Segurança 15 Jul
Com o uso a tecnologia em maior evidência devido ao contexto da pandemia do novo coronavírus, a frequência em que ocorrem crimes no ambiente virtual acaba por aumentar. Não são raras as vezes nas quais novos golpes aparecem e fazem milhares de vítimas na internet.
Para levar mais conhecimento ao público em relação à segurança digital e como se prevenir de ataques por criminosos, a ESET realizou um seminário online com jornalistas, na manhã desta quinta-feira (3). O Detetive TudoCelular esteve na conferência e passa os detalhes a você a seguir:
Você sabe quem está por trás dos ciberataques? Muitas vezes, na hora de classificar o autor do ato ilegal, usamos o termo “hacker” – tanto na mídia quanto em filmes e séries. No entanto, a ESET explica que esses indivíduos os quais se aproveitam de brechas do sistema são corretamente chamados de “cibercriminosos”.
O hacker, em contrapartida, seria – por definição – um conhecedor de determinado assunto a fundo. No contexto da segurança digital, eles são os que protegem as empresas, porque dividem conhecimento de segurança com a comunidade.
A palavra “malware” vem de malicious software, ou seja, um programa que possui um código malicioso para invadir a máquina da vítima. Entre eles, existem alguns principais, como vírus, trojan, worm, botnet, CoinMiner, spyware e ransomware. Cada um possui um meio de propagação.
Esses tipos ainda incluem “famílias” que mantêm alguma característica similar – como a forma de disseminação –, mas se diferem no software e na especificidade da ameaça. Como exemplo, é possível pegar o ransomware. Eles se propagam por compartilhamento de arquivos no Windows – o chamado Eternal Blue –, mas são encontrados na forma de diferentes famílias, como WannaCry, Locky ou Crysis.
Existem também variantes em cada uma dessas “famílias” de malware. A distinção aqui cabe a mudanças no código e no IP do software.
Este ano predominado pela pandemia do novo coronavírus demandou mais uso de tecnologia por parte das pessoas, devido às medidas de isolamento social aplicadas no Brasil e no mundo. Mas o grande volume de utilização da internet também fez aumentar o número de golpes online.
A ESET divulgou alguns números que mostram essa alta. No período entre janeiro e junho de 2020, houve um crescimento de 26 nas detecções de malware e aplicações potencialmente maliciosas na América Latina. Na comparação com o ano passado, o índice foi 7% superior.
Já ao considerar apenas no Brasil, o aumento na identificação dessas ameaças foi de 28% no primeiro semestre de 2020 – uma diferença maior em relação ao restante da região, uma vez que, em 2019, o registro para o país também tinha sido de 19% a mais, no mesmo período.
A empresa de segurança digital apontou um ponto que é explorado pelos cibercriminosos na hora conseguirem seus objetivos: o fator humano. Eles fariam uso de algo chamado “Engenharia Social”, com o objetivo de aproveitar as “vulnerabilidades” dos usuários.
Muitas vezes, a estratégia dos criminosos virtuais passa por explorar emoções humanas para atrair os indivíduos até as armadilhas. Em outras palavras, nem sempre as ameaças se concentram no computador de uma vítima, mas sim em como as pessoas interagem com a tecnologia.
Por outro lado, se um indivíduo é abordado diretamente pelo criminoso, ele tende a aceitar o que é sugerido pelo cibercriminoso. Essas campanhas se adaptariam ao que há de resposta das pessoas.
No momento, por exemplo, o assunto do momento é a pandemia da Covid-19. As pessoas, muitas vezes, tendem a agir pela emoção e clicar em ameaças que abordam o assunto por curiosidade ou medo.
Tipos de ameaças sociais
- Phishing: este é um dos mais falados no geral, por se tratar de um método de golpe muito frequente na atualidade. Seja por um site malicioso ou um arquivo que supostamente precisaria ser baixado, ele busca atrair as vítimas por meio de algo de desejo delas, até que consigam infectar a máquina.
- Smishing: a classificação se dá pela combinação de “SMS” com “phishing”. Segundo a ESET, boa parte das pessoas não protegem seus smartphones e acabam vulneráveis a mensagens de texto ou recados no WhatsApp que prometem promoções ou serviços falsos. Por se parecerem com a empresa legítima, muitos usuários acabam por cair no golpe.
- Vishing: modalidade muito utilizada no Brasil, ela consiste em enganar pessoas por telefone ou mensagem de voz. Na prática, o cibercriminoso usa a conversa de que um parente seu foi sequestrado, para você pagar um resgate. Ou rouba o acesso ao seu WhatsApp, ao fingir convidar para uma festa ou evento do tipo e exigir um código para confirmar a presença – quando, na verdade, é o código de ativação do mensageiro. O Detetive TudoCelular já abordou um caso do tipo ocorrido com um integrante da equipe do site. Você pode ver neste link.
- Sextortion: este é o tipo de tentativa de golpe que usa conteúdo íntimo para extorquir a pessoa – seja por um cibercriminoso ou até em relacionamentos abusivos. Na maioria das vezes, o autor cria uma mensagem com uma série de detalhes e mente que invadiu o PC da vítima enquanto acessava um site de conteúdo adulto e gravou um vídeo dela em situações mais íntimas. Para não divulgar as filmagens, pede uma quantia – geralmente, em Bitcoin. Contudo, na maioria das vezes, não há qualquer invasão nem vídeo.
Aumento de campanhas de phishing em 2020
Não foram só os malwares que ampliaram sua presença nos países latino-americanos neste ano. As detecções de arquivos vinculados a campanhas de phishing também cresceram 21% no primeiro semestre de 2020 na região.
E novamente, o Brasil foi mais prejudicado que a América Latina como um todo. Somente no país, a alta foi de 23% – quase o dobro na comparação com os 12% no mesmo período de 2019.
“Caso Twitter”
Um dos exemplos de exploração da Engenharia Social para a ação de golpes online foi a do recente “Caso Twitter”. Os atacantes conseguiram invadir uma quantidade de 130 contas de funcionários consideradas como “chave” para que pudessem ter acesso e controle a uma série de perfis verificados.
Como consequência, as contas de personalidades também foram sequestradas. Com isso, os cibercriminosos pediram pagamentos de resgate em Bitcoin ao ameaçar os famosos com os métodos já descritos acima. Em cinco horas, teriam conseguido roubar US$ 118 mil nas suas carteiras da criptomoeda.
O caso é uma prova de que, por mais que as pessoas com menos renda e – consequentemente – menos acesso à informação seriam mais “vulneráveis” a golpes, outros indivíduos poderosos e com conhecimento de tecnologia também estariam sujeitos a cair em armadilhas no ambiente virtual.
“Acho que isso tem muito mais a ver com o conhecimento do usuário, de fato, do que qualquer outra coisa. Logicamente, quanto menos recursos a pessoa tem, menos conhecimento ela vai ter. Mas é muito comum você ver pessoas com a renda mais alta cair em golpes também. E esse exemplo recente do Twitter mostra isso.”
Carlos Marino
Pre Sales Engineer & Technical Support Specialist da ESET Brasil
Fake News
Um dos grandes perigos da atualidade, com expectativa de ser ainda mais visto nos próximos anos, é a presença das chamadas Fake News. A ESET destacou a capacidade delas de impactar diretamente os processos eleitorais, como aconteceu nos Estados Unidos, em 2016. Além disso, poderiam trazer efeitos a todos os setores.
No caso mais recente, a empresa destacou a presença de notícias falsas relacionadas à saúde, em meio à pandemia do coronavírus. Seja por redes sociais e mensageiros ou sites de procedência duvidosa, informações sobre a Covid-19 ser apenas um boato e minimizar a doença fez com que pessoas não tomassem as medidas de proteção necessárias.
Por outro lado, mais disparos de Fake News prometem falsas curas ou supostas receitas para a doença. Em termos práticos, isso tenderia a aumentar o tempo que devemos nos preocupar e ficar reclusos até a pandemia passar realmente, o que também traria mais impactos econômicos negativos.
De acordo com uma pesquisa feita pela ESET Latin America no último mês de maio, com leitores do blog WeLiveSecurity, cerca de 72% dos respondentes teriam recebido notícias falsas relacionadas ao coronavírus. Apesar de existir muitos interesses por trás disso, a companhia de segurança ressalta que é necessário ficarmos atentos para evitar que o ataque nos afete.
DeepFake/DeepVoice
Outras técnicas crescentes são o DeepFake e o DeepVoice. Antes restritas a grandes aparatos tecnológicos, elas passaram a entrar em aplicativos populares – presentes em lojas oficiais – e foram banalizadas pelo tanto de conteúdo presente com esses recursos.
As funcionalidades em questão consistem em trocar a imagem ou a voz de uma pessoa por outra, a fim de se passar por alguém diferente. A tendência é que, cada vez mais, os cibercriminosos usem os métodos na aplicação de golpes – tanto ao se passar por outras pessoas quanto em formas de autenticação que demandam reconhecimento facial ou por voz.
Por isso, a tendência é que ferramentas as quais utilizam esses recursos para validação de identidade sejam as mais afetadas. A ESET acredita que os próximos meses e anos vão mostrar quais são os reais impactos que as DeepFakes poderão causar às pessoas.
A ESET deu uma série de dicas para que os ataques virtuais sejam evitados. A primeira delas é sempre usar aplicativos oficiais, de fontes legítimas, e os manter atualizados. Assim, os riscos de uma invasão ou roubo de dados são diminuídos. Mesmo assim, a companhia recomenda que as permissões, os termos e a política de privacidade de todos os apps sejam revisitadas e configuradas pelos usuários.
Outras medidas de segurança são proteger o acesso a reuniões privadas com senha e não compartilhar o link em sites públicos. Desta maneira, na hora de divulgá-las, prefira mandar diretamente aos convidados.
O duplo fato de autenticação (2FA) também consiste em um recurso que, quando habilitado, pode evitar muitas das situações de sequestro de contas. Esse recursos se trata de criar uma “camada” a mais de proteção, como biometria ou código por SMS, por exemplo.
“Os fatores de autenticação podem ser algo que você sabe – login e senha; depois algo que você seja – biometria; local onde você esteja; ou algo que você tenha. Nenhum deles é à prova de falha, mas geram mais segurança. Quanto mais camadas você coloca no seu ambiente, mais você dificulta o atacante.”
Daniel Barbosa
Security Researcher da ESET Brasil
Boas práticas eficientes contra Fake News
Para completar, a empresa especializada em segurança digital ainda indicou quais seriam algumas boas práticas que possam ser eficazes no combate às Fake News. Uma delas é revisar a fonte de informação, para ver se ela é confiável.
Outra se trata de separar um tempo antes de compartilhar para analisar a veracidade da informação. Muitas vezes, as notícias falsas vêm por meio de áudios do WhatsApp, nos quais a pessoa que fala se identifique com algum nome, para tentar conceder “credibilidade” ao que vai falar, além de dificultar para a vítima saber se a pessoa é quem diz ser.
Vale também avaliar a data e o contexto, além de compreender a informação e o impacto que ela traz para a sociedade. Por último, a recomendação é para “sair da bolha” e ler um pouco mais. Assim, com um conhecimento maior, será possível encontrar o que seria considerado informação suficiente para atribuir credibilidade.
E aí, você já caiu ou conhece alguém que tenha sido vítima de algum golpe online nos últimos tempos? Relate a sua história para a gente no espaço abaixo.
Comentários