5 maiores ataques hackers e o valor da Segurança da Informação.

 

As tecnologias e recursos da segurança da informação não somente evitam ataques virtuais contra o acesso não autorizado dos dados, mas também previnem a divulgação, modificação, interrupção, roubo, destruição e venda dos mesmos. Para garantir isso, é importante pesquisar as ações desses criminosos e buscar orientações para se o serviço no qual você deseja contratar possui a solução para o problema em questão.

Para se ter uma noção da evolução deste meio hacker aqui vão alguns dados de estudos recentes sobre como está afetando grandes empresas nos últimos anos:

  • Somente em 2021, o Brasil sofreu mais de 88 bilhões de tentativas de ataques, sendo o principal alvo de um dos maiores ataques de DDoS (Negação Distribuída de Serviço, em português) da história, sem contar o aumento constante de ataques durante o ano, que foi 950% maior do que em 2020;
  • Segundo os entrevistados de uma importante pesquisa sobre ciberataques, pelo menos 85% das organizações sofrem com um ataque Ransomware por ano, no mínimo. Durante o mesmo período, 74% sofrem com ameaças recorrentes;
  • Em dezembro de 2020, hackers acessaram dados sigilosos referentes à vacina contra a COVID-19, mais precisamente aquela desenvolvida através da união entre Pfizer e BioNtech. A somatória de informações acessadas atinge a marca de 55 documentos, entre eles, e-mails e apresentações de Powerpoint.

Assim, chega-se à conclusão de que a era digital tornou simples a coleta e o armazenamento de dados, o que também facilitou consideravelmente o acesso ilegal e o roubo/ sequestro de dados de qualquer lugar do mundo. Por isso, as empresas de segurança da informação trabalham constantemente para acompanhar a crescente demanda por proteção contra hackers e golpistas.

Para esse texto ser mais informativo, separamos os 5 maiores ataques hackers para ilustrar a necessidade de criação de políticas de privacidade nas empresas:

  • 1 – Yahoo: O ataque aconteceu em 2013 e comprometeu 3 bilhões de contas. Dados como nomes, endereços de e-mail e senhas foram vazados; e a situação se repetiu em 2014, com 500 milhões de contas afetadas.
  • 2 – Sony: Em 2011, a empresa sofreu um ataque através de DDoS e, em seguida, aconteceu o vazamento de dados de 77 milhões de usuários da Playstation Network. Já em 2014, 100 terabytes de dados foram invadidos, contendo informações como dados de funcionários, filmes, entre outros. 
  • 3 – Ebay: Ainda em 2014, a Ebay sofreu um ciberataque que comprometeu dados de 140 milhões de contas. Os hackers tiveram acesso a endereços de e-mail e senhas criptografadas dos usuários da plataforma. 
  • 4 – Comitê Nacional Democrata: Em 2016, o Partido Democrata americano sofreu um ataque hacker que foi responsável pelo roubo de 20 mil e-mails e 8 mil anexos de informações sigilosas sobre os membros do alto escalão do partido. Não à toa, o ataque teve um impacto significativo nas eleições americanas daquele ano. 
  • 5 – Equifax: A empresa de gestão de crédito americana sofreu um ataque hacker em 2017, comprometendo cerca de 143 milhões de dados de clientes. As informações confidenciais como nome, data de nascimento, números da previdência social e carteira de habilitação foram vazadas.

A Segurança da Informação é muito mais que ter um software antivírus instalado ou utilizar um firewall que impeça o ataque de agentes indevidos a sua rede corporativa. Segurança da Informação está relacionada a proteção de dados, a segurança física, a segurança ambiental, o alinhamento da Tecnologia da Informação com os objetivos e a missão da empresa, dentre outras funções essenciais para a continuidade dos negócios.

A informação é o bem mais precioso para uma empresa/indivíduo, sendo a principal fonte para as tomadas de decisão. Qualquer conteúdo que seja gerado pela empresa por meio de suas operações diárias, seja pelas transações de compra e venda, os registros de atividades dos funcionários ou qualquer outro conteúdo que necessite ser armazenado.

Com isso, podemos afirmar que a SI é importante porque protege todas as categorias de dados contra roubo e danos. Isso inclui dados confidenciais, informações de identificação pessoal, de saúde, propriedade intelectual e muito mais.

 

Por Vitória Ribeiro

Estagiária de Direito.

 

FONTE:

https://www.totvs.com/blog/negocios/seguranca-da-informacao/#:~:text=A%20seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%20%C3%A9%20importante%20porque%20protege%20todas%20as,informa%C3%A7%C3%B5es%2C%20tanto%20corporativas%20como%20governamentais.



Você sabe o que é um crime cibernético?

         O crime cibernético é quando o criminoso faz uso de uma rede de computadores ou de dispositivos celulares conectados a uma rede de internet para praticar crimes.

         Alguns praticantes desse tipo de crime são hackers que utilizam de técnicas avançadas tecnologicamente e outros hackers que utilizam técnicas de golpes extremamente simples, mas que ainda funcionam muito! 

         Normalmente os dados roubados são informações pessoais e dados financeiros, existindo inclusive, uma nova modalidade que é a extorsão cibernética (onde os hackers exigem o pagamento de algum valor para liberar os dados pessoais dos titulares ou os dados pessoais que as empresas tratam no dia a dia).

         Mas como você pode se proteger desses ataques cibernéticos?

  •         Mantenha seu software e seu sistema operacional atualizados, garantindo as mais recentes correções de segurança para proteger seu computador;
  •         Use antivírus e mantenha-o também atualizado, esse tipo de proteção permite que você verifique, detecte e remova ameaças antes mesmo delas se tornarem um problema;
  •         Senhas fortes também é uma solução para esse problema e não as registre em lugar algum;
  •         Quando o e-mail for para o spam, nunca abra seus anexos e nem clique em links de sites desconhecidos;
  •         Não forneça suas informações pessoais, a menos que tenha certeza com quem está falando e entre em contato diretamente com as empresas para confirmar pedidos suspeitos;
  •         Fique sempre atento aos seus extratos bancários, qualquer transação incomum, acione seu banco que irá investigar uma ação fraudulenta.

         Quando se fala em internet, todo cuidado com seus dados pessoais é pouco, uma vez que os crimes cibernéticos estão cada vez mais avançados!

Por Vitória Ribeiro



A importância de orientar os funcionários sobre os ataques cibernéticos

Quando as empresas começam o processo de se preocupar com a segurança cibernética dos dados pessoais processados em seu cotidiano, é comum que o primeiro passo seja o de buscar a solução em tecnologias que ajudem nesse objetivo e evite ataques ou vazamento de informações, uma vez que imaginam que ataques cibernéticos são somente aqueles em que existe a invasão e ataque nas máquinas de uma forma muito bem elaborada e de difícil execução, e que nada que um bom software não possa resolver. 

        No entanto, uma invasão muito comum, devido a sua alta taxa de conversão, são aqueles feitos por meio de um simples e-mail enviado intencionalmente a um funcionário despreparado que ao abrir o e-mail e clicar no link, faz com que, não somente seu computador, mas a rede inteira da empresa seja invadida, que é o que chamamos de Phishing.

      Phishing se trata de roubo de identidade online.  Essa ação fraudulenta é caracterizada por tentativas de adquirir ilicitamente dados pessoais de outra pessoa ou da empresa como um todo, sejam senhas, dados financeiros, dados bancários, números de cartões de crédito ou simplesmente dados pessoais. É um ataque que pode acontecer de várias maneiras, mas com o mesmo objetivo. O fraudador utiliza e-mail, aplicativos e sites que são projetados especificamente para roubar dados pessoais. O criminoso se faz passar por uma pessoa ou empresa confiável enviando uma mensagem para conseguir atrair suas vítimas.

         Os conteúdos podem ser dos mais variados, em nome de bancos, governo, instituições financeiras, como meios de pagamentos digitais ou até mesmo Correios, sempre solicitando uma ação ou informação. Por exemplo, pode ser pedido para que abra determinado link ou arquivo, faça ligação ou instale/ atualize um software específico.

         Apesar de muitas pessoas acreditarem que Phishing é a mesma coisa que Spam, é preciso deixar claro: Phishing é bem diferente de Spam. Na prática, enquanto o Spam se relaciona apenas com uma grande quantidade de e-mails e mensagens, sem qualquer finalidade criminosa, o Phishing, como visto, é uma prática que tem como objetivo prejudicar a vítima, acessando dados e informações pessoais que vão muito além de e-mails.

         O envio de Phishing ocorre por meio do envio de mensagens eletrônicas que:

  • tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
  • procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
  • informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;
  • tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em páginas Web.

         Para atrair a atenção do titular as mensagens apresentam diferentes tópicos e temas, normalmente explorando campanhas de publicidade, serviços a imagem de pessoas e assuntos em destaque no momento, alguns exemplos são:

– Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma página Web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus dados pessoais e financeiros.

– Mensagens contendo links para códigos maliciosos: você recebe um e-mail que tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código malicioso em seu computador.

– Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que trabalha, informando que o serviço de e-mail está passando por manutenção e que é necessário o recadastramento. Para isto, é preciso que você forneça seus dados pessoais, como nome de usuário e senha.

          Como podem ver, é um tipo de ataque que pode enganar qualquer funcionário. Na realidade, é um ataque que acontece muito dentro das empresas, justamente porque os funcionários não estão treinados e orientados o bastante para conseguir identificar que se trata de um golpe. E é aí onde muitas empresas sofrem nas mãos desses ladrões e hackers, simplesmente por ter sido negligente com parte humana da empresa. 

            Não adianta a melhor tecnologia, se quem está ali no dia a dia da operação não está qualificado e treinado para evitar que tais golpes possam acontecer na organização. 

         E como se prevenir desses ataques indesejados? Separamos algumas dicas para identificar o Phishing.

1) primeiro de tudo: Criar uma cultura de orientação recorrente de todos os funcionários da empresa;

1) ficar atento a mensagens, recebidas em nome de alguma instituição, que tentam induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;

2) questionar porquê instituições com as quais não tem contato estão lhe enviando mensagens, como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança;

3) não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou pode ter sido forjada;

4) seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web;

5) verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o Phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso, dentre outras.

         Phishing é uma ameaça sem prazo para acabar. Pela simplicidade na divulgação por parte dos criminosos e porque ainda tem muitas pessoas sem conhecimento e que não estão atentas, principalmente quando usam máquinas da empresa.    

     Por isso, é preciso criar uma cultura de sempre educar e relembrar os colaboradores sobre tais golpes e quais as medidas básicas para evitar ser vítima de roubos e fraudes na rede.

Por Priscila Dacêncio e Vitória Ribeiro

REFERÊNCIA

https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf

https://www.meuportoseguro.com.br/minha-vida/tecnologia/o-que-e-phishing-e-por-que-voce-precisa-fugir-disso/