INFORMAÇÃO

SEGURA
//////////////////////

SUMÁRIO
1. Objetivo
2. As 5 etapas de um ataque hacker
3. Perfis dos hackers
4. Checklist de segurança nas redes sociais
6. Boas práticas no dia a dia corporativo
7. Identificando ameaças: como constatar que
ocorreu uma infecção?

8. Prevenção e consequências
9. Regras para utilizar wi-fi público com segurança
10. Dicas de segurança – Phishing e Spear/Phishing
OBJETIVO

Conscientizar os funcionários de seu papel na proteção e da

importância dos dados e das informações, com os quais
trabalham.

Dicas de segurança da informação para auxiliar os usuários no

dia a dia profissional e pessoal, visando atingir os seguintes
pontos:

 Obter visibilidade;
 Tratar dispositivos móveis como não confiáveis;
 Garantir que os funcionários usem o Wi-fi de forma
responsável;
 Treinar os funcionários;
 Encontrar o equilíbrio.

01
 AS 5 ETAPAS DE UM ATAQUE HACKER

Reconhecimento 1
O cibercriminoso estuda seu alvo,
descobre os pontos mais fracos e define
o tipo de ataque. Vulnerabilidades
sempre existem em pessoas, processos
ou tecnologias e os hackers são
extremamente criativos ao explorá-las.
2 Entrega
No caso de um phishing, são enviados e-mails
com um link ou anexo malicioso. Sabe-se que
93% do total dos incidentes de segurança
estão associados a esse tipo de ataque.

Exploração
Ao ser instalado um software malicioso,
o atacante passa a residir no sistema. De
dentro para fora da empresa, sempre há
menos controles de segurança, o que
torna o trabalho do hacker mais fácil e
menos perceptível.
3
Comando e Controle
4
Automatizada, a máquina vira um zumbi e
o hacker passa a ter o controle dela e
executa as ações de que precisa, como
infectar outras máquinas da rede, por
exemplo.

Conquista
O que o atacante definiu inicialmente como meta? Seja roubar uma informação, seja
indisponibilizar um sistema, esta é a etapa de finalização do plano, muitas vezes sem
que ninguém da empresa tenha percebido sua movimentação.

02
PERFIS DOS HACKERS

Apoio do Estado
Motivado pelo patriotismo ou organização militar.

Cibercriminoso
Sua motivação é, essencialmente, ganhar dinheiro.

Motivado pelo Ego

Quer provar suas habilidades como forma de ganhar
destaque em seu meio.

Hacktivista
Independente ou membro de grupos, ataca como
forma de promover sua causa ou combater quem
considera opositor.

Hobby
Faz ataques apenas pelo prazer do ato.

03
 CHECK-LIST DE SEGURANÇA NAS REDES SOCIAIS

 Durante anos, os cibercriminosos utilizaram as redes

sociais para enviar phishing, distribuir códigos
maliciosos e coletar dados pessoais,
mas agora estão utilizando-as
também como canal de comunicação
e vendas entre si.

 Em 2016, foram identificados,

aproximadamente, 500 grupos
ligados ao cibercrime com mais
de 220.000 membros.

 A utilização mais visível das mídias

sociais pelos cibercrimonosos
acontece no Brasil, África
Ocidental e China.

 As informações mais compatilhadas entre eles são:

número de cartão de crédito com códigos pessoais e de
autorização, tutoriais de crimes cibernéticos e ofertas
comerciais, como malware.

04
CHECK-LIST DE SEGURANÇA NAS REDES SOCIAIS

ADMINISTRAÇÃO

 Crie senhas complexas de acesso, misturando letras, números e caracteres

especiais;
 Não utilize a mesma senha para todas as contas nas redes sociais e outros
acessos, como contas de e-mail e sites de e-commerce;
 Ative a autenticação de 2 fatores;
 Não cadastre perguntas de segurança que possam ser facilmente
descobertas;
 Cadastre um e-mail de recuperação que seja acessado com frequência;
 Verifique regularmente suas definições de privacidade e as atualize com os
novos recursos de segurança disponibilizados.

ACESSO

 Sempre digite diretamente no browser (navegador) ou utilize o aplicativo

oficial;
 Certifique-se de utilizar conexões seguras ao acessar as redes sociais;
 Utilize proteções de segurança no computador e smartphone, além de
manter tudo atualizado;
 Sempre finalize a sessão após seu uso.

COMPORTAMENTO

 Seja seletivo ao adicionar um amigo ou contato em

sua rede social;
 Seja discreto quanto às informações pessoais publicadas;
 Seja criterioso quanto à publicação de status de localização.

05
 BOAS PRÁTICAS NO DIA A DIA CORPORATIVO

Cuidado com anexos e links nos e-mails: principal vetor de entrada dos
cibercriminosos. Os objetivos vão desde roubo de senhas até a instalação de
softwares maliciosos.

Cuidado com as credenciais: seus dados de acesso são de sua

responsabilidade e, em mãos erradas, podem garantir trânsito livre de criminosos
aos seus dados e à rede da empresa.

Limpe o cache do navegador: a cada duas semanas, limpe o histórico e o

cache do seu navegador para garantir que nenhum software malicioso fique
ligado ao programa.

Não burle as regras: se a empresa possui diversos níveis de acesso à rede e

filtros a sites externos, não é à toa.

Conheça as políticas de segurança: leia a política da empresa e coloque

tais medidas em prática na execução de suas tarefas.

Zele pelo e-mail do trabalho: utilize um e-mail pessoal para fazer cadastros
em sites nos quais você tem interesse particular.

Use senhas fortes: não use senhas fáceis de serem deduzidas e nem anote
em lugares fáceis de serem achadas.

06
 IDENTIFICANDO AMEAÇAS: COMO
CONSTATAR QUE OCORREU UMA INFECÇÃO?

Lentidão do sistema;

Arquivos e pastas desaparecem

ou foram alterados
de alguma forma;

Contatos do usuário passam a receber

spam provenientes da sua conta
de e-mail;

O firewall instalado no computador

informa ao usuário que um
programa da máquina está tentando se conectar
à internet;
O ícone de um programa baixado da internet misteriosamente
desaparece;

Mensagens de erro começam a surgir com

mais frequência;

O led do disco rígido pisca descontroladamente

(mesmo em modo de espera);

O serviço bancário on-line começa

a pedir informações pessoais.

07
 PREVENÇÃO E CONSEQUÊNCIAS

Como impedir que seu computador se torne um zumbi:

Instale um pacote de antivírus e mantenha-o

atualizado;

Garanta atualizações regulares dos softwares

instalados;

Utilize um firewall pessoal e habilite alertas

sempre que um programa tentar se conectar
à internet.

Consequências:
Desempenho instável do computador;

Dados pessoais roubados;

Potencial implicações legais se o seu

computador estiver comprometido.

08
 REGRAS PARA UTILIZAR WI-FI PÚBLICO
COM SEGURANÇA

Não faça nenhuma transação financeira: evite digitar qualquer

informação confidencial de natureza financeira, como número e código de
segurança de cartão de crédito ou senha bancária. Caso seja inevitável, não
menospreze qualquer dica de segurança, incluindo se certificar de que o site
contém a criptografia https.

Considere usar vpn (virtual private network): ela atua como um

intermediário entre seu dispositivo e a internet, criptografando dados
trafegados mesmo quando você utiliza redes desprotegidas. É necessário
pagar por esse serviço, mas se você utiliza redes públicas com frequência, é
um investimento que vale a pena.

Desligue o wi-fi quando não estiver usando: verifique se o seu

dispositivo não está configurado para se conectar automaticamente a redes
de wi-fi desconhecidas. Se sim, desative essa função.

Não confie em redes que não peçam senha: mas não pense que as
redes que utilizam senha são confiáveis. Isso porque um criminoso pode
descobrir a senha usada em um café ou shopping e criar um ponto de acesso
com o mesmo nome.

Limpe os cookies do seu navegador: cookies guardam diversas

informações do que você fez na internet, incluindo nomes de usuário e senhas,
facilitando o vazamento de dados.

Desative o compartilhamento de arquivos: o ideal é que você desative

o acesso remoto, o compartilhamento de impressoras e os arquivos e afins ao
se conectar a um wi-fi público. No Windows, acesse o “Painel de Controle”
em seu computador , procure por “Rede e Internet”,
clique em “Central de Rede e Compartilhamento”,
depois acesse “Alterar Configurações de
Compartilhamento Avançadas”. Desative todas
as funções e salve as alterações.

09
 DICAS DE SEGURANÇA – PHISHING E
SPEAR/PHISHING

Iscas: os cibercriminosos sempre pescam os desatentos com “iscas”

interessantes. Confira!

 Internet Banking;  Cartões de crédito;

 Notícias e boatos;  Imposto de Renda;
 Avisos judiciais;  Prêmios e formas de ganhar dinheiro fácil;
 Promoções;  Datas especiais para o comércio, como Dia das
 Empregos; Mães, Black Friday e Natal;
 Grandes eventos como Copa do Mundo,
Eleições e Olimpíadas.

Phishing: ataque
amplo, automatizado
e menos sofisticado.
Spear phishing: ataque
personalizado para um
funcionário ou departamento
específico de uma empresa.

E-mail: é o formato mais

comum para envio de
phishing e o caminho mais
fácil para um atacante entrar
em uma rede corporativa.

 74% dos ataques  140 bilhões de e-mails  Em 2014, durante as

direcionados utilizam corporativos são eleições, houve um aumento
e-mails como vetor. trafegados diariamente. de 880% de phishing e spear
phishing no Brasil.

10
PARECE, MAS NÃO É! PARA IDENTIFICAR UM GOLPE,
FIQUE DE OLHO AOS DETALHES!

Lógica
 Você conhece essa pessoa que mandou a mensagem?
 Você realmente participou desse evento?
 Se inscreveu nesse concurso?
Ortografia
 Há erros de grafia ou gramaticais nos textos?
 É muito comum identificarmos erros assim nesse tipo de ataque.

URL
 Antes de clicar, passe o mouse por cima do link para verificar se a
URL está correta.

Padrão
 O que a mensagem de e-mail está solicitando é padrão?
 Bancos, por exemplo, frequentemente alertam para o fato de não
solicitarem senhas por e-mail.

Design
 As imagens contidas na comunicação são as que a empresa costuma
utilizar? Atenção ao cuidado na formatação da mensagem.

Ação
 A mensagem pede uma ação imediata para desbloquear uma conta,
aceitar uma intimação ou pagar alguma multa? Antes de se desesperar,
pense bem se essa mensagem deveria ser enviada a você.

Atenção! Caso você receba algum e-mail suspeito, como, SPAM,

e-mail marketing, phishing ou qualquer outro e-mail indesejado,
encaminhe para: cybersecurity@telemont.com.br.

11