Escolar Documentos
Profissional Documentos
Cultura Documentos
Descomplicando A Segurança Digital - Hugo Carvalho
Descomplicando A Segurança Digital - Hugo Carvalho
DESCOMPLICANDO A
SEGURANÇA DIGITAL
HUGO CARVALHO
© Hugo Carvalho
Hugo Carvalho
Í
Índice
0 - Sobre o Autor
1 - Introdução
3 - Conhecendo o inimigo
7 - Conclusões
0 - Sobre o Autor
Hugo Carvalho é um profissional apaixonado por tecnologia,
que desde criança é fascinado pelo poder que o mundo
digital agrega as pessoas e facilitam suas vidas. Ele já se
aventurou (e fracassou) pelos mais diversos cenários e
empresas, trabalhando como pesquisador em tecnologia,
desenvolvedor, empreendendo, e ultimamente dirigindo a
área de TI de uma grande empresa brasileira. Em sua
carreira, também já passou por grandes empresas como a
Amazon Web Services, onde foi o responsável técnico por
todas as Startups que utilizam cloud na America Latina nos
mais diversos estágios de maturidade e foi o arquiteto de
soluções responsável pela conta do Nubank, um dos
maiores unicórnios brasileiros.
Já recebeu com uma de suas startups o prêmio de Jovem
Empreendedor do jornal O Globo e da FGV e também teve
uma de suas startups eleita como a melhor startup do Brasil
em 2014 no Desafio Brasil, onde concorreu com mais de
1000 startups de todo o país.
1 - Introdução
- Tim Cook
❖ O que é insubstituível?
❖ O que poderia causar mais dano?
❖ Fotos e vídeos;
❖ Segredos empresariais;
❖ Contas de email;
❖ Senhas;
❖ Dados financeiros;
Você não quer que a inocente foto do seu filho em uma rede
social vá parar em uma rede de crimes de pedofilia ou que
aquela sua foto ou vídeo em um momento íntimo vá parar
em um grupo de Whatsapp. Durante o livro, vamos
entender como podemos fazer um esforço para atribuir
segurança aos ativos que você mais dá valor e que
apresentam os maiores riscos. Dado que o tempo é limitado
e que é impossível ter algo 100% seguro, devemos focar
nossos esforços na segurança dos ativos de maior valor.
Segurança, ameaças e
vulnerabilidades
Uma forma bem interessante de se analisar a segurança é o
modelo de segurança em camadas ou modelo em cebola. É
como uma cebola. No nível de ativos, temos todos os ativos
que damos valor, e o tipo de privacidade ou anonimidade
que desejamos. Para garantir a segurança desses ativos,
precisamos nos munir de ferramentas de segurança, como
Firewalls, Criptografia, rede Tor, autenticação em duas
etapas, etc. Esses mecanismos de segurança são utilizados
para nos proteger de ameaças como Vírus, Phishing,
Exploits, Malware, Backdoors, Espionagem(não se preocupe,
vamos explicar cada um deles durante o decorrer do livro).
Nada é 100%
Depois de estudar sobre todo esse ambiente envolto em
ferramentas de segurança, ameaças, adversários e ativos,
você pode estar com uma pergunta na cabeça: “ Consigo
ter algo 100% seguro?”. E a resposta é simples: não. Temos
sempre que aceitar que é impossível fazer um sistema ou
plataforma 100% segura. É impossível pensar em um
ambiente que tem 0% de risco. Se alguém te vender algo
100% seguro, fuja!
❖ Confidencialidade;
❖ Integridade;
❖ Disponibilidade.
Confidencialidade
A confidencialidade está relacionada intimamente com o
conceito de privacidade que mencionamos anteriormente.
As medidas tomadas para garantir a confidencialidade são
sempre associadas ao objetivo de prevenir que pessoas
indevidas acessem informações indevidas. E que as pessoas
que podem acessar a informação
consigam acessa-la. Como exemplo de métodos de
confidencialidade, podemos citar:
❖ Reconhecimento facial.
Integridade
A integridade está relacionada com a consistência e a
precisão de uma informação. A informação não pode ser
modificada ao ser transferida e/ou ao ser armazenada. E
caso isso ocorra, devemos ter mecanismos para garantir
que essa “ corrupção” de dados seja detectada.
❖ Checksums, ou assinaturas/validações de
integridade, que permitem detectar se algum pedaço da
informação foi alterado, seja por um humano, seja por
um evento não-humano como um pulso
eletromagnético (filmes de ficção), uma falha em um
servidor ou simplesmente um erro na escrita de um
disco rígido no seu computador. Nesse caso, para
garantir a integridade, podem ser necessárias cópias
adicionais de todos os dados, por exemplo, em um HD
externo ou uma cópia em um provedor de nuvem.
Disponibilidade
Por fim, temos a disponibilidade, que tem relação com
garantir que as pessoas, que podem acessar uma
informação , tenham de fato acesso a informação. Imagina
que você precisa pagar uma conta que vence hoje
utilizando o seu Internet banking, mas ao acessar, o site do
banco está fora do ar. Você tem a sua informação, mas não
consegue acessá-la quando mais precisa. Esse seria um
problema de disponibilidade. Para garantir a disponibilidade,
podemos pensar em alguns mecanismos como:
Proteção em Camadas
3 - Conhecendo o inimigo
- Bruce Scheier
O complexo da vítima
Depois de ler todas essas informações, você pode estar
pensando: Por qual motivo alguém tentaria invadir o meu
computador. Logo eu, que não sou uma figura pública, sem
muita relevância ou sem informações ultra-secretas. A
grande verdade é que hoje em dia essa atividade não é
mais executada por humanos e sim coordenada por
humanos.
disso, já passou
o tempo onde um atacante atingia uma vítima por “
brincadeira”, como apagar os dados do disco ou trocar o
papel de parede da vítima. Os atacantes perceberam que o
maior valor é infectar um dispositivo, executar na surdina e
inteligentemente encontrar formas de extorsão.
❖ Hugo+c4ch0rr0@gmail;
❖ Hugo+c4ch0rr0@facebook;
❖ Hugo+c4ch0rr0@bancodobrasil.
Bugs e vulnerabilidades
Um software é uma combinação de centenas de milhares de
linhas de código, que envolvem um trabalho humano de
converter a vontade de seus clientes em códigos que viram
produtos e serviços. A produção humana de código é
passível de falhas, que são chamadas de bugs ou
vulnerabilidades. Os bugs podem ser inofensivos como um
botão que pode assumir uma cor diferente, ou um
comportamento esquisito. Mas eles também podem permitir
o uso indevido de um sistema, acesso a uma área protegida
por parte de um usuário sem permissão, ou até a leitura de
conteúdo criptografado. Um alarmante caso recente foi o
Heartbleed, que explorava uma falha no algoritmo de
geração de chaves utilizadas na Internet para fazer
conexões seguras que utilizam o https. Para o leitor mais
leigo, o https é um protocolo que garante que os dados
enviados para sites como sites de bancos não possam ser
lidos por outras entidades diferentes de você mesmo e o
banco. O que aconteceu é que uma falha existente nesse
protocolo, utilizado por milhões de sites, permitia que um
atacante tivesse acesso a todo conteúdo trocado como
usuários e senhas, números de cartão de crédito, etc. caso a
versão do protocolo de segurança utilizado pelo site não
estivesse atualizada.
Dica do Autor: Você pode encontrar neste link uma lista das
dez maiores fraudes reportadas nesse link(
http://www.consumerfraudreporting.org/current_top_10_sca
m_list.php )
Virus
Programas que se prendem em arquivos limpos com o
objetivo de infectá-los e propagar o programa contaminado.
Eles podem se espalhar através da Internet, em anexos de
e-mails, etc. Normalmente, eles são ativados ao se executar
um arquivo contaminado.
Rootkits
São programas que tem a intenção de permitir um acesso
completo de um sistema por um atacante remoto. Os
rootkits podem ser instalados ao se abrir um conteúdo como
um anexo de e-mail ou um belo arquivo Powerpoint que a
sua tia te enviou. Ao instalar um plugin no seu navegador
de Internet, ou até mesmo uma falha de segurança do seu
sistema operacional. O objetivo do rootkit é se camuflar no
sistema, substituindo por exemplo, processos e aplicações
legítimas por cópias alteradas que podem monitorar e atuar
sobre o que está sendo feito no computador.
Ramsonware
O ramsonware é um programa que tem o claro objetivo de
extorquir uma vítima. Em inglês, ransom significa resgate. A
ideia do programa é simples. Ele explora alguma
vulnerabilidade de um sistema (seja a abertura de um
anexo estranho, a abertura de um documento com macros,
uma falha em um software desatualizado, etc.) para entrar
em um sistema. De forma sorrateira, ele criptografa todos
os arquivos do sistema, bloqueia o seu acesso e cobra um
valor monetário para liberar o acesso aos dados. Por utilizar
a criptografia para o mal, dificilmente uma pessoa do bem
conseguiria descobrir a senha para descriptografar o
conteúdo e acabam pagando o resgate. A recomendação é
não pagar o resgate, pois além de mostrar para o criminoso
que o crime compensa, ainda existe o risco de você pagar e
continuar sem os seus arquivos. O atacante é uma pessoa
do mal. Ele não tem ética e nem honra. Portanto, nada
garante que ele vá ser bonzinho e devolver os seus dados.
Vamos lembrar do modelo zero de confiança. Para se
proteger, nada como ter uma cópia de arquivos importantes
em diversos provedores de nuvem ou em um hd externo
(depende sempre do valor da informação que você quer
proteger). Vale relembrar que recentemente tivemos o
ataque chamado de WannaCry, que foi um ramsonware que
utilizou uma falha em sistemas Windows para propagar um
malware em escala global. Diversas instituições como
hospitais, escolas, escritórios de advocacia, fabricantes de
carros, foram afetadas e tiveram severas perdas.
Spyware
Os spywares são parecidos com os loggers, no que tange a
captura de informações do usuário. Só que geralmente a
finalidade aqui é aprender o comportamento do usuário
para depois ofertar um produto direcionado, ou entender se
um cliente usa um produto da concorrência, etc.
Engenharia Social
A engenharia social é relacionada com a manipulação de
pessoas, de forma a extrair informações confidenciais ou
fazê-las executar ações em benefício dos atacantes. Por
exemplo, um atacante pode fazer uma ligação se passando
por um diretor de uma empresa, e pressionar um
funcionário abaixo na hierarquia a liberar o acesso a um
sistema. Se sentindo coagido, o funcionário acaba
fornecendo o acesso, com medo de represálias. Outro
exemplo seria um funcionário que fica amigo de uma
secretária com a intenção de ter acesso ao seu computador
e roubar informações sigilosas e acessos de altos executivos
de uma empresa. Todos os ataques anteriormente
mencionados também se utilizam da engenharia social. Por
exemplo, um email falso (phishing) sobre uma conta
atrasada usa a psicologia para saber que uma multa faz o
usuário temporariamente se esquecer da segurança e faz o
usuário ficar ansioso para resolver o problema para não
levar prejuízo.
Antivirus e Anti-Malwares
A ferramenta mais conhecida e utilizada para se proteger
são os anti-vírus/anti-malwares. Como o nome diz, os anti-
vírus são ferramentas que varrem o seu computador na
busca de padrões ou assinaturas que se assemelham a
ataques ou exploração de vulnerabilidades. Ao detectar, o
anti-vírus pode colocar esse material em quarentena ou
sugerir a exclusão dos mesmos. Hoje em dia as ferramentas
de anti-vírus estão bem evoluídas e não se limitam a apenas
essa atividade. Em alguma, você consegue submeter um
arquivo baixado para um time de especialistas avaliar, e até
detectar que algum código malicioso está criptografando
arquivos e atuar para bloquear isso (bloqueando por
exemplo um ataque de ramsonware). Sempre tenha um
anti-vírus bem configurado e instalado. Um anti-malware
gratuito excelente (com suporte para Windows, MacOSX e
Android) é o Malwarebytes ( https://br.malwarebytes.com/ ).
Firewall
Os firewalls são programas que atuam como uma barreira
de entrada/saída. Eles funcionam como um
porteiro/segurança de um condomínio, que possui uma lista
com quem pode e não pode entrar. E ele garante que a lista
será obedecida à risca. No caso dos computadores, o
firewall pode definir quais serviços podem enviar e receber
dados, e por quais portas TCP/UDP esses dados serão
enviados. Caso não saiba o que é TCP e UDP, não se
preocupe.
Navegadores Web
Para a maioria dos usuários, os navegadores como o Mozilla
Firefox, Apple Safari ou Google Chrome são a porta de
entrada para a Internet. A recomendação geral é sempre
manter o seu navegador atualizado. É importante notar, no
entanto, que hoje em dia temos navegadores com alto nível
de segurança como o Google Chrome, mas ao mesmo
tempo, existe um desafio de privacidade. Conforme falamos
anteriormente é desafiador encontrar uma solução que
garanta segurança e ao mesmo tempo garanta total
privacidade. No caso do Google Chrome, ele oferece alertas
de ameaças como sites que foram denunciados ou
detectados como maliciosos ou phishing.
Rede tor
O nome da rede TOR vem de um projeto chamado de The
Onion Router. Ou o roteador cebola. O nome foi inspirado
em um projeto de um laboratório de pesquisa naval nos
EUA. Resumidamente o TOR é um programa que esconde
sua identidade na Internet e impede que terceiros
visualizem suas atividades on-line. O termo roteamento em
cebola vem da ideia de que existem diversas camadas de
proteção ou embaralhamento para se chegar a um destino,
o que protege a origem de alguns tipos de rastreamento.
Você pode fazer o download do navegador TOR para
Windows, Linux e Mac.
Canary Tokens
- Chris Pirillo
Webcam e Microfone
Infelizmente vivemos em um mundo inseguro. E sabemos
que a qualquer momento, podemos ter informações
preciosas expostas. Com o avanço dos computadores e da
tecnologia, cada vez mais os dispositivos como Desktops e
Notebook são adquiridos de fábrica com microfones e
câmeras. O que muita gente não sabe é que é
relativamente fácil para um atacante comprometer esses
dispositivos e passar a utilizá-los como mecanismos de
espionagem ou até de extorsão. Muitas pessoas por
exemplo possuem um computador em seus quartos. Esses
dispositivos, se comprometidos, podem permitir que um
atacante monitore e grave todos os sons e vídeo do
ambiente, como uma câmera de segurança. Já parou para
pensar que tudo que você faz ou já fez em seu quarto pode
ter sido gravado por uma pessoa com más intenções? Uma
atitude simples que você pode fazer é tampar a webcam
quando não estiver utilizando. Pode ser com um adesivo,
silver tape, fita isolante, o que for.
Notebook
O notebook é um dos maiores alvos dos atacantes. Além de
todos os ataques virtuais, ainda existem os ataques físicos
como furtos e roubos. Mantenha sempre o sistema
operacional atualizado. Além disso, um notebook pode ser
facilmente comprometido, bastando que o atacante tenha
acesso físico ao mesmo por um período de tempo. Um
conhecido tipo de ataque é chamado de Evil Maid Attack, ou
ataque da “ empregada do mal”. Ele consiste em um
atacante, que ao ter acesso físico ao computador (como
uma empregada que faz a limpeza da sua casa teria),
espeta por exemplo um pendrive que instala um keylogger
ou modifica o sistema operacional do computador. Após
isso, a máquina está infectada e pode ter sido atingida por
uma ou mais das categorias de malwares que já
apresentamos. Para diminuir a chance de problemas, os
sistemas operacionais mais atuais como Windows, Linux, e
MacOSX, já possuem mecanismos nativos de criptografia
completa do disco. Esse mecanismo dificulta que um
atacante consiga descobrir o conteúdo armazenado em um
hd de um notebook roubado. No MacOSX, pode-se utilizar o
FileVault, nativo do sistema operacional. No Windows, existe
o BitLocker. Além da criptografia total do disco, é
interessante pensar em se ter uma partição ou pasta
criptografada a parte, para guardar arquivos sigilosos com
mais uma camada de segurança.Para se preparar parar um
eventual furto, deve-se ter anotado em local seguro:
Sistemas Operacionais
Hoje em dia existem as mais diversas opções de sistemas
operacionais. Temos desde o clássico Windows, passando
pelo MacOSX, centenas de distribuições Linux até o
ChromeOS (modificação baseada em Linux para dispositivos
Google). Para o smartphone, temos o Windows Phone
(projeto abandonado), Android e iOS. A escolha do sistema
operacional vai do gosto do usuário. Mas é importante
atentar para alguns pontos no que tange a segurança. Um
ponto comum para todos eles é: mantenha sempre o
sistema atualizado, com as últimas atualizações de
segurança disponibilizadas pelos fabricantes. Outro ponto a
se considerar é: sistemas fechados como o Windows ou
MacOSX possuem código fonte protegido. Ao proteger o
código, pode-se obter um determinado nível de segurança
por ofuscação (esconder), ou seja, uma vulnerabilidade não
fica exposta explicitamente. Mas isso não significa que o
sistema seja mais ou menos seguro. Em minha visão,
sistemas open-source são inerentemente mais seguros, pois
seus códigos podem ser vistos e auditados por qualquer um
e a segurança desses sistemas está em seu design e
segurança de seus algoritmos e não em esconder coisas
falhas.
Windows
Os sistemas operacionais da linha Windows são conhecidos
pelas mais diversas falhas de segurança, algumas muito
conhecidas como a explorada pelo Ramsonware Wannacry.
Hoje em dia, o Windows 10 apresenta um bom nível de
segurança, incluindo até ferramentas nativas de criptografia
de disco como o Bitlocker. No entanto, do ponto de vista de
privacidade, o Windows 10 não seria uma escolha indicada.
Artigos como
(https://www.pcworld.com/article/2971725/windows/how-to-
reclaim-your-privacy-in-windows-10-piece-by-piece.html)
demonstram que, para “ entregar" uma experiência mais
imersiva e “ benéfica” para o usuário, a Microsoft precisa
coletar alguns dados do usuário. O Windows mais recente
(Windows 10) é recheado de pontos de coleta de dados que
monitoram o que o usuário faz no computador. Não
necessariamente eles são ruins, mas deve-se buscar um
equilíbrio entre segurança e privacidade. Alguns exemplos
de pontos de coleta do Windows 10:
MacOS X
O MacOSX, de uma forma geral, possui melhores
mecanismos para garantir a segurança. Além disso, já vem
de fábrica com suporte a criptografia de disco, através do
FileVault. No entanto, no que tange a privacidade, temos
algumas preocupações como as verificadas em
https://www.washingtonpost.com/video/business/technology
/how-apples-os-x-yosemite-tracks-
you/2014/10/22/66df4386-59f1-11e4-9d6c-
756a229d8b18_video.html?
noredirect=on&utm_term=.923622fa3b48:
Chrome OS
O uso de um notebook Chromebook com ChromeOS pode
ser uma boa escolha para quem busca mais simplicidade e
segurança. Ele é recomendado por experts em segurança
pois ele dificulta a vida do usuário que acaba “ fazendo
besteira” e instalando coisas erradas, clicando em
extensões de navegador, etc. Para tentar melhorar a
segurança, o ChromeOS utiliza um conceito chamado de
sandbox, onde ele cria um ambiente isolado para cada app
que executa dentro dele. Além disso, ele aplica
automaticamente fixes de segurança para garantir que o
sistema esteja sempre atualizado. O ChromeOS ainda não
tem muita penetração no mercado brasileiro. Vamos
acompanhar a sua evolução.
Smartphone
Hoje em dia, um dos dispositivos mais sensíveis e
vulneráveis são os smartphones. Praticamente todas
pessoas possuem um. E todas pessoas estão o tempo todo
com ele e acabam tendo toda a sua vida digital ali dentro.
Mal sabem as pessoas que elas estão trocando comodidade
por um alto risco. Vamos começar listando algumas coisas
(ativos) que as pessoas costumam ter em seus
smartphones:
E-Mail
Muitas pessoas não dão o devido valor aos emails. Os
emails são uma das partes mais sensíveis do ponto de vista
de ativos a serem protegidos. É só parar para lembrar que
praticamente todos os sites e serviços pedem um email
como informação de login. E geralmente, processos como
compras, operações na bolsa, contratação de serviços,
contratos, boletos, etc. são sempre validados com um email
de confirmação. Em posse do seu email, um atacante pode
não só utilizá-lo, como explorar todos seus emails e
descobrir com quem você troca mensagens, mensagens
confidenciais, serviços que você assina, produtos que você
compra, sites que visita, etc. Além disso, processo padrão
de praticamente todos os sites e serviços é, em caso de
esquecimento de senha, o envio de um email para reset de
senha. Se um atacante consegue acessar o seu email,
mesmo que ele não tenha a sua senha do Facebook, ele
consegue clicar em esqueci a minha senha, passando suas
credenciais no Facebook. E pronto, o link para fazer o reset
chegará no seu email. E o atacante tem acesso ao seu
email. Como boa prática, sempre habilite autenticação em
dois fatores em seus serviços de email. Do ponto de vista de
privacidade, uma boa ideia é ter vários endereços de email.
Um email voltado para parte financeira. Outro para compras
online, etc. Nesse caso, se uma conta for comprometida,
isso reduz o raio de alcance do atacante.
Internet em Estabelecimentos,
Hotéis, Cafeterias
A regra de ouro é sempre evitar acessar internet de locais
públicos ou inseguros. Se estiver em uma cafeteria, se
possível, usa o 4G do seu celular em detrimento a Wi-Fi. Se
realmente for necessário conectar, utilize uma VPN. Evite
deixar seu dispositivo longe do seu alcance como deixar em
uma mesa para ir ao banheiro. Carregue seus dispositivos
sempre com você. E em nenhum momento deixe o
computador ou celular desbloqueado em cima da mesa.
Relacionamentos Online
O mundo moderno tem soluções modernas para o
relacionamento. Uma grande tendência são os aplicativos
de relacionamento como Tinder, Happn, etc. O grande
perigo nesse tipo de aplicação é que estamos, no final do
dia, falando com completos estranhos. Nada impede de que
um atacante, se passe por uma pessoa diferente, com fotos
falsas, e te convença a marcar um encontro. E ao chegar lá,
surpresa. Você pode ser assaltado ou sequestrado. Se você
tiver a necessidade de utilizar algum tipo de app de
relacionamento, evite colocar informações muito pessoais
ou dados sigilosos. Evite fotos constrangedoras. Se possível,
conhecendo melhor alguma pessoa, faça uma pesquisa de
background. Veja se tem Linkedin. Se tem amigos em
comum. Busque o perfil dessa pessoa em outras redes
sociais e veja se realmente a pessoa aparenta “ existir”.
Esqueça essa ideia de mandar vídeos, nudes, ou seja lá o
que for. Ao enviar isso para um desconhecido, tenha certeza
de que eventualmente esses dados podem cair na Internet.
E uma vez que está lá, por mais que se tente, esse tipo de
conteúdo nunca será totalmente removido. Prejudicando
sua reputação online e offline. Imagine a dificuldade de uma
pessoa que teve vídeos íntimos constrangedores publicados
em grupos de WhatsApp e na Internet em geral. Será que
ela conseguirá um emprego? Será que ela suportará a
zoação e as brincadeiras na rua? Será que ela terá o
respeito das pessoas? Será que ela voltará a ter alguma
vida social? Imagine também que em posse desse tipo de
conteúdo, você pode ser alvo de extorsão. Um perfil virtual
pode te estimular a mandar vídeos ou fotos
comprometedoras. E depois te ameaçar. Se você não for em
um local X ou transferir Y dinheiro, vou divulgar suas fotos
íntimas na Internet. Que situação complicada! Ao marcar
encontros online, opte por locais muito movimentados e
seguros, como shoppings. Locais onde você possa sair
rapidamente em caso de problemas ou buscar ajuda. Evite
parques pouco movimentados, locais desertos, ou locais
próximos de regiões de risco.
Ambiente de Trabalho
Sempre que possível, evite deixar ativos pessoais
desprotegidos. Coisas como celulares em cima da mesa, ou
carteiras ou bolsas em cima da mesa. Utilize um armário
com chave ou guarde isso no seu bolso. Em caso de ter uma
mochila, uma mochila com cadeado já ajuda. Em hipótese
nenhuma deixe sua estação de trabalho desbloqueada.
Evite misturar dados pessoais ou usar dispositivos
corporativos para atividades pessoais. Isso pode abrir
vetores de segurança que podem afetar a empresa. Ou
sistemas de monitoramento da empresa podem coletar seus
dados pessoais. Se possível, tenha um celular corporativo e
um celular pessoal. Em um cenário extremo, você poderia
ser demitido e perder acesso ao computador. E se você
tinha algo pessoal na máquina... Bom. Isso agora está na
mão da empresa. Evite comentar sobre finanças ou ativos
que requerem privacidade em um ambiente de trabalho.
Você nunca sabe quem pode estar ouvindo e a intenção de
pessoas que podem estar ouvindo.
PIX
O PIX é um sistema de pagamentos instantâneos
desenvolvido pelo banco central e que está ativo no Brasil
desde o final de 2020. Ele permite transferências
instantâneas para pessoas e empresas. Basta escanear um
QR Code (uma espécie de código de barras). Transferências
PIX não tem custo e funcionam 24h por dia e 7 dias por
semana. Diferentemente do TED que possui restrições de
horário. O grande desafio do PIX é justamente o seu pouco
tempo de maturidade (este livro foi atualizado em fevereiro
de 2021) somado ao fato de funcionar 24h por dia. Em uma
situação de ameaça, um atacante poderia forçar você a
escanear um QR Code e “instantaneamente" ele poderia te
roubar. Se fosse um TED ou DOC, existiriam limites mais
rígidos e horários mais restritos de operação.
Hoje em dia, não existe uma padronização entre as
instituições financeiras que suportam o PIX. Para algumas,
limite de transferência é dinâmico baseado no usuário. No
geral, o usuário não possui poder suficiente para definir
limites de transferência, cadastro obrigatório de destinatário
ou horários/dias da semana em que o seu PIX irá funcionar.
Espero que em breve os bancos implementem
configurações mais seguras para proteger seus usuários dos
riscos do PIX.
❖ Casa/Local Seguro
Clonagem de whatsapp
Uma fraude bem comum é a clonagem de Whatsapp. Como
funciona? Alguma pessoa má intencionada infiltrada em
uma empresa de telecom aproveita algum período do dia
para redirecionar o seu número de telefone para um chip
pré-pago. Como no Whatsapp, basta confirmar o
recebimento de um código no telefone, o atacante configura
um Whatsapp no chip pré-pago e confirma que é o detentor
do número. A partir disso, ele pode receber suas mensagens
de Whatsapp e começar a tentar golpes de extorsão. Por
exemplo, se passar por você e pedir para parentes e amigos
algum tipo de transferência.
Cartão Extraviado
Um caso inusitado aconteceu com uma pessoa próxima. O
seu cartão de crédito tinha vencido e ele estava aguardando
um novo cartão. O cartão demorou mais do que o comum,
mas ok. Chegou. Ao chegar em casa, esse meu conhecido
pegou o cartão, olhou o número que fica naquele adesivo
colado no cartão novo. Ligou e começou o processo. Ele caiu
num robô de atendimento.
Vazamento de Dados
Já vi acontecer algumas vezes. No Brasil, no final de 2020 e
início de 2021, tivemos dois grandes vazamentos de dados.
Um expôs mais de 223 milhões de brasileiros. O outro vazou
dados de mais de 102 milhões de brasileiros incluindo
números de telefone. Até o número do presidente apareceu
no vazamento.
TIKTOK Copy/Paste
monitoramento
A notícia original pode ser vista nesse link. Com o
lançamento iminente do iOS14, novo sistema operacional
da Apple para seus dispositivos móveis, a Apple incluiu uma
nova função de segurança. Essa função avisava para o
usuário sempre que algum aplicativo capturava o conteúdo
do seu clipboard (uma área de memória que armazena o
que você copia e cola no celular. Por exemplo, copiar um
número de telefone para enviar para alguém). Sempre que
isso acontecia, o Tik tok lia tudo que você copiava. Isso
poderia incluir links, mensagens, senhas, etc.
Assalto e extorsão
Recentemente, um amigo de um amigo passou por uma
situação bem complicada. Ele foi assaltado e o assaltante
pediu para ele desbloquear o celular. Rapidamente, o
assaltante acessou o email dessa pessoa e trocou a senha,
assim como senha de outros aplicativos. Como ele perdeu o
telefone e o email, ele simplesmente não conseguia fazer
nada. Nem comprovar que ele era ele para acessar os apps
de finanças, etc. Pois todos envios de “recuperar senha”
caiam no email que foi furtado. Como ele tinha diversos
apps de bancos e corretoras no celular, o estrago foi
enorme e a dor de cabeça para obter novamente os
acessos.
7 - Conclusões
Se você chegou até aqui, parabéns. Posso garantir que você
agora detém um conhecimento bem acima da média sobre
segurança digital aplicada ao dia-a-dia. Você já consegue
identificar seus ativos, as formas de protegê-los, e as
ameaças para cada um deles. Além disso, já sabe como
dificultar o trabalho de um atacante em suas interfaces de
contato com o digital, como computadores, smartphones,
redes abertas, redes sociais, etc. E já sabe como se portar
para ser menos vulnerável, e ser uma vítima mais
preparada para o mundo cheio de truques e trapaças em
que vivemos. E o mais importante: Agora você não será
mais o primeiro personagem a morrer no filme de terror! ;)
Você agora possui um conjunto diferenciado de habilidades
e conhecimentos que te colocam na dianteira da corrida por
segurança. Mas não se sinta confortável e seguro. Como
você bem aprendeu: Nada é 100% seguro! O trabalho por
aqui acabou. Mas a jornada é contínua.
- Britney Hommertzheim