% dos celulares brasileiros, fornecendo uma base abrangente de alvos aos criminosos.

As informações foram coletadas de forma voluntária e anônima pelos clientes da plataforma Kaspersky Internet Security for Android, e servem como alerta para quem usa o mensageiro. Enquanto muitos dos golpes usam links maliciosos — muitas vezes detectados por programas de proteção —, ações que usam da engenharia social para obter números de confirmação enviados por mensagens de SMS também são comuns.

Imagem: Divulgação/Kaspersky

Segundo o analista de segurança Fabio Assolini, os usuários não devem subestimar as ameaças digitais, especialmente em um cenário no qual o Brasil é recordista em golpes de phishing. Usando táticas que se repetem, golpes do tipo usam assuntos de interesse público como a pandemia do COVID-19 e datas como a Black Friday para chamar a atenção e conquistar a confiança das vítimas.

Como se proteger dos golpes?

A Kasperky oferece algumas dicas para não ser vítimas de tentativas de phishing pelo WhatsApp:

  • Preste atenção a esquemas de corrente e evite compartilhar links suspeitos com seus contatos;
  • Não confie em mensagens com muitos erros de ortografia ou que apresentem links com formatos incomuns;
  • Mesmo que um contato seja conhecido, desconfie de mensagens que prometem promoções imperdíveis e possuem textos que demonstrem urgência. É possível que ele tenha sido vítima de um golpe que roubou sua conta para espalhar mensagens maliciosas;
  • Instale soluções de segurança e as mantenha atualizadas: as melhores bloqueiam links inseguros e impedem que seus dados sejam comprometidos.

Algo que facilita a ação dos criminosos é um fato de que três em cada dez brasileiros não sabem reconhecer uma mensagem de e-mail falso, algo que também afeta as mensagens recebidas por mensageiros. “Soma-se a esta dificuldade a popularidade dos app de mensagens. Isso permite que as mensagens maliciosas tenho o potencial de alcançar uma quantidade alta de pessoas de forma rápida”, alerta.

O analista também afirma que, mesmo sendo percebidos pelo público como algo comum, golpes de phishing ainda funcionam e atingem muitos alvos. Como exemplo, ele cita um caso recente de uma mensagem que oferecia material escolar gratuito que trazia um link malicioso que foi clicado 675 mil vezes em cinco dias. A situação, que simulou uma promoção semelhante realizada um ano antes, mostra que é preciso ter todo o cuidado para lidar com criminosos que se mostram cada vez mais sofisticados e inteligentes em suas ações.

Fonte: Canaltech

Facebook testa mudanças no Instagram para se assemelhar ao TikTok

Nesta quarta-feira (30), o chefe do Instagram e do Facebook – Adam Mosseri- anunciou os planos da rede social para começar a mostrar aos usuários vídeos recomendados em tela inteira em seus feeds.

“Também vamos experimentar como podemos abraçar o vídeo de forma mais ampla – tela inteira, imersivo, divertido, vídeo que prioriza os dispositivos móveis”, comentou Mosseri em um vídeo e que “você verá uma série de coisas ou experimentar várias coisas neste espaço nos próximos meses.”

Além disso, Mosseri revelou que o Instagram tem planos de mostrar aos usuários vídeos em tela inteira em seus feeds, incluindo vídeos que recomenda aos usuários, como aqueles de contas que eles ainda não seguem. Sendo assim, os usuários começarão a ver os experimentos do Instagram com essas mudanças nos próximos meses, disse ele.

“Não somos mais um aplicativo de compartilhamento de fotos ou um aplicativo de compartilhamento de fotos quadrado”, afirmou Mosseri.

Isso representa uma mudança drástica para o Instagram, que até agora era basicamente um aplicativo onde os usuários podem ver imagens em tamanho quadrado de seus amigos e contas que eles seguem. A mudança na apresentação do conteúdo alinhará o Instagram em uma competição mais direta com a chinesa TikTok, uma novata no mercado de aplicativos sociais.

Ademais, Mosseri destacou especificamente o TikTok, bem como o YouTube, que é propriedade do Google, como concorrentes e as razões para essas mudanças: “Vamos ser honestos, há uma competição realmente séria no momento. O TikTok é enorme, o YouTube é ainda maior e há muitos outros iniciantes também.”

O Instagram já fez da competição com o TikTok uma prioridade ao lançar o reels no ano passado. Sendo que o reels é um recurso de vídeo de formato curto que permite aos usuários do Instagram criar conteúdo com áudio sobreposto e efeitos de realidade aumentada, da mesma forma que já fazem na plataforma chinesa.

“As pessoas procuram o Instagram para se divertir, há uma competição acirrada e há muito mais a fazer”, finalizou Mosseri.

Fonte: Olhar digital

Saiba o que mudou e como a lei brasileira para cibercrimes está mais rígida

Celulares, tablets e computadores são dispositivos essenciais nos dias de hoje. Por isso, estão repletos de informações pessoais e, muitas vezes, até confidenciais. O furto mediante fraude desses dados pode causar bastante transtorno se as informações forem expostas ou usadas em estelionatos (quando o indivíduo é enganado por um golpista e tem prejuízo financeiro por isso).

A norma legal para lidar com situações envolvendo delitos cometidos no meio tecnológico, os chamados crimes cibernéticos, é o Código Penal. As regras são de 1940, quando ainda nem havia computadores, e, por isso, precisaram ser alteradas já algumas vezes para se adaptarem às necessidades atuais.

O Art. 154, por exemplo, estabelece penalidade para exposição de informações. Assim, quem “revelar, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem” pode ser punido de acordo com o determinado nessa norma — ou seja, detenção, de três meses a um ano, ou multa. Na detenção, o início do cumprimento da punição não admite o regime fechado.

Em 2012, o Art. 154-A foi acrescido a ele. Esse tópico é voltado especificamente para quem “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”. “A pena foi mantida a mesma e, nesse caso, era muito branda”, explica o advogado criminalista Marcelo Campelo.

Outros dois crimes cometidos no ambiente tecnológico são o furto mediante fraude, para o qual utilizava-se o Art. 155, e o estelionato, regido pelo Art. 171. As penalidades previstas para esses casos eram reclusão, de um a quatro anos, e multa, e reclusão, de um a cinco anos, e multa, respectivamente. O regime de cumprimento da pena de reclusão pode ser fechado.

Regra legal mais rígida

No fim de maio, porém, o governo federal sancionou a Lei 14.155, de 2021, com publicação no Diário Oficial da União. Com a nova norma, vítimas de invasão de dispositivo informático, furto mediante fraude e estelionato nesse ambiente ganharam mais proteção. “Com as alterações nesses artigos, houve melhor definição dos crimes cibernéticos”, analisa Campelo.

Além disso, houve substancial aumento de pena, pondera Luiz Augusto D’Urso, especialista em Direito Digital. “Agora, a invasão de dispositivo informático implica reclusão de um a quatro anos, enquanto o furto mediante fraude pela internet e o estelionato pela internet ou pelas redes sociais têm, cada um, pena de reclusão de quatro a oito anos.”

Em que casos a nova lei pode ser aplicada?

Embora não seja inédita, a regra busca tornar a punição aos crimes cibernéticos mais proporcional. “Muitas vezes, havia um furto significativo de dados, mas a punição era uma detenção de três meses a um ano, que não leva ninguém à cadeia”, lembra D’Urso. “Além disso, houve mudanças em aspectos processuais e isso impede a troca da reclusão por penalidades alternativas, como o pagamento de cestas básicas.”

Um dos crimes cibernéticos mais comuns atualmente é a invasão do WhatsApp. “Se o golpista se passa pelo titular da conta no aplicativo e usa isso para conseguir dinheiro dos contatos da vítima, a partir de agora comete estelionato mediante fraude. É muito interessante o aumento de pena trazido pela nova lei, pois garante mais rigor na punição”, diz D’Urso.

Outro exemplo de ocorrência em que a nova norma se aplica é o furto mediante fraude: o criminoso coleta informações bancárias da vítima e furta dinheiro diretamente da conta dela por meio de transferências. “Nesse caso, incide o Art. 154-A. Como causou prejuízo, a pena tem aumento de ⅓ a ⅔ e pode chegar a 7 anos de reclusão”, ilustra Campelo. O mesmo acréscimo se aplica quando o crime é praticado contra idoso ou vulnerável.

E se o invasor estiver no exterior? Embora a competência seja definida pelo local de domicílio da vítima, a aplicação da punição com base na lei brasileira não é tão simples. “Depende do delito e do país em que o criminoso está. É preciso considerar a extraterritorialidade da lei penal e se há acordo de cooperação entre os países”, diz D’Urso. Por outro lado, se o crime for praticado com o uso de servidor mantido fora do país, o aumento da pena pode ser de ⅓ a ⅔.

O que fazer se for vítima?

Qualquer usuário que for vítima dos delitos previstos na Lei 14.155 deve preservar as provas e procurar a autoridade policial para registrar o ocorrido. “No caso de fraude por WhatsApp, as principais provas são documentos que demonstram a perda de valores, como os extratos bancários com as movimentações”, informa Campelo. “Além disso, é importante fazer uma ata notarial para ter mais segurança e fé pública”, orienta.

A instauração de um inquérito, com base nas provas da prática do delito, vai permitir que os investigadores identifiquem os golpistas. “A partir disso, os criminosos podem ser punidos com base nessa nova norma legal”, comenta D’Urso. “Espera-se que esse efeito pedagógico ajude a diminuir os crimes na internet.”

Fonte: Canaltech

81,2% dos brasileiros criam senhas fortes, mas falham em outros hábitos digitais

Criar senhas consideradas fortes, misturando números, letras e caracteres especiais, já faz parte da vida de 81,2% dos brasileiros. No entanto, isso não é suficiente para garantir uma experiência digital segura, e a falta de atenção a outros hábitos recomendados por especialistas para os usuários de dispositivos eletrônicos ainda é forte no país, revela uma pesquisa realizada pelo grupo provedor de redes privadas NordVPN.

Segundo a avaliação, a falta de cuidado em geral faz com que o desempenho geral do Brasil seja somente de 33,4% em uma análise comparada entre 192 países. Outro dado preocupante é o fato de que somente 23,3% dos entrevistados tinha conhecimento sobre as ferramentas de proteção disponíveis para evitar o roubou de dados.

“O vazamento de informações e ataques a sites e plataformas é mais comum do que se imagina. As estratégias de invasão estão cada vez mais sofisticadas, por isso, é importante investir em ferramentas de segurança e tomar alguns cuidados para garantir tanto a proteção dos dados dos usuários como a segurança digital da empresa”, explica Gustavo Piltcher, diretor de estratégia e inovação da Nodo, empresa de tecnologia especializada em soluções digitais para diversos segmentos.

Somente em 2020, o Brasil sofreu aproximadamente 8,4 bilhões de tentativas de ataques cibernéticos — 5 bilhões delas somente no último trimestre do ano. Entre os elementos que ajudam a explicar esse alto número está o fato de que os brasileiros agem muito em torno da conveniência e comodidade, sem se preocupar da forma adequada com a segurança digital. Pesquisa da IBM Security mostra que 82% das pessoas usam a mesma senha em diversos locais, enquanto 40% preferem fazer pedidos em sites potencialmente inseguros do que realizar uma ligação telefônica.

Investimentos em segurança são essenciais

Segundo Piltcher, é essencial que empresas se atentem à importância do conhecimento sobre privacidade e segurança, agindo de maneira transparente em relação a seus processos e à coleta de dados de clientes. Ele reforça que, especialmente em tempos de pandemia (nos quais a dependência de meios digitais aumenta), é necessário exercer um maior controle interno sobre quem tem acesso a essas informações para diminuir o risco de possíveis vazamentos.

Fonte: Canaltech

350 mil malwares surgem por dia; como se proteger deles?

Todos os dias, cerca de 350 mil novas ameaças digitais (entre malwares e outros aplicativos potencialmente perigosos) são detectadas pelas empresas especializadas. Esses são dados da AV-TEST, uma instituição independente de segurança digital que acompanha estatísticas relacionadas ao mercado de tecnologia e proteção de dados.

Diante de um cenário em que os perigos cibernéticos estão cada vez mais presentes, é natural sentir-se um pouco inseguro e procurar formas de se proteger contra malwares. Essa é uma questão ainda mais relevante para os leigos em computação e outras tecnologias, já que a falta de conhecimento pode criar situações potencialmente danosas para o patrimônio e a integridade das pessoas.

O que fazer, então? Como se proteger diante de um número crescente de ameaças digitais e que estão se tornando cada vez mais complexas e eficientes para enganar, extorquir e roubar os desavisados? Neste artigo, queremos compartilhar algumas dicas realmente úteis para quem quer sentir mais segurança ao navegar nos “mares” desconhecidos da internet.

Não se preocupe: abordaremos dicas básicas de como se proteger de malwares, mas também traremos aspectos que até mesmo usuários avançados devem estar desconsiderando.

O que é malware?

Os malwares são ferramentas criadas por criminosos para extorquir e lucrar por meio de atividades ilegais. Vírus, cavalo de troia (trojan), ransomware, worm, backdoor, spyware, keylogger, sniffer, exploit e adware são exemplos de malwares que causam prejuízos bilionários todos os meses.

De acordo com a AV-TEST, somente em 2021 foram detectados mais de 82 milhões de novos malwares ou softwares potencialmente maliciosos. Esse é um número bastante assustador se levarmos em conta que hoje passamos boa parte do dia conectados e expostos a esses perigos digitais. O momento atual em que vivemos hoje, com muitos trabalhando de casa, potencializa ainda mais esse cenário.

Além disso, o cibercrime gerou um prejuízo estimado de US$ 6 bilhões em 2021 no mercado mundial. O que torna essa situação ainda mais crítica é o fato de que 93% dos programas maliciosos são polimórficos, isso significa que eles estão mudando constantemente o seu código interno para evitar a detecção por programas antivírus e outros softwares de segurança.

Mas como se proteger diante de tantas ameaças?

Como se proteger contra os malwares?

Uma das melhores maneiras de proteger seus dispositivos contra os malwares é utilizando programas da categoria antivírus, que são projetados especificamente para proteger os usuários das ameaças digitais. Eles atuam de forma passiva, monitorando constantemente os arquivos, sites, e-mails e outros materiais (mantendo o sigilo e a privacidade das pessoas) em busca de malwares que podem ser prejudiciais ao sistema.

Os antivírus também atuam proativamente oferecendo uma série de ferramentas que estão à disposição para oferecer mais segurança aos usuários. Um bom exemplo é o Avast, que oferece uma vasta gama de produtos para garantir a proteção de quem utiliza o programa para navegar na internet, baixar arquivos e interagir nas redes sociais.

Um bom exemplo de ferramenta útil é a Sandbox, disponibilizada para computadores e que cria um espaço virtual isolado do resto do PC. Isso é útil para rodar um aplicativo do qual você esteja desconfiado, abrir um arquivo desconhecido ou usar o seu navegador para checar os sites que você acessa, mas não conhece muito bem. Também é possível testar um aplicativo antes de instalá-lo, algo muito útil para usuários leigos.

De acordo com a Avast, a Sandbox vem pré-carregado em todos os produtos pagos da empresa. Para utilizá-la e manter-se protegido ao usar o computador, basta apenas clicar em qualquer arquivo do seu PC com o botão direito e escolher a opção “Executar na Sandbox”. Se você preferir, pode fazer com que um determinado aplicativo seja executado sempre na Sandbox usando as opções dentro das configurações do antivírus.

Outro destaque desse tipo de programa é o fato de ele se manter sempre atualizado. Como os vírus e malwares estão em constante evolução, é realmente preciso manter a base atualizada para garantir a proteção do sistema diante das ameaças. A Avast mais uma vez garante que ele está sempre em dia com as últimas modificações dos programas maliciosos com microatualizações a cada 5-7 minutos.

A educação também ajuda a se proteger contra malwares

Por fim, outra forma eficiente de se manter protegido contra malwares é buscar informações e educar-se sobre como garantir a sua segurança digital. Como estamos imersos em um mundo cada vez mais conectado, não é recomendável desconhecer os diversos perigos que rondam a internet.

Em se tratando de dispositivos móveis, por exemplo, não é nada aconselhável buscar e baixar aplicativos de fontes desconhecidas. Aquele app recebido pelo WhatsApp ou que você achou em algum site desconhecido pode infectar o seu smartphone ou tablet e prejudicar o sistema, ou até roubar os seus dados. Portanto, sempre recorra às lojas oficiais de aplicativos antes de instalar algo em seu aparelho.

Outra dica útil para navegação tanto em computadores como em smartphones é o cuidado com o clique nos links. Essa é uma recomendação antiga, mas que precisa ser reforçada por conta do advento e popularidade dos aplicativos de mensagem. Como hoje é muito fácil e prático receber e enviar alguns links, muitos estão caindo em armadilhas escondidas em links maliciosos. Nem todos os antivírus para celular oferecem proteção contra links falsos, confira nas configurações do seu antivírus.

Por fim, também gostaríamos de destacar a importância de manter o aprendizado constante sobre os meios digitais. As tecnologias estão mudando em uma velocidade incrível e é muito fácil ficar desatualizado diante das inovações. Portanto, buscar conhecimento é essencial para se manter seguro contra os malwares ao navegar pela internet, seja pelo computador, seja pelos dispositivos móveis.

Fonte: Tecmundo

Compilado com 8,4 bilhões de senhas vazadas é postado em fórum

Foto por Negative Space em Pexels.com

O que parece ser o maior compilado de senhas de todos os tempos foi postado em um fórum hacker e contém 8,4 bilhões de chaves de acesso a contas diversas, presentes em um arquivo TXT de impressionantes 100 GB. De acordo com o CyberNews, supõe-se que a coleção seja uma combinação de informações coletadas em invasões e vazamentos anteriores.

O responsável pelo documento é o usuário RockYou2021, que alega haver 82 bilhões de combinações de seis a 20 caracteres e cuja identificação é uma provável referência ao RockYou, evento ocorrido em 2009 em que 32 milhões de senhas de usuários do aplicativo homônimo chegaram às redes. Entretanto, após análise, verificou-se a real extensão do problema.

Aliás, em abril deste ano, descobriu-se que 3,28 bilhões de senhas vinculadas a 2 bilhões de e-mails era comercializado também em um fórum hacker – detendo, até então, o recorde de exposição. Neste novo caso, todas elas dão as caras em um trabalho que demandou anos de dedicação da pessoa por trás do compilado.

Dando uma olhadinha…

Ainda segundo o CyberNews, criminosos, munidos de um material tão completo, serão capazes de criar um dicionário de senhas e disparar ataques de espelhamento contra um alto número de contas – atingindo, potencialmente, milhões ou até bilhões delas, já que muitas pessoas reutilizam seus códigos de acesso em diversos serviços.

Por fim, verificar a integridade de informações pessoais por meio de serviços dedicados à tarefa e alterar as senhas comprometidas são algumas das medidas de proteção que podem ser aplicadas, assim como habilitar autenticação de dois fatores sempre que possível e suspeitar de qualquer e-mail e mensagem de texto não solicitada, ignorando eventuais links que contenham.

Vale notar que não há confirmação da existência de senhas novas neste compilado. O uploader montou um conjunto de senhas vazadas anteriormente no arquivo. Isso significa que você não precisa se preocupar, a princípio. De todo modo, na dúvida, por que não se precaver e alterar suas senhas?

Fontes

CyberNews e Tecmundo

Proteja seus dados: saiba o que não compartilhar nas redes sociais

A internet está presente na vida das pessoas há muito tempo e possibilita o contato entre populações de todo mundo. Um dos principais motivos para isso são as redes sociais, onde passamos a partilhar diversos momentos importantes de nossa vida.

O contato com essas plataformas foi intensificado com a pandemia, afinal, encontros presenciais passaram a ser evitados para mitigar a proliferação do vírus. As ferramentas digitais se tornaram, então, o principal meio de comunicação em todo o mundo.

Existem redes para todos os gostos e idades, cada uma delas é focada em um público e leva a uma finalidade. E, apesar de garantir entretenimento, sempre é preciso tomar cuidado com pessoas mal-intencionadas que podem explorar as informações que você divulgou abertamente.

Pensando em te ajudar a manter a privacidade e a sua segurança, vamos listar 6 coisas que você deve tomar cuidado ao compartilhar em qualquer rede social. Saiba mais!

1 – Informações sobre sua rotina

Com o celular na palma das mãos, podemos acabar mostrando todos os nossos passos diários. Como, por exemplo: trajetos, horários e locais que sempre frequentamos.

Mas é fácil esquecer que a maior parte dos roubos acontece durante o dia e em momentos nos quais as pessoas não estão em casa. Deixar essas informações públicas, para qualquer um acessar, pode contribuir com a ação de criminosos.

2 – Seu endereço

É comum vermos fotos tiradas na porta da casa das pessoas, ou então vídeos de presentes e encomendas que chegaram. Isso pode ser muito perigoso, pois não se sabe a real intenção das pessoas que te acompanham nas redes.

E, complementando a dica anterior, pode facilitar a ação de criminosos para chegar até você.

3 – Planos de férias e viagens

Viajar é ótimo e dá muita vontade de compartilhar momentos especiais que estamos vivendo durante um passeio. Porém, lembre-se que essa é mais uma chance de avisar invasores de que há uma grande possibilidade da sua residência estar vazia.

Dê preferência para compartilhar os momentos especiais quando já estiver de volta, ou então restrinja as postagens a um grupo seleto de amigos.

4 – Selfies reveladoras

Nossa aparência nas fotos é, no geral, nosso maior enfoque e preocupação. Por isso mesmo, é comum esquecermos de olhar quais informações aparecem ao redor da imagem.

Evite, por exemplo, fotos que mostram a frente de sua casa, diplomas que estejam pendurados na parede, e até mesmo informações que estiverem anotadas em algum quadro no escritório.

5 – Informações sobre a empresa em que trabalha

Passamos grande parte do dia no trabalho e, consequentemente, compartilhamos informações dele.

Cuidado para não deixar escapar nada confidencial e pense bem no que vai compartilhar publicamente. Lembre-se de que a maior parte das empresas hoje também estão conectadas e podem te acompanhar virtualmente.

6 – Cartões de vacina

Com a chegada das vacinas contra a Covid-19, se tornou comum as pessoas publicarem fotos comprovando que tomaram o imunizante, como uma forma de incentivar os demais e até comemorar a esperança no futuro melhor após um momento tão turbulento. Mas vale ressaltar que os cartões de vacina possuem informações importantes e pessoais. Se quiser postar a foto mesmo assim, lembre-se de borrar o que não deve ser exibido antes de publicar.

Via: How to Geek e Olhar Digital

Facebook diz ser ‘normal’ e ‘um problema do setor’ que vazamentos de dados aconteçam

O Facebook teria classificado como “normal” e um “problema geral do setor” o fato de acontecerem tantos incidentes envolvendo coleta e vazamento de dados com o uso da técnica conhecida como data scraping ou raspagem de dados. A declaração foi revelada por um jornalista, que obteve um e-mail interno no qual a companhia usou as duas expressões para se referir a um caso recente de coleta de informações, em que dados de cerca de 533 milhões de usuários da rede social foram expostos online.

Neste mês de abril, Pieterjan Van Leemputten, editor do site belga Data News, enviou algumas perguntas ao Facebook solicitando uma atualização sobre o vazamento das mais de meio milhão de contas da plataforma, incluindo mais clareza sobre como ocorreu a violação. Só que a empresa de Mark Zuckerberg incluiu o jornalista em um tópico de discussão interno enviado por e-mail para funcionários da companhia.

Foi aí que Leemputten recebeu a mensagem em que o Facebook destaca sua posição quanto ao vazamento dos dados. “Supondo que a divulgação da imprensa continue diminuindo, não estamos planejando declarações adicionais sobre esse assunto. A longo prazo, contudo, esperamos por mais incidentes desse tipo e pensamos ser importante enquadrá-los como um problema geral do setor e normalizar o fato de que essa atividade ocorre regularmente”, dizia o e-mail, que foi enviado às equipes de relações públicas do Facebook na Europa, Oriente Médio e África.

O e-mail ainda afirma que a equipe do Facebook propôs um post de acompanhamento nas semanas subsequentes ao vazamento para “fornecer mais transparência em torno da quantidade de trabalho que estamos fazendo nessa área”. “Embora isso possa refletir um volume significativo de atividade desse tipo, esperamos que ajude a normalizar o fato de que essa atividade está em andamento e evitar críticas de que não estamos sendo transparentes sobre incidentes específicos”, continua.

Além disso, o e-mail do Facebook destaca veículos de imprensa que, segundo a companhia, “ofereceram interpretações mais críticas da resposta do Facebook, enquadrando o site como evasivo, [por estar] desviando da culpa, e destacando a ausência de um pedido de desculpas para os usuários afetados”. Entre as páginas estão sites como ZDNet, CNET, Reuters, The Guardian e The Wall Street Journal. A companhia também teria usado menções no Twitter como estatísticas para esse tópico descrito no e-mail.

Em resposta ao ZDNet, um porta-voz do Facebook disse que a empresa está empenhada em continuar educado seus usuários sobre a raspagem de dados. Também afirma que a companhia entende as preocupações das pessoas, e que os sistemas da rede social serão fortalecidos para evitar novos vazamentos. “Continuaremos desenvolvendo nossas capacidades para nos manter à frente desse desafio”, declarou.

O hack sofrido pelo Facebook que ocasionou a divulgação de 533 milhões de perfis incluía informações pessoais como números de telefone, nomes de usuários, nomes completos e data de nascimento. Aparentemente, nenhuma conta foi afetada por vírus — os dados “somente” foram colocados à venda em fóruns na internet.

Fontes: ZDNet e Gizmodo

As 10 senhas mais banais usadas em 2020 e como melhorar a segurança das mesmas

Elimine essas senhas comuns agora e use essas dicas para melhorar a segurança das senhas

Foto por Sora Shimazaki em Pexels.com

Qual foi a senha mais popular – e, portanto, menos segura – todos os anos desde 2013? Se você respondeu “password” (“senha” em inglês), você estaria perto. “Qwerty” (layout de teclado para o alfabeto latino) é outro candidato à duvidosa distinção, mas o campeão é a senha mais básica e óbvia que se possa imaginar: “123456”.

Sim, muitas pessoas ainda usam “123456” como senha, de acordo com as 200 senhas mais comuns do ano para 2020 do NordPass, que se baseia na análise de senhas expostas por violações de dados. A sequência de seis dígitos também obteve uma classificação elevada em outras listas ao longo dos anos; SplashData, que apresentou listas usando metodologia semelhante, encontrou “123456” em segundo lugar em 2011 e 2012; em seguida, saltou para o primeiro lugar, onde permaneceu todos os anos até 2019.

Muitas outras senhas epicamente inseguras continuam a tornar a senha anual da vergonha, incluindo a mencionada “senha” (sempre entre as cinco primeiras e a número 1 em 2011 e 2012); “Qwerty” (sempre entre os dez primeiros); e uma variação um pouco mais longa do campeão atual, “12345678” (sempre entre os seis primeiros).

Outras listas de piores senhas, como SplashData e as do National Cyber ​​Security Center do Reino Unido, são geralmente consistentes. Sequências numéricas facilmente adivinhadas e “words” compostas de letras imediatamente adjacentes umas às outras em um teclado QWERTY padrão são sempre populares; o mesmo acontece com a frase “iloveyou”, porque somos uma espécie de românticos sem esperança. Outro vencedor constante e indecente é a palavra “password”. Por falar nisso, uma nova adição à lista do NordPass este ano foi “senha”, em português mesmo. Isso pode refletir o crescimento da população do Brasil se tornando mais conectada à internet, embora aparentemente eles não se preocupem mais com a segurança do que os falantes de inglês.

Para melhor segurança de senha

As empresas estão aumentando o uso de serviços de autenticação multifator (MFA) e logon único (SSO) para reforçar a segurança. No entanto, muitos funcionários “ainda têm uma higiene deficiente de senha que enfraquece a postura geral de segurança de sua empresa”, de acordo com o 3º relatório anual de segurança de senha global (2019) da LogMeIn.

Não é à toa que muitos funcionários ficam cansados de usar senhas, o que, por sua vez, leva a uma segurança de senha frouxa. O relatório da LogMeIn descobriu que os usuários em empresas maiores (1.001 a 10.000 funcionários) têm em média 25 senhas com as quais lutar. O problema é mais agudo para usuários em pequenas empresas (25 ou menos funcionários), que têm em média 85 senhas para fazer lidar. Os funcionários do setor de mídia/publicidade usam o maior número de senhas, 97, em média, ante 54 senhas por funcionário do governo (setor com o menor número médio de senhas por funcionário).

Existem três maneiras principais de comprometer as senhas, de acordo com Robert O’Connor, CISO da Neocova, provedora de tecnologia bancária da comunidade e ex-Vice-Diretor de Segurança da Informação Corporativa da CIA: adivinhação (por um humano), cracking (por força bruta algorítmica) e captura (obtendo acesso a algum lugar onde uma senha foi armazenada, seja em um banco de dados ou em um post-it). Cada uma das técnicas a seguir tenta mitigar um ou mais desses métodos; por exemplo, as senhas com informações pessoais são mais fáceis de adivinhar e as senhas mais curtas são mais fáceis de quebrar.

Aqui estão o que os especialistas dizem ser os problemas com senhas corporativas e conselhos para melhorar a segurança de senhas e autenticação.

  • Exija o uso de um gerenciador de senhas. David Archer, Principal Cientista de Criptografia e Computação Multipartidária da empresa de consultoria e pesquisa de segurança Galois, recomenda que os usuários corporativos aproveitem os gerenciadores de senha para gerar e armazenar senhas longas com todas as opções do alfabeto (como letras maiúsculas e minúsculas) ativadas. Com um gerenciador de senhas instalado, os usuários devem ter apenas duas senhas de que precisam se lembrar, acrescenta: a senha para o aplicativo gerenciador de senhas e a senha para a conta de computador em que o usuário se conecta todos os dias.
  • Exija o uso de autenticação multifator (MFA). A MFA inclui o que você sabe (uma senha), o que você possui (um dispositivo) e quem você é (uma impressão digital ou leitura de reconhecimento facial). Usar a MFA para exigir verificação, como um código enviado a um dispositivo móvel, além do uso de senhas fortes e exclusivas, pode ajudar a fornecer melhor proteção corporativa, afirma Justin Harvey, Líder Global de Resposta a Incidentes da Accenture Security.
  • Não deixe que os usuários criem senhas com palavras do dicionário. Em um ataque de dicionário de força bruta, um criminoso usa um software que insere sistematicamente cada palavra em um dicionário para descobrir uma senha.
  • O comprimento é importante, e as frases são mais longas do que palavras. Dito isso, uma ênfase de longa data em caracteres estranhos ou “especiais” que não são encontrados em palavras normais pode estar ignorando o quadro geral. “Senhas mais longas são muito mais difíceis de quebrar, criptograficamente falando, do que as mais curtas, mesmo quando há caracteres especiais envolvidos. Uma senha como ‘AN3wPw4u!’ é muito mais fácil para um cracker criptográfico automatizado do que uma senha como ‘SnowWhiteAndTheSevenDwarves'”, diz Tyler Moffitt, Analista de Segurança Sênior da Webroot.
  • Afaste os usuários de senhas que incluam informações sobre eles. Não use nomes de cônjuges, animais de estimação, cidade de residência, local de nascimento ou qualquer outra informação de identificação pessoal em uma senha, pois essas informações podem ser deduzidas das contas de mídia social do usuário. Aleksandr Maklakov, CIO da MacKeeper, sugere o uso de uma senha longa, como “ImgoingtorunBostonMarathon2022”, que está vinculada aos seus objetivos pessoais, mas não inclui informações pessoais de fácil pesquisa.
  • Eduque os usuários sobre o que torna uma senha forte. Uma senha forte não aparece em nenhum outro lugar do domínio público (como nos dicionários), não aparece em nenhum lugar privado (como outras contas que os usuários têm) e contém caracteres aleatórios suficientes que levaria uma eternidade para se adivinhar, diz Archer. Cameron Bulanda, Engenheiro de Segurança da Infosec, sugere uma demonstração ao vivo do processo de quebra de senha para esclarecer o assunto. “Embora muitas dessas ferramentas possam ser usadas para fins maliciosos, os profissionais de segurança podem usá-las para produzir um exemplo do mundo real de como adicionar complexidade às senhas protege os usuários de ataques”, diz ele.
  • Realize auditorias de senha regularmente. O ideal é que sua organização use um sistema de autenticação que permita auditorias de senha, diz Tim Mackey, Principal Estrategista de Segurança do Synopsys Cybersecurity Research Center (CyRC). “Procure coisas como reutilização de senha entre os funcionários ou uso de palavras comuns ou palavras comuns com simples substituições de caracteres. Se você descobrir uma senha fraca, use o evento como uma oportunidade de aprendizado para os usuários”.
  • Incentive os usuários a examinar suas próprias senhas. Existem vários recursos que permitirão aos usuários investigar o quão segura é uma senha em potencial antes de colocá-la em uso. Por exemplo, Maklakov, da MacKeeper, aponta para o teste de força de senha do My1Login, que informa quanto tempo levaria para um algoritmo típico quebrar sua senha, ou Have I Been Pwned?, que compara sua senha com um amplo banco de dados de credenciais hackeadas circulando no escuro rede.
  • Não torne os erros vilões. Crie um ambiente no qual os funcionários se sintam confortáveis para levantar questões ou preocupações sobre segurança, especialmente se eles suspeitarem que podem ter escorregado, sugere Davey da 1Password.

Uma observação final: a sabedoria “tradicional” da senha está evoluindo, e muitos conselhos que antes eram dados como certos agora são considerados falhos ou ultrapassados. Por exemplo, a versão mais recente das diretrizes de senha do NIST, amplamente considerada o padrão ouro nesta área, desaconselha a prática comum de forçar os usuários a reenviar suas senhas regularmente, pois é oneroso para os usuários apresentarem vários senhas, e muitos acabam alterando suas senhas anteriores de maneiras previsíveis – apenas trocando os cifrões pela letra S, por exemplo.

O NIST também recomenda dar aos usuários a opção de tornar as senhas visíveis ao serem inseridas; isso torna os usuários mais propensos a criar senhas mais longas e complexas, o que mais do que equilibra a chance de que alguém com maldade possa ler a senha por sobre o ombro do usuário. A lição geral é que suas políticas de senha precisam evoluir, assim como o resto do seu programa de segurança. Isso não significa que você estava fazendo algo errado, apenas que opera em uma indústria dinâmica e em rápida evolução!

Fonte: CIO

LinkedIn diz que vazamento de 500 milhões de contas veio de informações públicas

Foto por Christina Morillo em Pexels.com

A rede social LinkedIn afirmou que os dados vazados de 500 milhões de usuários foram coletados a partir de itens publicamente disponíveis em seu site. As informações da rede pertencente à Microsoft estão disponíveis à venda em um fórum de hackers , segundo o site de segurança digital “CyberNews“.

Estão disponíveis dados como: nome, endereço de e-mail, número de telefone e gênero.

A técnica utilizada para coleta dessas informações é conhecida como “raspagem” e foi utilizada no vazamento de dados do Facebook. Nela, os hackers utilizam robôs para armazenar informações que ficam públicas. A rede social afirmou que o método fere os seus termos de uso.

O LinkedIn não informou se pretende notificar as pessoas que tiveram seus dados publicados.

Fonte: Tecnologia IG