Dia Mundial da Senha: interesse em gerenciadores cresceu mais de 500% no Brasil

Neste dia 5 de maio, comemora-se o Dia Mundial da Senha e, segundo o Google, o interesse do brasileiro por palavras-chave seguras e eficientes nunca foi tão alto. Segundo levantamento do Trends, divulgado nesta quinta-feira (5), as buscas por termos como “gerenciadores de senhas” e “autenticação em dois fatores” foram as mais significativas desde o início da série histórica em 2004.

As pesquisas por “gerenciadores de senhas” foram as que mais se proliferaram nos últimos cinco anos (2016 a 2021). Segundo a empresa americana, a alta foi de 523%, um número significativo em comparação aos dados registrados em todo o mundo — 110% — no mesmo período.

Além disso, na analogia direta com 2020, a atenção dos brasileiros aos gerenciadores dobrou em 2021 — e, ainda assim, o Brasil ocupa a 31ª posição no ranking de países que mais pesquisam por gerenciadores de palavras-chave nos anos avaliados.

Outro interesse que cresceu no país na última meia década foi a pesquisa por “autenticação em dois fatores”, que aumentou em 475% — seis vezes a mais do que no mesmo período imediatamente anterior (2010 a 2015) e 33% na comparação entre 2020 e 2021. O termo “vazamento de senha” também cresceu em 299%. Em relação a 2020, a elevação foi de 147%.

Por último, segundo o Google, as buscas por “senha forte” triplicaram em 239% nos últimos cinco anos. O assunto bateu recorde no ano passado, quando se verificou um aumento de 66%. Além disso, boa parte das palavras pesquisadas ao lado de “como proteger” tem a ver com ferramentas como celulares e perfis em redes sociais.

Gerenciador de senhas e autenticação em dois fatores

É possível determinar senhas complexas e seguras para um perfil sem ter que anotar o letreiro num pedaço de papel ou no bloco de notas. Por meio do Gerenciador de Senhas do Google, por exemplo, o usuário pode criar palavras-chave difíceis e simplificar o uso por meio de um armazenamento automático com base em inteligência artificial. Há ainda a opção de completar automaticamente os campos de acesso a contas.

Além disso, o usuário tem acesso a uma camada adicional de proteção de acesso: a verificação em duas etapas, em que a plataforma demanda uma segunda autenticação que pode ser feita por meio de outros dispositivos ou apps, como o Authy e o próprio Authenticator.

O Google também aproveitou o Dia Mundial da Senha para dar dicas para contas mais seguras, como, por exemplo: utilizar todas as possibilidades de caracteres na criação das senhas (símbolos, letras maiúsculas e minúsculas e números), criar palavras-chave variadas para acessos distintos (não repetir códigos em sites e senhas de cartão) e evitar sequências lógicas na senha que remetam a informações da sua vida (como datas de aniversário ou nomes de animais).

Fonte: Olhar digital

Bloqueios de golpes virtuais financeiros crescem 100% de janeiro para fevereiro

Em 2022 continuamos com a alta de ataques virtuais vista nos últimos anos. Segundo um levantamento da firma de segurança PSafe, houve um aumento de 100% nas tentativas de golpes financeiros em fevereiro desse ano, em comparação como mês anterior, beirando o 1 milhão de notificações e bloqueios de ameaças relacionadas durante o período.

Para fins comparativos, em janeiro foram registrados 510 mil tentativas. O milhão de golpes em fevereiro, por consequência, significa uma média de 25 tentativas de golpes financeiros por segundo no Brasil, segundo a PSafe.

“O número impressiona também porque, se compararmos com fevereiro de 2021, houve o mesmo crescimento, de 100%, quando foram registrados cerca de 529 mil bloqueios”, detalha Emilio Simoni, executivo-chefe de segurança da PSafe.

Simoni explica que um dos possíveis motivos para esse crescimento no número de ameaças financeiras são o aumento de detecções de golpes como phishing com PIX temáticos, como carnaval, e também por causa do Sistema Valores a Receber, do Banco Central.

“Até a primeira quinzena de março, já havíamos identificado mais de 20 sites utilizando o nome do Valores a Receber para aplicarem golpes, sendo que um deles já teria feito mais de 664 mil vítimas, segundo nossa projeção com base na estimativa de usuários de Android no Brasil”, afirma Simoni.

Como se proteger de golpes virtuais financeiros

Golpes virtuais financeiros também podem ser enviados via SMS. (Imagem: Reprodução/PSafe)

As ameaças bancárias, como phishing, são velhas conhecidas do cenário de segurança mundial. Mesmo suas abordagens mudando constantemente, dicas gerais de prevenção servem para aumentar a segurança dos usuários independente de como o golpe possa ocorrer. Confira a seguir algumas recomendações:

  • Desconfie de qualquer mensagem que ofereça alguma vantagem ou premiação, incluindo retorno de PIX;
  • Fique atento a qualquer movimentação bancária diferente;
  • Troque suas senhas com frequência;
  • Ao realizar compras, sempre que possível opte por cartões de crédito virtuais, pois são mais fáceis de serem cancelados;
  • Se o banco permitir, faça o ajuste do limite do cartão de crédito para um valor menor;
  • Antes de clicar em qualquer link, busque os canais oficiais das empresas;

Fonte: Canaltech

Google emite atualização urgente do Chrome para corrigir vulnerabilidade de dia zero explorada ativamente

O Google lançou na sexta-feira uma atualização de segurança fora de banda para resolver uma vulnerabilidade de alta gravidade em seu navegador Chrome que, segundo ele, está sendo ativamente explorada na natureza.

Rastreada como CVE-2022-1096 , a falha de dia zero está relacionada a uma vulnerabilidade de confusão de tipos no mecanismo JavaScript V8. Um pesquisador anônimo foi creditado por relatar o bug em 23 de março de 2022.

Erros de confusão de tipo, que surgem quando um recurso (por exemplo, uma variável ou um objeto) é acessado usando um tipo incompatível com o que foi inicializado originalmente, podem ter sérias consequências em linguagens que não são seguras para memória como C e C++, permitindo uma ator para executar o acesso à memória fora dos limites.

“Quando um buffer de memória é acessado usando o tipo errado, ele pode ler ou gravar memória fora dos limites do buffer, se o buffer alocado for menor que o tipo que o código está tentando acessar, levando a uma falha e possivelmente ao código execução”, explica a Common Weakness Enumeration (CWE) do MITRE .

A gigante da tecnologia reconheceu que “está ciente de que existe uma exploração para CVE-2022-1096”, mas não compartilhou detalhes adicionais para evitar mais exploração e até que a maioria dos usuários seja atualizada com uma correção.

CVE-2022-1096 é a segunda vulnerabilidade de dia zero abordada pelo Google no Chrome desde o início do ano, sendo a primeira a CVE-2022-0609 , uma vulnerabilidade use-after-free no componente Animation que foi corrigida em 14 de fevereiro , 2022.

No início desta semana, o Grupo de Análise de Ameaças (TAG) do Google divulgou detalhes de uma campanha dupla realizada por grupos de estados-nação norte-coreanos que armaram a falha para atacar organizações sediadas nos EUA, abrangendo mídia de notícias, TI, criptomoedas e indústrias de fintech.

Os usuários do Google Chrome são altamente recomendados para atualizar para a versão mais recente 99.0.4844.84 para Windows, Mac e Linux para mitigar possíveis ameaças. Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Opera e Vivaldi, também são aconselhados a aplicar as correções à medida que estiverem disponíveis.

Fonte: The Hacker News

Gigantes da tecnologia se unem para acabar para sempre com as senhas

Há cerca de dez anos, um consórcio de empresas de tecnologia e segurança, agências governamentais, instituições financeiras e outros foi lançado com o objetivo de eliminar o uso de senhas em sites, aplicativos e dispositivos. Agora, o Fast IDentity Online (Fido) Alliance parece ter finalmente encontrado um meio para isso.

Em um novo relatório, o consórcio traz um conceito de como tornar a prática do “não uso de senhas” mais ampla.

E o que as pessoas vão usar no lugar de senhas? As opções são muitas: elas podem usar seus celulares, usando SMS ou sensores de proximidade, mas também scanners de impressão digital e íris, reconhecimento facial e de voz. Outras opções são chaves físicas, na forma de chaveiros USB.

O importante é acabar com a senha: é um recurso arcaico, facilmente burlável, e incômodo ao usuário.

Para termos uma ideia do quanto é expressivo o Fido, estamos falando de um consórcio abrangendo fabricantes de chips, como Intel e Qualcomm. Há também desenvolvedores de plataformas como Amazon e Meta (Facebook), instituições financeiras, como American Express, Bank of America, além dos três grandes desenvolvedores de sistemas operacionais comerciais: Google, Microsoft e Apple.

Andrew Shikiar, diretor executivo do consórcio, diz que a autenticação Fido tem que estar prontamente disponível para as pessoas: “As senhas fazem parte do DNA da própria web e estamos tentando suplantar isso. Não usar uma senha deve ser mais fácil do que usar uma senha”.

A autenticação sem senha já é uma realidade, mas ainda encontra dificuldades. Um padrão universal como o Fido pode se tornar disponível em todos os dispositivos do usuário, não importando a marca, e ser facilmente cambiada quando, por exemplo, alguém passa seu notebook ou celular para outra pessoa. Dessa forma, garantindo que você possa sobreviver à perda de um aparelho, pode se sincronizar em diferentes dispositivos.

Fonte: Yahoo!

Acadêmicos brasileiros criam plataforma automatizada de detecção de notícias falsas

O software pode identificar se uma informação provavelmente é falsa com 96% de precisão.

Foto por Joshua Miranda em Pexels.com

Um grupo de pesquisadores brasileiros criou uma plataforma web capaz de identificar informações falsas online de forma automatizada.

Desenvolvido por acadêmicos do Centro de Ciências Matemáticas Aplicadas à Indústria (CeMEAI), o sistema usa uma combinação de modelos estatísticos e técnicas de aprendizado de máquina para estabelecer se um conteúdo específico em português brasileiro é provavelmente falso. Testes iniciais sugerem que a plataforma é capaz de detectar notícias falsas com 96% de precisão.

O CeMEAI é um centro de pesquisa sediado no departamento de matemática e ciência da computação da Universidade de São Paulo, na cidade paulista de São Carlos. O centro é apoiado por bolsas da Agência de Amparo à Pesquisa do Estado de São Paulo (FAPESP).

Em entrevista à agência de notícias FAPESP, o coordenador do projeto e diretor de transferência de tecnologia Francisco Louzada Neto disse que o objetivo do projeto é “oferecer à sociedade uma ferramenta adicional para identificar, não apenas subjetivamente, se uma notícia é falsa ou não”.

O sistema usa métodos estatísticos para analisar as características da escrita, como palavras usadas ou classes gramaticais usadas com mais frequência. Estes são então alimentados em um classificador baseado em aprendizado de máquina, que é capaz de distinguir padrões de linguagem, vocabulário e semântica de notícias falsas e reais, e inferir automaticamente se o conteúdo enviado à plataforma é falso.

Os modelos foram treinados com um enorme banco de dados de notícias reais e falsas e foram expostos ao vocabulário usado em mais de 100.000 artigos publicados nos últimos cinco anos. Os pesquisadores terão como objetivo usar as notícias falsas relacionadas às próximas eleições presidenciais, bem como conteúdos relacionados à pandemia de Covid-19 para calibrar ainda mais os modelos.

Os pesquisadores também comentaram sobre os riscos potenciais do sistema na entrevista, incluindo o potencial de que o sistema possa ser usado por criadores de notícias falsas para avaliar o potencial de conteúdo falso passar por real antes de ser publicado. “Esse é um risco com o qual teremos que lidar”, observou Lozada.

No início deste mês, o Tribunal Superior Eleitoral brasileiro anunciou que assinou acordos com oito das maiores plataformas de mídia social ativas no país para combater a desinformação e a disseminação de notícias falsas que podem prejudicar as eleições presidenciais de outubro.

Twitter, TikTok, Facebook, WhatsApp, Google, Instagram, YouTube e Kwai assinaram acordos individuais com cada plataforma, que descrevem as medidas que cada plataforma adotará para impedir a disseminação de informações falsas e enganosas. No entanto, o LinkedIn ainda está negociando termos com o TSE, órgão máximo da justiça eleitoral do país. O Telegram continua inacessível, apesar das tentativas de contato do TSE.

Fonte: ZDNet

Google Chrome ganha atualização de emergência para fechar brecha

Shutterstock

O Google lançou nesta segunda-feira (14) uma nova e importante atualização de segurança para o navegador Google Chrome. O download deixa o navegador na versão 98.0.4758.102 e é válido para as versões Windows, Mac e Linux.

Segundo a própria empresa, o motivo é corrigir uma vulnerabilidade de dia zero que foi identificada por um dos membros do Threat Analysis Group, a equipe de caçadores de bugs e brechas de segurança que trabalha de forma paralela à empresa.

O erro gerado por essa vulnerabilidade, batizada de CVE-2022-0609, permite a execução de códigos remotos em computadores, o que pode levar a diferentes consequências, desde transformá-lo em uma botnet até o roubo de credenciais de acesso.

Caso grave

Segundo o Bleeping Computer, a empresa confirmou que detectou ataques que se aproveitaram dessa brecha, mas não detalhou exatamente o que foi descoberto. Novas informações podem ser liberadas depois que a maior parte dos usuários estiver devidamente protegido contra a ameaça.

Por isso, a Google recomenda que você atualize o seu Google Chrome ou, se o processo estiver automatizado, ao menos confira nas configurações do navegador se ele está de fato na versão mais recente do programa.

Fonte: Tecmundo

Ataque DDoS de 3,47 Tbps que quebrou recordes da Microsoft em clientes do Azure

Foto por panumas nikhomkhai em Pexels.com

A Microsoft revelou esta semana que evitou um número recorde de ataques distribuídos de negação de serviço (DDoS) direcionados a seus clientes em 2021, três dos quais ultrapassaram 2,4 terabit por segundo (Tbps).

Um dos ataques DDoS ocorreu em novembro, visando um cliente não identificado do Azure na Ásia e durou um total de 15 minutos. Ele atingiu uma taxa de transferência máxima de 3,47 Tbps e uma taxa de pacotes de 340 milhões de pacotes por segundo (pps), tornando-se o maior ataque já relatado na história.

“Este foi um ataque distribuído originário de aproximadamente 10.000 fontes e de vários países em todo o mundo, incluindo Estados Unidos, China, Coréia do Sul, Rússia, Tailândia, Índia, Vietnã, Irã, Indonésia e Taiwan”, Alethea Toh, gerente de produto da Rede Azure, disse .

Os ataques DDoS ocorrem quando vários dispositivos comprometidos são empregados como um canal para sobrecarregar um servidor, serviço ou rede de destino com uma inundação de tráfego da Internet com o objetivo de sobrecarregar os sistemas e interromper seus serviços regulares.

Então, em dezembro, a Microsoft disse que bloqueou mais dois ataques que ultrapassaram 2,5 Tbps, ambos direcionados a clientes na Ásia. O primeiro dos ataques foi um ataque UDP de 3,25 Tbps, enquanto a outra intrusão foi uma inundação de UDP de 2,55 Tbps que durou pouco mais de cinco minutos.

O relatório vem mais de três meses depois que a gigante da tecnologia divulgou que agiu para neutralizar um ataque DDoS de 2,4 Tbps em agosto de 2021 visando um cliente europeu. Outros ataques recordes anteriores incluem um ataque DDoS de 2,5 Tbps absorvido pelo Google em setembro de 2017 e um ataque volumétrico direcionado à Amazon Web Services em fevereiro de 2020.

A Microsoft disse que observou um aumento nos ataques que duraram mais de uma hora no segundo semestre de 2021, enquanto a proporção de ataques de curta duração que duraram 30 minutos ou menos caiu de 74% para 57%. Dito isto, os ataques de longa duração são experimentados como uma sequência de múltiplos ataques curtos e repetidos.

A empresa também disse que mitigou uma média de 1.955 ataques por dia, com um máximo de 4.296 ataques registrados em um único dia em 10 de agosto de 2021. Durante todo o segundo semestre de 2021, nada menos que 359.713 ataques únicos contra sua infraestrutura foram bloqueados, um aumento de 43% em relação ao primeiro semestre de 2021.

A indústria de jogos surgiu como o setor mais atingido, seguido por instituições financeiras, mídia, provedores de serviços de Internet (ISPs), varejo e entidades da cadeia de suprimentos. A maioria das organizações visadas estava localizada nos EUA, Índia, Ásia Oriental (Hong Kong), Brasil, Reino Unido, Coreia do Sul, Japão, Austrália e Emirados Árabes Unidos

“Vimos um aumento acentuado nos ataques na Índia, de apenas 2% de todos os ataques no primeiro semestre de 2021 para a segunda posição em 23% de todos os ataques no segundo semestre de 2021”, disse Toh. “Outro fator determinante pode ser que a aceleração da transformação digital, por exemplo, a iniciativa ‘ Digital India ‘, aumentou a exposição geral da região aos riscos cibernéticos.”

Fonte: The Hacker News

WhatsApp Web libera login em múltiplos aparelhos para todos

Só é possível conectar um celular à sua conta, e o smartphone é necessário para introduzir novos aparelhos.
Fonte:  Divulgação/Whatsapp 

O WhatsApp começou a liberar uma nova versão de seu mensageiro para navegadores com suporte para login em até quatro aparelhos simultaneamente sem a necessidade de manter o celular conectado à internet. A função, que estava em fase de beta até então, desconectará todos os dispositivos “adicionais”, caso o cliente fique 14 dias seguidos sem usar o serviço no smartphone.

Mesmo com a novidade, todas as mensagens continuam com a criptografia de ponta a ponta. A ferramenta será útil para quem utiliza o serviço no trabalho, pois não precisará depender do acesso rápido ao portátil — e nem da bateria. A flexibilidade de conversas também será mais fácil, o cliente pode, por exemplo, mandar a mensagem no laptop, mudar de sala, continuar a conversa em um tablet ou computador enquanto o celular carrega.

As mensagens no WhatsApp Web em todos os dispositivos continuarão sendo sincronizadas em tempo real, como funcionava anteriormente. É importante ressaltar que em testes internos a novidade não foi disponibilizada a todos, mesmo com o aviso de atualização no mensageiro para navegadores. Portanto, é possível que a iniciativa esteja sendo implementada aos poucos.

Caso deseje aproveitar o recurso, mas ele ainda não esteja funcionando, inscreva-se no programa de testes do aplicativo e habilite o recurso “Múltiplos aparelhos”, que está disponível na opção “Aparelhos conectados” dentro do app do WhatsApp em celulares. Não obstante, é possível apenas esperar a chegada da atualização.

Fonte: Tecmundo

Telegram chega ao clube dos aplicativos com mais de 1 bilhão de downloads

Foto por cottonbro em Pexels.com

O Telegram atingiu a impressionante marca de um bilhão de downloads, o que o torna o 15º aplicativo em todo o mundo a chegar neste patamar. Segundo dados da Sensor Tower, o programa alcançou esse número incrível nesta segunda-feira (30), um feito notável para um app que não tem uma Big Tech por trás, como Google, Facebook ou Microsoft.

O relatório publicado com exclusividade pelo site TechCrunch revela que a Índia é o país com mais usuários, com um total aproximado de 22% das instalações do programa. Completam o TOP 3 a Rússia e a Indonésia, respectivamente, com cerca de 10% e 8% de todos os descarregamentos. Como o relatório da Sensor Tower ainda não foi tornado público, não dá para saber em qual posição o Brasil está.

As instalações do Telegram aceleraram em 2021 e chegaram a 214 milhões só no primeiro semestre, o que representa 61% de crescimento no comparativo com o ano anterior (133 milhões). Embora não faça uma associação direta, esse crescimento do Telegram pode ter relação com a polêmica do WhatsApp e sua nova política de privacidade, que autoriza o compartilhamento de dados dos usuários com o Facebook.

Essa quantidade de instalações não significa base ativa: no início de 2021, estimou-se um total de 500 milhões de usuários mensais. O número varia porque há muita gente que instala o app e não o utiliza ou que então já o teve em alguma conta perdida no passado. Mesmo assim, não dá para negar a importância desses números, principalmente quando comparados com os de outros rivais mais “endinheirados”.

Com sede em Dubai, o app de origem russa lançado em 2013 levou algum tempo para se tornar conhecido, mas ganhou fama ao apresentar recursos inéditos que os concorrentes levaram anos para implementar — ou ainda nem o fizeram. A plataforma arrecadou, no início desde ano, mais de US$ 1 bilhão para investimentos, mas ainda segue fiel aos seus princípios de levar a privacidade do usuário a sério.

Fonte: TechCrunch e Canaltech

Cloudflare diz ter bloqueado o ‘maior ataque DDoS da história’

A CDN (rede de distribuição de conteúdo) Cloudflare anunciou, na última semana, ter detectado e mitigado o “maior ataque de negação de serviço (DDoS) da história”. A campanha maliciosa, que teve como alvo uma instituição do setor financeiro cujo nome não foi revelado, aconteceu em julho.

Segundo a companhia, os autores do ataque DDoS enviaram 17,2 milhões de solicitações por segundo para o servidor da organização, com o objetivo de consumir todo o seu processamento e deixar o serviço indisponível. Este número representa três vezes mais que a quantidade de solicitações do recorde anterior.

Todo esse tráfego veio de uma rede de 20 mil dispositivos infectados pelo malware Mirai. O programa malicioso é conhecido por invadir aparelhos IoT que rodam Linux, como roteadores, lâmpadas inteligentes e câmeras de segurança, aproveitando o uso de senhas de fábrica não modificadas pelos proprietários.

Rede Mirai comandou o ataque que foi impedido pela empresa.Fonte:  Cloudflare/Divulgação 

Ainda de acordo com a Cloudflare, a análise dos IPs que enviaram as solicitações ao servidor indicou o uso de dispositivos infectados em 125 países pela rede de bots Mirai. O Brasil aparece em terceiro lugar na lista, com 7% dos gadgets atingidos pelo malware, ficando atrás da Índia (10%) e da Indonésia (15%).

Afetando aparelhos conectados

Muitas pessoas costumam não modificar as credenciais de acesso padrão de roteadores, câmeras e outros dispositivos, facilitando a invasão por arquivos maliciosos. Após infectados, os aparelhos recebem comandos remotamente para atacar os alvos definidos pelos cibercriminosos.

Impedir o acesso de bots do tipo Mirai aos aparelhos conectados à internet é uma das formas de mitigar campanhas maliciosas como esta que resultou no maior ataque DDoS da história. Para tanto, a recomendação é trocar nome de usuário e a senha dos dispositivos.

A empresa especializada em segurança na rede disse ainda que os ataques volumétricos costumam ser de curta duração e difíceis de detectar, exigindo uma maior atenção das organizações.

Fontes: Cloudflare Xataka Tecmundo