Blog Rock Pixel

Novidades do marketing digital

Ataques hacker mais comuns e como se proteger

Muitas pessoas só notam que sofreram um ataque de hackers quando perderam seus arquivos, ou quando notaram movimentações estranhas em suas contas bancárias. Este pessoal trabalha escondido, e podem gerar prejuízos muito grandes para empresas, e também acabar com a reputação de uma pessoa, divulgando imagens de cunho privado e pessoal.

Em alguns ataques, eles utilizam a inocência e a generosidade das pessoas. Já em outros, o processo tem que ser muito mais elaborado, como no caso que temos acompanhado das invasões das equipes da Lava Jato, entre o Ministro Sérgio Moro e o Procurador Deltan Dallagnol, e também até com o Presidente Jair Bolsonaro, e vários outros deputados e senadores.

Não vou demonstrar aqui como é realizado o ataque, mesmo por que esta não é a minha especialidade, e também não quero promover qualquer tipo de propagação destas técnicas. Quero aqui dar uma pincelada nos métodos que são utilizados, e o mais importante: como se proteger destes ataques!

Sem perder mais tempo, vamos aos tipos de ataques de hackers que você pode ser vítima:

  1. Ataque por Engenharia Social
  2. Ataque por Phishing
  3. Ataque por Cavalo de Tróia
  4. Ataque por Ransomware
  5. Ataque por Força Bruta (Brute Force)

O que é um ataque por Engenharia Social?

Este é um dos tipos de ataques mais utilizados por pessoas que querem ter acesso a dados sigilosos, sejam eles de empresas, ou de pessoas.

Neste tipo de ataque, o hacker se aproveita da inocência e também da gentileza das pessoas, para promover seu processo de invasão, através de manipulações psicológicas nas pessoas que são as detentoras daquele dispositivo que ele quer acessar, ou utiliza as pessoas a sua volta para conseguir fazer isso de alguma forma.

O criminoso utiliza de técnicas para se passar por outra pessoa, e tenta ganhar a confiança da vítima de todas as formas, utilizando nomes conhecidos, próximos ao da vítima, ou utiliza nomes de marcas famosas para conseguir os dados ou enviar links que a vítima abra, e consiga instalar aplicações de acesso no dispositivo da pessoa.

Muitas vezes as pessoas ficam sem saber o que fazer e passam os dados

Como é feito um ataque por Engenharia Social?

Com as redes sociais, ficou muito simples destas pessoas mal-intencionadas conseguirem dados que a vítima até considera sigiloso, mas que uma foto ou um check-in podem comprometer tudo o que esta pessoa acredita estar sob controle.

A lista de amigos é facilmente encontrada em qualquer rede social, e também o grau de parentesco, e o criminoso sabe quais lugares esta pessoa frequenta, simplesmente olhando as fotos e check-ins, e pode com isso, monitorar informações que trafegam na rede desse local, e conseguir acesso a login e senhas de e-mails e até contas bancárias.

Uma campanha bastante fraudulenta, que muitos clientes me perguntam se é verdade ou não, é o popular boleto de renovação de registro de domínios. Todos os anos, geralmente no fim do ano, é uma chuva de boletos enviados para as empresas, informando um valor 4 vezes maior do que o normal, para que o domínio do seu site possa continuar online.

Este é um exemplo do boleto que é enviado

As informações estão à disposição de quem queira procurar, como nome, endereço e e-mail de contato, e o boleto pode ser enviado tanto por mensagem eletrônica, ou por correio.

Outro caso que já ocorreu aqui na Rock Pixel, foi uma pessoa ligando, informando que um funcionário havia se desligado da empresa, e que seria necessário alterar a senha do e-mail para que ele pudesse ter acesso.

Neste caso, nosso procedimento padrão é entrar em contato com as pessoas que temos contato diariamente, e questionar se isto realmente aconteceu, e se podemos continuar com o procedimento, o que no caso, não foi necessário pois o proprietário não havia trocado nenhum funcionário, e detectamos isto como uma tentativa de acesso não autorizado.

Outro procedimento imediatamente adotado, foi a troca de todas as senhas deste servidor, para que caso esta pessoa já possuísse algum acesso, que ele imediatamente fosse cancelado.

Um exemplo bem claro de ataques por engenharia social, são os e-mails que recebemos diariamente, informando que você tem uma intimação judicial, de uma promoção imperdível, de um brinde grandioso, um vale presente, uma revalidação de banco, informação de que seu token deu problema, enfim, uma infinidade de e-mail e links de WhatsApp são disponibilizados a todo momento, esperando o primeiro “trouxa” cair para que eles consigam seus dados, e tenham acesso não autorizado a informações sigilosas suas ou da sua empresa.

Como me proteger de ataques de Engenharia Social?

  1. Não acredite em tudo o que chega pra você pela internet. Quando o benefício é muito bom, desconfie.
  2. Intimações judiciais são entregues por oficiais de justiça, e não em um e-mail.
  3. Grandes marcas precisam lucrar, eles não vão te dar nada de graça.
  4. Um banco não vai te pedir qual a sua senha ou token, eles têm acesso ao que for necessário da sua conta através do sistema deles.
  5. Se receber algum link, pense bem antes de clicar e tente avaliar se a informação procede.
  6. Se receber uma nota fiscal eletrônica por e-mail de algo que não comprou, e nada foi descontado do seu cartão de crédito, então é vírus.
  7. Mantenha um bom antivírus em seus computadores.

O que é Phishing Scam?

Este nome veio da língua inglesa, um derivado do termo “fishing”, que significa pescar, e é justamente isto que esta técnica hacker faz. Os criminosos “pescam” os dados dos usuários, através de e-mails e páginas falsas.

Eles tentam sempre parecer o mais original possível, como se a mensagem enviada, fosse realmente da empresa que estão comentando, e até reproduzem o site de maneira fiel, para que transmita o máximo de confiança.

As vezes sai alguns peixões

Como é feito um ataque por Phishing Scam?

Um caso que aconteceu com a Rock Pixel, foi neste início de ano, onde registrei o nome e a marca da minha empresa. Paguei as taxas geradas pelo sistema do INPI, que na época foi algo em torno de R$ 142,00, e após este pagamento e o pedido realizado, tem um prazo para análise da equipe técnica.

Após este prazo, é divulgado em uma publicação aberta a todo o público, para validações e verificações de ambiguidade, e se alguma pessoa ou empresa entender que a sua marca é parecida com a dela, pode entrar com um pedido de representação, só que estes dados são abertos para todos, inclusive para pessoas mal-intencionadas.

Acontece que recebi outros 2 e-mails, bem confusos, informando que o procedimento estaria finalizado, e que seria necessário mais uma taxa para liberação de alguma coisa que não ficou bem claro pra mim, com um valor bastante exorbitante, muito acima do que já havia pago, algo em torno de R$ 600,00.

Ao entrar em contato diretamente com o INPI, eles me informaram que não existia nenhuma outra taxa ou qualquer outro pagamento ser realizado, que era somente pra aguardar que as informações estariam divulgadas no portal.

Exemplo do boleto fraudulento

Recentemente fiquei sabendo de um golpe que está sendo aplicado, utilizando toda a identidade visual do Mercado Livre. Os golpistas estão utilizando até um domínio, que fica complicado de identificar para pessoas leigas. O domínio, ao invés do “M”, de Mercado Livre, está sendo utilizando “RN”, pois minúscula fica muito próximo e parecido, rnercadolivre.com.br

Lendo rapidamente, você nem percebe a diferença.

Olha só como são espertinhos

Na correria do dia-a-dia, você recebe uma mensagem informando que o seu banco precisa cadastrar uma nova senha para sua conta, pois a sua já tem algum tempo que não é alterada, e te levam para uma página onde aparentemente, parece realmente ser o seu banco. Geralmente existe um formulário pedindo os dados da sua conta, sua senha atual, e a sua nova senha.

E a partir daí, os criminosos tem todos os seus dados bancários, e podem fazer o que quiser com a sua conta.

Outro método de conseguir dados de cartão, é informando que uma empresa de cartões de créditos sofreu um ataque hacker, e que milhares de números de cartões foram disponibilizados na internet, e esta mensagem quer te ajudar a verificar se o número do seu cartão realmente foi vazado, só que quando você digita o seu número para a verificação, eles pedem uma confirmação dos seus dados, como a data de vencimento, e o código secreto, e a partir daí, seu cartão já está na mão de pessoas mal intencionadas.

Como me proteger de Phishing Scam?

  1. Sempre veja o link antes de clicar. Ao passar o mouse, seu navegador ou ferramenta de e-mail irá te mostrar no rodapé, para qual página irá te levar.
  2. Desconfie de mensagens que oferecem muita facilidade. Se as suas informações bancárias ou de cartão, por algum motivo vierem a público, a instituição irá entrar em contato contigo.
  3. Nunca forneça senhas por quaisquer meios, sejam eles digitais, por escrito ou por telefone. Nenhum banco e nenhum aplicativo irá te pedir isso, por mais grave que seja o seu caso.
  4. Se recebeu algum comunicado, e ainda assim ficar com dúvidas, entre em contato com a empresa que você acredita ser a responsável pela mensagem, e tente esclarecer o assunto.
  5. Nunca digite números de cartões, senhas ou qualquer outro dado sigiloso em sites que você não confia.
  6. Sua senha e token só serão alteradas nos aplicativos dos bancos. Nunca por e-mail.

O que é um Cavalo de Tróia?

Este tipo de ataque recebeu o nome do famoso ícone da invasão dos Gregos, a cidade de Tróia, onde uma escultura em madeira foi oferecida como presente para os troianos, que prontamente foi tomado como um símbolo de vitória. Daí vem a famosa expressão “presente de grego”.

Apesar deste ser somente um conto, uma obra de ficção, este tipo de ataque realmente existe na vida real, e pode te dar bastante prejuízo.

Este tipo de invasão ocorre quando um pequeno programa é instalado em seu equipamento, e é muito difícil de detectá-lo, pois o seu principal objetivo, é ficar complemente incógnito, sem que você perceba que ele está rodando.

Dependendo do tipo de invasão, esta aplicação pode realizar diferentes procedimentos, como monitorar tudo o que acessa, ter acesso a tudo o que digita, se anexar a documentos que está escrevendo e com isso infectar outros computadores também, e até bloquear totalmente o acesso a determinados arquivos.

Toma aí um presentinho de Grego

O que o Cavalo de Tróia faz?

Esta invasão é muito difícil de ser detectada, e se tornou um malware preferido dos criminosos para ter acesso a informações sigilosas, ou também como método de extorsão.

Veja os tipos mais comuns de ataques por Cavalo de Tróia:

  1. Envio de mensagens - Até mesmo smartphones estão sujeitos a este tipo de invasão, e podem enviar SMS para diversos números, fazendo a sua conta aumentar significativamente, e ser utilizado para pedir depósitos em seu nome.
  2. Computador Zumbi – Este ataque pode fazer seu equipamento virar uma espécie de zumbi, e fazer o seu computador trabalhar para que os ataques dele tenham sucesso.
  3. Espionagem – Alguns destes malwares são espiões, ou seja, spywares, e irão monitorar tudo o que você digita e acessa, inclusive suas contas bancárias ou quando realiza compras com cartão de crédito na internet.
  4. Porta dos fundos – Este tipo de invasão vai abrir portas no seu equipamento para que outros tipos de ataques possam ser feitos.

Como me proteger de ataques por Cavalo de Tróia?

Se você recebeu um Power point suspeito, um link com um filme que acabou de sair no cinema, ou uma promoção muito estanha, pode contar que você estará adquirindo um famoso, excelentíssimo e grande usurpador, cavalinho de Tróia para seu equipamento, e está prestes a começar a ter movimentações estranhas em sua conta, e compras que nunca realizou em seus cartões de crédito.

  1. Desconfie sempre de arquivos .EXE, .DOC, .DOT e .PPT.
  2. Se você não requisitou um arquivo, você provavelmente não precisa abri-lo.
  3. Arquivos compactados, como .ZIP ou .RAR também podem trazer arquivos comprometidos.
  4. Se você usa um programa pirata, provavelmente terá um vírus em seu computador.
  5. Equipamentos com Linux e Macs da Apple, também pegam vírus.

O que é Ransomware?

Segundo a Symantec, gigante mundial na área de proteção a dados, o Brasil é o quarto maior país com dados comprometidos por esse tipo de ataque.

O ataque mais famoso foi nomeado de WannaCry, que infectou mais de 200 mil equipamentos ao redor do mundo, e a principal atividade desse tipo de ataque, é sequestrar arquivos e dados importantes do usuário, e exigir uma remuneração financeira em troca, para que estes dados não sejam perdidos.

Depois de infectado, adeus dados

Como é feita a invasão por Ransomware?

Este tipo de ataque é realizado através de uma instalação, que pode estar em um arquivo compactado, um arquivo executável (.EXE) ou outros métodos.

Se um computador está conectado em rede, ele pode infectar sim outros equipamentos. Depende muito da programação que o hacker realizou no código fonte.

Após compactar todos os seus arquivos com uma senha extremamente complicada, geralmente o abusado envia um aviso, trocando seu papel de parede, e passando as informações que são necessárias para que os arquivos sejam devolvidos.

Esta compensação geralmente é requisitada em BitCoins, que é uma moeda virtual, muito difícil de ser rastreada até seu beneficiário final.

Geralmente os dados são liberados após o pagamento, mas houve casos onde isso não aconteceu, e o usuário e muitas empresas tiveram prejuízos financeiros grandes, tendo que começar muitos relatórios e documentos, praticamente do zero.

Esta foi a tela que muitas pessoas viram

Como me proteger de Ransomware?

Primeiramente, desconfie de instaladores e arquivos compactados. Nunca abra nenhum arquivo que não tenha sido requisitado e desconfie de praticamente todos os e-mails.

  1. Faça backup regularmente, e principalmente, desconecte sua fonte de backup.
  2. Se a sua cópia está em um HD externo, não deixe ele 100% do tempo ligado em seu equipamento. O Ransomware irá atacar o HD externo também.
  3. Quando possível, utilize serviços de backup na nuvem, eles possuem um histórico de alterações, então mesmo que o arquivo esteja corrompido, você consegue recuperar versões antigas.
  4. Nunca abra e-mails de estranhos, nem arquivos que você não requisitou.
  5. Cuide também com pen-drives de estranhos.

Como é um ataque por força bruta? (Brute force)

Este é o tipo de invasão que requer uma aplicação mais desenvolvida, para ficar dias e dias realizando tentativas de acesso a um determinado sistema.

Não é o Hulk, mas faz um estrago

São utilizados aqui também, os computadores zumbis, comentados no item do Cavalo de Tróia, para aumentar o poder computacional e conseguir sucesso em suas tentativas de invasão.

Este tipo de ataque funciona da seguinte maneira:

Imagine que para entrar em sua casa, você precise digitar uma senha, e a sua senha é 12345678. Uma senha curta, formada de poucos caracteres, com numerais sequenciais. Esta é a primeira senha que os hackers cadastram em sua aplicação, para este tipo de ataque.

A aplicação irá rodar por diversos caracteres, realizando tentativas de acesso utilizando combinações de números, letras e símbolos, e por força bruta, tentar invadir sua casa.

Seria como tentar a senha 1, senha 2, senha 3, e assim por diante, realizando diversas tentativas, até chegar na combinação onde é feito o acesso.

Pra isso ser realizado, é necessário muito poder computacional, pois levando em conta uma senha com 8 dígitos, teremos um total de 62 caracteres possíveis, sendo 52 de letras e mais 10 de números, isso sem falar nos caracteres especiais como exclamação, arroba, entre outros.

Para que este único hacker possa descobrir uma senha de 8 caracteres por força bruta, seriam necessários até 7 milhões de anos para quebrar uma senha com somente caracteres e números, pois temos um universo de 62 caracteres possíveis, em 8 casas, e sendo assim, o cálculo realizado é de 62⁸, tendo 2.1834011×10¹⁴ de combinações possíveis, levando em conta uma tentativa de combinação por segundo.

Isto mostra que é necessário muito poder computacional para realizar este tipo de ataque, e quanto maior e mais variada a sua senha, maiores as chances deste individuo mal intencionado desistir, já que esta tentativa pode levar dias e até meses, mas o que temos que ter em mente, é que praticamente NENHUMA senha é inquebrável.

Como posso me proteger de ataques de força bruta?

Primeiramente, revise todas as suas senhas, se 123456 é alguma das suas senhas padrão, então saiba que em alguma oportunidade, você já foi invadido.

  1. Tenha uma senha bem variada.
  2. Utilize letras maiúsculas e minúsculas, números e caracteres especiais como !, # , $, @, etc.
  3. Não utilize a mesma senha para diferentes sites ou acessos.
  4. Quando disponível utilize a autenticação em 2 vias, seja pelo celular ou pelo aplicativo.
  5. Altere sua senha frequentemente.

 

Gostou desse conteúdo? Fez a diferença para o seu negócio ou para sua equipe? Comente aqui em baixo e me diga como utilizou e que resultados obteve!

Acesse nossos canais e curta as nossas publicações.

Facebook: http://bit.ly/2W8buY0

Twitter: http://bit.ly/2VTBsd5

YouTube: https://bit.ly/2YNQseg

Instagram: http://bit.ly/2YQMEc6

LinkedIn: http://bit.ly/2YPpnr8

Messenger: http://bit.ly/2QrpuGt

 

Aproveite para comentar quais ideias teve, e como irá começar a colocar em prática.

 

Lembre-se de curtir o vídeo no YouTube, seguir o nosso canal e ativar o sininho para receber sempre em primeira mão as novidades.

 

Siga também a nossa página no Facebook, que trás sempre conteúdo exclusivo e relevante para seu negócio.

 

Este foi mais um momento Mudando Mindset da Rock Pixel Digital, hoje trazendo dicas de como se proteger de ataques mais comuns de hackers e pessoas mal-intencionadas.

 

Grande abraço e lembre-se: você é do tamanho da sua mente!

 

Sucesso!

Fabricio Gwadera

Profissional de internet, fundador da RockPixel e nas horas vagas não desgruda da telinha.

Anúncio

Assine nossa Newsletter

Fique por dentro das novidades da Rock Pixel

Assinando nossa newsletter, você receberá diretamente em seu e-mail todas nossas atualizações. Todas as informações inseridas aqui são de total responsabilidade da Rock Pixel e não iremos divulgá-las ou utilizar em campanhas de marketing de terceiros. 

Carregando...