Dia da Internet Segura: reforce a atenção aos golpes e sua própria proteção

Nesta terça-feira (8), é comemorado o Dia Internacional da Internet Segura (ou Safer Internet Day, no original em inglês), data comemorativa que foi fundada pela organização europeia Insafe. A data tem como objetivo mostrar aos usuários da web quais são os perigos existentes no ambiente, além de formas que eles podem ser evitados.

• Vazamento de 160 mil chaves PIX da Acesso Soluções envolve 300 instituições
• O que é Phishing?

A data em 2022 ocorre em um cenário em que, segundo estatísticas globais da firma de segurança Check Point Software os ataques cibernéticos registrados na América Latina aumentaram 38%, e que semanalmente, aumentaram em 50% as ameaças por semana nas redes corporativas globais.

Ainda no cenário brasileiro, 2022 foi um ano de consolidação das ameaças em relação aos ataques cibernéticos, com várias ocorrências de vazamento de informações confidenciais, sequestro de dados, invasões de sistema e muito dinheiro perdido.

Isso tudo, de acordo com a consultoria alemã Roland Berger, o Brasil foi o 5º país que mais sofreu crimes cibernéticos no ano passado: só no primeiro trimestre foram 9,1 milhões de ocorrências, mais do que todo o ano de 2020.

Os golpes mais comuns na internet

Em função do Dia da Internet Segura, a Certsys, companhia especialista em inovação e Transformação Digital, compartilhou com o Canaltech os cinco golpes de engenharia social mais cometidos no mundo virtual atualmente. O objetivo é orientar a população sobre o uso responsável na rede.

Golpe do automóvel

Usando as principais plataformas de venda de automóvel, vendedores mal-intencionados divulgam veículos com valor de mercado abaixo da tabela FIPE para atrair a atenção de compradores.

Após algum consumidor demonstrar interesse e tentar fechar a compra, o golpista informa que está enviando um código de confirmação da plataforma, mas que na verdade se trata de um passe para permitir a troca do acesso à conta de WhatsApp ou Instagram da vítima. No fim, o perfil nas redes sociais pode entrar em posse do criminoso e ser usado para golpes.

Perfil fake no WhatsApp

Um dos meios de comunicação mais populares da atualidade, o WhatsApp, é usado por diversos golpistas para espalhar vírus e convencer vítimas a fazerem depósitos bancários. Os perfis usados são idênticos aos do dono da conta, com direito a mesma foto e mesmo fundo de tela, porém com uma exceção: o número de telefone usado é outro.

Para justificar a mudança do número telefônico, os criminosos dão desculpas para não falar por meio de mensagens de áudio ou de ligações via vídeo.

Phishings

Pescar o internauta por meio de ofertas chamativas para que ele clique em um link malicioso. Essa é a meta principal do golpe phishing. De cópias idênticas de sites oficiais de grandes marcas a perfis falsos de empresas em redes sociais, tudo é pensando para captar dados pessoais ou bancários do consumidor da maneira mais tentadora possível.

Esse golpe é um dos mais antigos da internet, mas mesmo assim ainda é muito utilizado por criminosos.

Fique atento às novidades como criptomoedas e o metaverso

Tendência quente para 2022, o metaverso promete elevar as experiências na internet com realidade virtual e aumentada, permitindo, basicamente, que as pessoas interajam entre si por meio de avatares 3D. Com isso, abrem-se também os perigos iminentes nesta tecnologia, principalmente no que se diz a compra de posses nesse ambiente, geralmente feita através de criptomoedas.

A compra de qualquer criptomoeda, assim como qualquer transação feitas com elas, devem ser sempre realizada com bastante cautela e conhecimento, buscando corretoras confiáveis. Além disso, usuários devem estar sempre de olho em possíveis esquemas de pirâmide, como o do Faraó do Bitcoin.

Os perigos do TikTok e outras redes sociais

Às vezes, aquela simples postagem para entreter o usuário ou incrementar o feed esconde mais vulnerabilidades do que se imagina. Evite publicar vídeos em locais que você está naquele exato momento, que mostrem em detalhes ambientes da casa ou ressaltem objetos de grande valor agregado, como carros, televisores e relógios, por exemplo.

A mesma atenção vale para os posts no Instagram e Facebook, principalmente, nos stories, com marcações dos locais frequentado pelo usuário, o recomendado é que a postagem seja feito quando a pessoa não estiver mais no local onde a foto foi batida.

Como se proteger

Considerando o cenário detalhado acima e a proximidade do Dia Internacional da Internet Segura, compartilhamos algumas dicas de como usuários podem se proteger no ambiente virtual, assim evitando se tornar mais um número nas estáticas dos golpes digitais. Todas elas são recomendações de Cristian Souza, consultor da firma de gestão de riscos DARYUS Consultoria.

Confira:

Para empresas

• Tenha um bom software antivírus: antivírus conseguem identificar arquivos e links maliciosos, o que ajuda a evitar que um usuário desatento acabe executando um malware em sua máquina. É importante escolher uma solução com boa capacidade de detecção e performance. Muitos pacotes de antivírus costumam disponibilizar VPNs (rede privada virtual) e proteção para diferentes plataformas;
• Utilize uma boa política de senhas: de nada adianta uma série de proteções quando a senha do usuário é previsível. Portanto, adote uma boa política para definição das senhas dos funcionários. Elas devem ser secretas e intransferíveis. Senhas padrão ou temporárias devem ser trocadas no primeiro login. Além disso, é necessário exigir a troca periódica delas e evitar que os usuários as reutilizem;
• Mantenha todos os sistemas devidamente atualizados: sistemas desatualizados são extremamente explorados por atacantes. Atualizações são essenciais para eliminar vulnerabilidades e bugs conhecidos. Não se esqueça de verificar as dependências das suas aplicações. Uma boa prática é sempre testar o efeito das atualizações em um ambiente controlado e, após isso, aplicá-las em ambiente de produção;
• Monitore de forma inteligente a sua rede: a análise de logs inteligente, através de um SIEM (combinação de gerenciamento de eventos de segurança), é de grande importância para detecção e mitigação de ataques em tempo real. Além disso, pode ser uma forma de estudar as técnicas utilizadas pelos atacantes e gerar relatórios para a comunidade;
• Realize pentests periodicamente: a execução de pentests (testes de invasão) é benéfica, pois permite que a empresa identifique ameaças facilmente. Para isso, são realizados exaustivos testes que simulam as ações de um hacker malicioso. Logo, é possível identificar fraquezas existentes e aplicar as contramedidas antes que um ataque real aconteça.

Para internautas

• Envie informações por meio de protocolos seguros: nunca envie dados por meio de protocolos sem criptografia, atacantes podem capturar as informações em trânsito e roubar suas credenciais de acesso. No caso de websites, sempre verifique se eles possuem o famoso cadeado verde. Isso significa que sua comunicação com ele é realizada de forma segura, por meio do TLS (Transport Layer Security). Entretanto, vale notar que até mesmo sites maliciosos podem utilizar o TLS;
• Verifique a legitimidade dos sites que você acessa: além da comunicação segura via TLS, é possível verificar denúncias realizadas a um site através de bases como o PhishTank e VirusTotal. Essas plataformas conseguem identificar ameaças já catalogadas e informar ao usuário uma possível ameaça. O VirusTotal, por exemplo, permite inclusive a verificação de arquivos baixados, informando ao usuário se o arquivo é malicioso ou não;
• Verifique os links que você acessa (especialmente aqueles encurtados): embora encurtadores de URLs facilitem muito a nossa vida, atacantes podem se aproveitar dessas ferramentas para redirecionar usuários a sites maliciosos. Encurtadores como o Bitly permitem que você visualize o site para onde está sendo redirecionado ao adicionar um sinal de + no final da URL. Ademais, nunca clique diretamente em um link. A maior parte dos browsers permite que você visualize a URL completa no canto inferior esquerdo da tela;
• Utilize uma VPN ao acessar redes Wi-Fi públicas: ao precisar utilizar a internet em uma rede Wi-Fi pública, uma Virtual Private Network (VPN) é uma grande aliada na sua segurança e privacidade, isso impede que atacantes e até mesmo o operador da rede analisem o seu tráfego;
• Não salve suas senhas no navegador: o recurso de salvar senhas no browser é muito conveniente. Entretanto, atacantes com acesso à sua máquina (fisicamente ou através de um ataque remoto) podem extrair as senhas salvas facilmente. Uma boa prática é utilizar um cofre de senhas (preferencialmente de forma offline). Assim, suas diferentes senhas ficam salvas em um local centralizado, bastando apenas que você se lembre da senha mestra.