Ataques ao Twitter levantaram a dúvida de como
proteger nossas contas pessoais e empresariais dos criminosos
O Twitter foi vítima de um ataque em massa na
última semana, onde diversas personalidades globais e empresas tiveram suas
contas comprometidas. Uma mensagem falsa foi publicada em seus perfis
prometendo o pagamento em dobro de bitcoins mediante depósito enviado a uma
determinada conta. Obviamente, tratava-se se um golpe! Personalidades
como Elon Musk, Barack Obama e Bill Gates, além de contas corporativas de
grandes empresas como Uber e Apple, foram vítimas deste incidente.
Segundo Maurício Paranhos, diretor de
operações da Apura S/A, empresa especializada em cibersegurança, este
pode ter sido o maior ataque sofrido pela rede social até hoje. "As
técnicas utilizadas para este ataque ainda estão sob investigação. Mas as
possibilidades são diversas, desde técnicas de engenharia social, até o uso
indevido de API´s mal configuradas", explica.
A pergunta que paira sobre muitas pessoas nesse
momento é: se grandes empresas e personalidades globais com milhões de
seguidores tiveram suas contas comprometidas, como eu protejo a minha conta ou
de minha empresa contra acessos indevidos?
Para o executivo da Apura S/A, esse ataque não pode
ser utilizado como referência para exemplos de perdas de acesso às redes
sociais. Ao mesmo tempo que não existe um sistema 100% seguro, normalmente, as
grandes corporações possuem tecnologia, processos e pessoas dimensionados e
adequados para a proteção e também para a detecção e reação contra incidentes
cibernéticos.
"Ataques como esse recente contra o Twitter
eventualmente acontecem. Mas normalmente os problemas de perda de contas de
acesso às redes sociais (account takeover) referem-se a falhas processuais dos
usuários. O simples vazamento do usuário e senha de acesso à uma rede social ou
uma solução de mensageria é a maneira mais fácil de um golpista conseguir
acessar sua conta e executar golpes semelhantes em seu nome", ressalta o
especialista em segurança cibernética.
GOLPE DO COMÉRCIO ELETRÔNICO
Outro golpe cada vez mais comum aqui no Brasil
ocorre após você anunciar a venda de um imóvel, automóvel ou item pessoal em um
portal de comércio eletrônico qualquer. Assim, um fraudador entra em contato
contigo por telefone ou Whatsapp informando que ele faz parte
do time de antifraude do portal relacionado e gostaria de validar que o anúncio
não se trata de uma fraude. Ele informa que está lhe enviando um código por SMS
que você deve confirmar para ele esse código. O que o fraudador está tentando
fazer na verdade é habilitar sua conta de Whatsapp em um
equipamento qualquer. A partir daí, ele entra em contato com seus amigos e
familiares pedindo a transferência de recursos financeiros para uma conta
terceira (de um laranja). Ou seja, é o fraudador aplicando um golpe se passando
pelo time de antifraude.
Veja algumas dicas para se proteger contra
problemas semelhantes:
- Tenha uma senha forte com
letras números e caracteres especiais. Isso irá dificultar a quebra das
senhas de forma automatizada. Além disso, troque sua senha periodicamente;
- Tenha senhas diferentes para
serviços diferentes. Assim, no caso do vazamento de suas credenciais em
uma rede social ou sistema específicos não comprometerá suas demais
contas;
- Habilite o uso de um segundo
fator de autenticação. Assim, um atacante além de possuir acesso às suas
credenciais precisaria aprovar o acesso com o segundo fator de
autenticação, seja um hardware, SMS ou aplicativo de autenticação;
- Tanto em relação às empresas
quanto para uso pessoal, use solução de cofre de senhas. Para uso pessoal,
use um aplicativo que criptografe suas senhas de acesso aos aplicativos,
sistemas e sites. Assim, sua preocupação será em decorar a senha de acesso
a este aplicativo e manter com você o segundo fator de autenticação. Para
uso corporativo, uma solução de gerenciamento de acessos privilegiados (Privileged
Access Management- PAM) vai controlar os acessos de forma
adequada, onde os usuários conectam-se à solução de PAM e ela conecta-se à
rede social, aplicativo ou sistema. Assim, mantem-se toda rastreabilidade
dos acessos realizados além da senha de acesso ser trocada periodicamente
de forma automatizada, evitando um acesso indevido de um ex-funcionário
insatisfeito, por exemplo;
- Nunca clique em links não
solicitados por e-mail, SMS ou soluções de mensageria. O ideal é sempre
entrar no site oficial da empresa relacionada e procurar a informação
direto na fonte;
- Jamais forneça códigos em
SMS ou aprove acessos externos com sua solução de segundo fator de
autenticação. Isso evitará que um golpista clone sua conta no Whatsapp
ou em uma rede social, por exemplo;
- Proteger-se é essencial, mas
detectar possíveis incidentes de forma ágil para uma rápida reação é
primordial. Daí a importância do monitoramento de fontes abertas pelas
empresas. A criação de perfis falsos corporativos e de executivos torna-se
cada vez mais comum e golpes são aplicados em nome das empresas ou de seus
executivos. Portanto, importante automatizar o monitoramento da criação
destes perfis e também a identificação de ataques que estão sendo
planejados contra sua empresa por meio de soluções de Inteligência em
Fontes Abertas (Open Source Intelligence - OSINT);
- Desconfie sempre de coisas
mirabolantes, seja uma celebridade prometendo devolver seu dinheiro em
dobro ou um amigo ou familiar pedindo ajuda financeira.
Nenhum comentário:
Postar um comentário