Category: Antivírus e Segurança

O que é phishing? Entenda o funcionamento e como se proteger desse tipo de golpe

3 de janeiro de 2025

O que é phishing? Entenda o funcionamento e como se proteger desse tipo de golpe

Entenda o que é phishing, considerado um dos principais tipos de ataques cibernéticos (Imagem: Mohamed_hassan/Pixabay)

Phishing é um tipo de golpe que busca enganar e manipular vítimas para a obtenção de dados sensíveis. Com técnicas de engenharia social, golpistas enviam e-mails ou SMS falsos, de modo a induzir que vítimas informem senhas bancárias, abram um site fake ou baixem um arquivo malicioso.

O phishing de e-mail é o tipo mais comum usado por golpistas, uma vez que é genérico e tem potencial para atingir pessoas em massa. Contudo, há também ataques de phishing por SMS, chamadas telefônicas, QR Code, bem como aqueles que visam executivos de uma grande corporação.

A seguir, entenda o que é phishing, saiba como os ataques funcionam, e confira dicas para se proteger dessa ameaça.

ÍndiceO que é phising?Phishing é um tipo de vírus?Como funciona o phishing?Quais são as características de um golpe de phishing?Quais são os tipos de golpes de phishing?É possível se proteger de golpes de phishing?O que fazer se eu cair em um golpe de phishing?Qual é a diferença entre phishing e spear phishing?Qual é a diferença entre phishing e spoofing?Qual é a diferença entre phishing e engenharia social?

O que é phising?

Phishing é um tipo de golpe que envolve técnicas de manipulação e persuasão para coleta de informações pessoais, dados bancários e dinheiro das vítimas. O termo “phishing” é derivado da palavra em inglês “fishing” (“pescaria”, em tradução livre), e faz alusão ao uso de iscas para atrair e fisgar as vítimas.

Embora tenham ganhado força no meio cibernético devido ao surgimento da internet e crescimento da presença online, golpes de phishing também são vistos em ambientes físicos, a exemplo de ligações fraudulentas ou golpes presenciais envolvendo manipulação das vítimas.

Phishing é um tipo de vírus?

Não. Phishing consiste na técnica de engenharia social focada em enganar vítimas para roubo e coleta não autorizada de dados sensíveis, e execução de algumas ações. Já malwares (popularmente chamados de “vírus”) referem-se a softwares maliciosos que podem comprometer contas, arquivos ou dispositivos.

Vale destacar que criminosos podem ou não utilizar malwares em golpes de phishing, assim como técnicas de phishing podem induzir a vítima a baixar um arquivo malicioso. Contudo, phishing e vírus são ameaças distintas, com naturezas, funcionamentos e finalidades diferentes.

Como funciona o phishing?

O ataque phishing inicia com o golpista entrando em contato com a vítima, geralmente via e-mail, SMS ou aplicativo de mensagens. Disfarçando-se de uma empresa ou autoridade, o cibercriminoso então envia o link de um site falso, uma interface fake ou um arquivo infectado para enganar a vítima.

Se a pessoa não desconfiar do golpe, ela vai informar dados sensíveis (como nome completo, CPF, dados bancários, entre outros) no site ou e-mail falso ou baixar um arquivo com malware que coletará essas informações. Vale destacar que o ataque só dará certo se a vítima seguir as instruções (mesmo sem perceber) do golpista.

Depois que os dados forem roubados pelos golpistas, eles poderão vendê-los para outros cibercriminosos, usá-los para abrir contas bancárias, sacar dinheiro ou fazer outros golpes. Tratando-se de golpes com malware, os criminosos também podem comprometer o dispositivo da vítima e cobrar dinheiro pelo resgate.

Quais são as características de um golpe de phishing?

Por mais que os golpes de phishing estejam cada vez mais sofisticados para enganar as vítimas, eles têm características marcantes de modus operandi e de aspectos técnicos. Alguns dos principais traços desse tipo de ameaça incluem:

Uso de identidade alheia: golpistas de phishing sempre vão se passar por uma outra pessoa ou organização, de modo a tornar a mensagem mais convincente;

Exploração de sentimentos: e-mails ou SMS de phishing tendem a explorar emoções da vítima, como medo, surpresa, excitação, culpa, entre outras;

Pedidos de dados ou ações: ataques de phishing sempre vão induzir a vítima a executar determinada ação, como clicar em um link, informar dados ou baixar um arquivo;

Falsa urgência: mensagens fraudulentas vão contextualizar uma ocasião de falsa urgência, a exemplo de uma oferta imperdível ou de um caso judicial;

Domínios ou URLs falsas: é comum que golpes de phishing envolvam endereços de e-mail suspeitos e URLs parecidas com a de páginas originais;

Anexos suspeitos: se o golpe envolver arquivos maliciosos, o e-mail conterá arquivos (PDFs, fotos, boletos, entre outros) para comprometer o dispositivo com malware.

Quais são os tipos de golpes de phishing?

Os tipos de ataques de phishing continuam a crescer, à medida que a tecnologia avança e novas técnicas de engenharia social são descobertas. Mas os principais tipos de ataques phishing envolvem:

Phishing de e-mail: envios massivos de e-mails contendo arquivos maliciosos, interfaces falsas ou links fake para enganar as vítimas;

Spear phishing: golpe de phishing personalizado, que contém informações das vítimas para tornar a fraude mais convincente;

Whaling: ataque similar ao spear phishing, mas direcionado a executivos e membros de alto escalão de grandes corporações;

Vishing: golpe de phishing realizado via chamadas telefônicas, que induz vítimas a realizarem ações via instruções por voz;

Smishing: tipo de ataque phishing feito por mensagens SMS, e que geralmente traz links suspeitos no corpo de texto;

Quishing: ameaça de phishing que usa QR Code fake para download de programas maliciosos ou falsos pagamentos.

É possível se proteger de golpes de phishing?

Golpes de phishing vêm se aperfeiçoando, mas há como se proteger dessas ameaças (Imagem: Mohamed_hassan/Pixabay)

Sim. A primeira e mais importante dica para não cair em um golpe de phishing é desconfiar de tudo. Evite abrir e-mails suspeitos, confira endereços eletrônicos de origem e nunca clique em um link ou baixe um arquivo vindo de uma pessoa desconhecida.

Se a mensagem parecer convincente, vale entrar em contato (por telefone ou outros meios) com o banco, autoridade ou empresa mencionada no e-mail, e explicar a situação. Contudo, utilize os canais de comunicação oficiais, e não considere possíveis contatos falsos informados na mensagem de golpe.

Você também pode ativar a autenticação em dois fatores (2FA) de todas suas contas para evitar que elas sejam comprometidas. O uso de um antivirus seguro também pode mitigar o acesso a links maliciosos, bem como o download de arquivos infectados.

O que fazer se eu cair em um golpe de phishing?

Caso se torne uma vítima de um golpe de phishing, vale alterar todas suas senhas o mais rápido possível. Dependendo da rapidez da ação, essa medida pode evitar que golpistas tenham acesso às suas contas e serviços utilizados.

Você também pode contatar empresas e solicitar bloqueio de contas bancárias. Avise também amigos, familiares e colegas de trabalho sobre o ocorrido, já que o golpista pode se passar por você. E vale registrar um boletim de ocorrência online em uma delegacia eletrônica para reportar o caso.

Também é recomendável fazer varreduras em seu dispositivo para eliminar possíveis arquivos maliciosos ou pontos de acesso aos golpistas. Se necessário, contate serviços especializados em segurança cibernética para eliminar ameaças ativas.

Qual é a diferença entre phishing e spear phishing?

Ataques phishing geralmente acontecem via e-mail, incluindo interfaces, sites ou arquivos falsos que induzem a vítima a fornecer dados sensíveis. Contudo, esse tipo de ameaça é mais genérico, já que os golpistas fazem envios em massa para tentar enganar o maior número de pessoas possível.

O spear phishing tem o mesmo funcionamento do phishing, mas com um formato mais direcionado. Geralmente, golpistas estudam a vítima ou empresa para coletar informações pessoais (como nome, banco usado e nome de familiares) e criar e-mails e mensagens fraudulentas mais convincentes.

Qual é a diferença entre phishing e spoofing?

Phishing diz respeito ao ataque focado em enganar e manipular vítimas para o roubo ou coleta de dados sensíveis. Nesse tipo de ameaça, golpistas se passam por empresas ou autoridades e induzem a vítima a executar ações como informar dados bancários ou clicar em um link.

Já o spoofing refere-se especificamente à técnica de falsificação de identidade para golpes digitais. Na prática, cibercriminosos podem se passar por uma pessoa, autoridade ou empresa via e-mail, SMS, ligação ou aplicativos de mensagens, de modo a enganar as vítimas.

Embora phishing e spoofing possam se complementar na construção de um golpe, focam em finalidades diferentes.

Qual é a diferença entre phishing e engenharia social?

Phishing é um tipo específico de engenharia social, focado em roubar e coletar dados sensíveis das vítimas por meio de técnicas de manipulação e persuasão. Golpes de phishing geralmente acontecem de forma online, via e-mail, aplicativos de mensagens ou SMS.

A engenharia social também usa técnicas de manipulação de vítimas para a obtenção de dados, mas abrange técnicas além do phishing, incluindo baiting, tailgating, pretexting, entre outros golpes.

Em outras palavras: phishing é um tipo de engenharia social, mas nem todo golpe de engenharia social é necessariamente um ataque phishing.
O que é phishing? Entenda o funcionamento e como se proteger desse tipo de golpe

O que é phishing? Entenda o funcionamento e como se proteger desse tipo de golpe
Fonte: Tecnoblog

Falha em banco de dados da Volkswagen permitia localizar clientes

2 de janeiro de 2025

Falha em banco de dados da Volkswagen permitia localizar clientes

Dados de clientes da Volkswagen não estavam criptografados e podiam ser acessados pro terceiros (Imagem: Divulgação/Volkswagen)

Uma falha no sistema da Cariad, subsidiária de software da Volkswagen, permitia que a localização de carros da montadora fosse acessada por terceiros. O caso foi revelado pela revista alemã Der Spiegel, que recebeu a informação de uma fonte anônima — provavelmente um whistleblower, nome dado a pessoas de uma organização que denunciam práticas internas. Segundo o jornal, os dados de 800 mil carros em todo o mundo podiam ser acessados.

A Cariad desenvolve e gerencia o aplicativo Volkswagen, um app para donos de veículos da marca receberem informações e dados sobre os seus carros. Assim como fazem outras fabricantes, o app da Volkswagen coleta dados de GPS e de outras fontes. Contudo, o Der Spiegel mostrou que essas informações estavam armazenadas sem proteção em um servidor da Amazon.

Os dados foram violados por terceiros?

Segundo a Cariad, nenhum agente mal-intencionado, como um grupo de hackers, teve acesso aos dados. Se você é dono de um veículo da Volkswagen ou das subsidiárias, pode ficar relativamente tranquilo. A informação sobre a sua localização e hábitos de deslocamento não foram roubados — só a Volkswagen sabe isso e muito mais sobre você.

A subsidiária da Volkswagen e o Chaos Computer Club, um grupo europeu de hackers white hat, destaca que o acesso aos dados demandava um alto conhecimento de programação. Ou seja: um usuário comum não saberia acessar, mas crackers ou serviços de inteligência, sim.

Volkswagen afirma que dados não foram acessados por agentes mal-intencionados (Imagem: Divulgação/Volkswagen)

Como funciona o sistema de rastreio do app da Volkswagen?

O app para donos de carros da Volkswagen detecta, entre outras informações, a localização do carro toda vez que ele é ligado ou desligado. Assim, é possível identificar os hábitos de deslocamento do motorista. Dois políticos alemães, Nadja Weippert e Markus Grubel, permitiram que a revista acessem os seus dados no banco da Cariad.

Com essas informações, foi possível identificar quando o carro de Nadja estava em casa, no parlamento estadual, na padaria ou na clínica de fisioterapia que ela frequenta. Através disso, como o sistema capta o momento em que o carro era ligado ou desligado, quem tem acesso aos dados descobre quanto tempo o veículo ficou estacionado. Em outras palavras, o tempo que o motorista fica no local.

A Cariad corrigiu o problema após ser informada pela revista Der Spiegel. Além de dados de carros da Volkswagen, o app também é usado com veículos de marcas que integram o grupo da montadora: Audi, Seat e Skoda. Pelo que apurou a revista, a maioria dos 800 mil carros no app estão na Europa. Contudo, apenas 460 mil carros tinham a informação sobre localização.

Além da Volkswagen, outras montadoras, como a Chevrolet, são péssimas em proteger dados dos usuários (Imagem: Lucas Braga/Tecnoblog)

O caso retoma o problema das montadoras “se digitalizarem demais”. Em março de 2024, publicamos sobre fabricantes que vendiam os dados de hábito de direção para seguradoras. Em 2023, a Mozilla publicou um relatório mostrando que a proteção de dados dos veículos modernos um desastre, além de capturarem informações demais.

No caso da Cariad e Volkswagen, o motivo apresentado para registrar dados dos clientes de carros elétricos é aprimorar o sistema de bateria — desde a própria célula até a parte de carregamento. Os clientes não são obrigados a compartilhar os dados de localização com as montadoras. O problema é até quando isso será opcional e o cliente será obrigado a divulgar informações para comprar um carro (e se é que isso poderá ser chamado de compra)

Com informações: Der Spiegel e Mashable
Falha em banco de dados da Volkswagen permitia localizar clientes

Falha em banco de dados da Volkswagen permitia localizar clientes
Fonte: Tecnoblog

5 dicas essenciais proteger seus dados na internet

23 de dezembro de 2024

5 dicas essenciais proteger seus dados na internet

Confira práticas e serviços de proteção de dados em ambiente online (Imagem: Divulgação/Surfshark)

Proteger dados pessoais na internet é importante para preservar informações sensíveis e evitar o uso indevido destas em golpes online ou offline.

As principais soluções para manter a segurança dos seus dados envolvem evitar o compartilhamento de nome, e-mail e outras credenciais em sites pouco confiáveis.

Além disso, manter uma conexão segura através de uma VPN é um ponto fundamental para quem costuma acessar redes públicas.

A seguir, veja 5 dicas essenciais para proteger seus dados na internet.

Obtenha Surfshark com até 81% de desconto + 3 meses extras na parceria com o Tecnoblog!

Índice1. E-mail alternativo e número virtual2. Autenticadores multifatoriais3. VPN4. Antivírus5. Alerta para vazamento de dadosSurfshark oferece a segurança que você precisa

1. E-mail alternativo e número virtual

Usar e-mails secundários ou números de telefone virtuais é uma forma de reduzir exposições de dados em ambiente online, devido à adoção de informações de contato alternativas no lugar de dados primários. Isso garante que seus dados reais permaneçam seguros mesmo em casos de interceptação ou golpes de phishing.

Os produtos Alternative ID e Alternative Number da Surfshark, por exemplo, geram identidades, e-mails e números de telefone alternativos. Como consequência, você poderá fazer login ou cadastros em sites não confiáveis, sem correr o risco de spam em sua conta principal ou de que suas informações reais caiam em mãos erradas.

Usar e-mails e números de telefone alternativos evita a exposição de dados na internet (Imagem: Divulgação/Surfshark)

2. Autenticadores multifatoriais

Autenticadores de dois (2FA) ou mais fatores (MFA) têm papel importante para barrar acessos não autorizados, mesmo em caso de vazamentos. Quando integradas a sites ou apps compatíveis, essas aplicações geram códigos de autenticação temporários que adicionam uma camada extra de segurança ao login.

Com a autenticação multifatorial, mesmo que as credenciais de acesso (como nome de usuário e senha) sejam vazadas, golpistas e criminosos vão precisar do código de autenticação gerado no dispositivo seguro do usuário, via softwares como Google Authenticator, Microsoft Authenticator e 1Password.

Autenticadores como o Google Authenticator adicionam camada extra de proteção em logins (Imagem: Igor Shimabukuro/Tecnoblog)

3. VPN

VPN (Virtual Private Network) é uma tecnologia que garante mais privacidade durante a navegação na internet. Ao criptografar o tráfego e ocultar o endereço IP do usuário, serviços VPN estabelecem uma conexão segura entre o dispositivo e redes públicas ou privadas, reforçando a segurança dos dados.

O uso de VPNs estabelece uma conexão segura entre dispositivo e rede (Imagem: Divulgação/Surfshark)

A solução VPN da Surfshark cumpre essas tarefas, deixando sua navegação irrastreável a partir de um IP dinâmico ininterrupto, e com servidores em mais de 100 países. E além de protocolos extras de segurança, a Surfshark permite que você use VPN no celular, em PCs, TVs ou roteadores, sem nenhum limite.

4. Antivírus

O uso de um software antivírus também complementa sua proteção na internet. Afinal, esses programas focados em segurança são capazes de bloquear URLs suspeitas, impedir downloads automáticos de arquivos maliciosos, além de monitorar a conexão de rede para impedir roubo de dados e acessos não autorizados.

Neste sentido, o Surfshark Antivirus oferece proteção em tempo real contra spywares e malwares 24 horas por dia, incluindo proteção de webcam, recursos de segurança personalizáveis e varreduras em dispositivos. Tudo isso por meio de um software leve que não compromete o uso de sua CPU ou memória RAM.

Surfshark Antivirus oferece proteção ao dispositivo sem comprometer o uso da CPU e RAM (Imagem: Divulgação/Surfshark)

5. Alerta para vazamento de dados

Caso seus dados caiam em mãos erradas, é importante contar com ferramentas que alertem sobre possíveis vazamentos. Serviços do tipo conseguem monitorar suas informações em diversos bancos de dados na internet, e possibilitam que você tome decisões rápidas em casos de violação.

Serviços de alerta ajudam a tomar decisões rápidas em casos de vazamentos (Imagem: Divulgação/Surfshark)

O Surfshark Alert, por exemplo, envia alertas instantâneos sempre que seu e-mail aparecer em um banco de dados violado. O serviço também monitora vazamentos de sua senha, e emite notificações caso suas informações bancárias sejam divulgadas em ambiente online.

Surfshark oferece a segurança que você precisa

A boa notícia é que a Surfshark oferece uma solução completa para proteção de dados, defesa do dispositivo e segurança durante a navegação, incluindo soluções como:

Alternative ID: solução que gera uma identidade e um e-mail para você usar em ambientes online;

Alternative number: serviço que cria um número de telefone alternativo para preservar o seu número real;

VPN: proteção VPN premiada, capaz de proteger seu tráfego e seus dados na internet;

Antivírus: software com opções personalizáveis, que adiciona uma camada extra de segurança ao dispositivo;

Surfshark Alert: serviço de monitoramento que emite alertas em casos de vazamentos ou violações de dados.

Aproveite o assunto desde já para assinar a Surfshark com até 81% de desconto + 4 meses EXTRAS na parceria com o Tecnoblog!
5 dicas essenciais proteger seus dados na internet

5 dicas essenciais proteger seus dados na internet
Fonte: Tecnoblog

Microsoft implora: usem as passkeys para se protegerem

20 de dezembro de 2024

Microsoft implora: usem as passkeys para se protegerem

Microsoft reforça que usuários devem utilizar passkeys para se manterem suas contas mais seguras (Imagem: Vitor Pádua / Tecnoblog)

A Microsoft está fazendo um apelo para os internautas: usem os passkeys para proteger as suas contas de hackers. A big tech fez uma publicação em seu blog relatando os seus esforços em convencer as pessoas a usarem essa tecnologia para logar em suas contas. Parte da estratégia de convencimento envolve melhorias no design e experiência do usuário.

No blog, a Microsoft revela que seus serviços de segurança bloquearam 7.000 ataques a senhas por segundo em 2024 — o dobro do ano passado. A big tech ainda relata que houve um aumento de 146% nos ataques do tipo man in the middle, no qual o cibercriminoso intercepta o tráfego de dados da vítima com algum serviço (como um internet banking).

Além da Microsoft, Google e Apple também defendem o uso de passkeys (chaves de acesso) para a segurança das contas. As três empresas até estão atuando em conjunto para que a solução seja integrada entre os sistemas e serviços das empresas. Por exemplo, uma chave de acesso do seu Microsoft 365 sendo usada para acessar a conta no macOS.

Passkey é aposta das big techs para ampliar a segurança das contas e impedir ataques (Imagem: Vitor Pádua/Tecnoblog)

Como a Microsoft vem convencendo os usuários a adotar o passkey?

A Microsoft explicou que primeiro passou a exibir a opção de adotar um passkey na criação das contas e durante o login. Com isso a big tech aprendeu que o termo passkey não é popular. A Microsoft então trocou pelos termos “rosto, digital ou pin”, o que facilitou o entendimento da modalidade da chave de acesso.

Esse método de incluir a opção de criar passkey após o login foi mais eficiente do que a Microsoft esperava. Afinal, quando você entra em uma conta você quer logo usar o serviço. Contudo, a estratégia da big tech foi efetiva e levou 25% dos usuários a criarem uma passkey — valor cinco vezes maior do que a empresa esperava.

Ao resetar uma senha o usuário também é convidado a criar uma passkey. Após escolher uma chave de acesso, ela se torna a opção padrão na hora de logar em uma conta. A meta da Microsoft e das big techs é acabar de vez com o uso de senhas, adotando apenas métodos imunes à phishing.

Por que passkeys são importantes para a segurança digital?

Passkey evitam ataques de phising e também resolvem o problema do esquecimento de senha (imagem ilustrativa: Vitor Pádua/Tecnoblog)

As passkeys podem ser armazenadas no dispositivo, como o telefone ou computador, e podem ser um PIN, digital ou reconhecimento facial. O método de usar um aplicativo autenticador também é uma forma de passkey.

Chaves de acesso biométricas impedem que o usuário caia em alguma tentativa de phishing — PINs são números e podem ser roubados, seja por alguém te espiar enquanto você digita ou por te enganar a passar o código. Como é necessário o seu rosto ou a sua digital para entrar na conta, o hacker não pode copiar a sua digital ou seu rosto.

Passkeys biométricas também não sofrem o problema de esquecimento. Você pode esquecer a senha, mas não o seu dedo ou rosto. A Microsoft também explica que as chaves de acesso deixam o login mais ágil — e dispensam você de realizar as etapas de recuperação de senha caso tenha esquecido.

Com informações: Tech Radar
Microsoft implora: usem as passkeys para se protegerem

Microsoft implora: usem as passkeys para se protegerem
Fonte: Tecnoblog

O desejado cartão da Apple se tornou isca para golpe no Brasil

12 de dezembro de 2024

O desejado cartão da Apple se tornou isca para golpe no Brasil

Vídeo enganoso promete Apple Card com limite de R$ 5 mil (ilustração: Vitor Pádua/Tecnoblog)

Resumo

Golpistas usam vídeo falso com imagem e voz de Thiago Augusto para promover falso Apple Card no Instagram.
Site fraudulento coleta informações pessoais dos usuários, replicando interface da Apple.
O Apple Card é um cartão de crédito de titânio, lançado em parceria com o Goldman Sachs e disponível apenas nos Estados Unidos.

Cartão de crédito da Apple com limite de pelo menos R$ 5 mil. Se te parece bom demais para ser verdade, você tem razão: trata-se de um golpe que circula na internet nas últimas semanas, e se vale do design minimalista do Apple Card para atrair vítimas. Os golpistas também utilizam a imagem e a voz de um conhecido influenciador para convencer usuários da oportunidade única.

O Tecnoblog verificou que algumas vítimas já se queixam da falcatrua no Reclame Aqui. Apesar disso, não se sabe quais medidas foram tomadas para evitar que mais pessoas sejam expostas à publicidade. Cabe lembrar que a Apple de fato possui o Apple Card, um luxuoso cartão de crédito feito de titânio.

Como é o vídeo falso?

Dono do perfil Jornada Top é vítima de deep fake (imagem: reprodução)

O vídeo falso inclui a voz manipulada de Thiago Augusto, conhecido influenciador com mais de 8 milhões de seguidores no Instagram, onde assina o perfil Jornada Top. “Solicitar é muito rápido e simples”, afirma a narração, possivelmente gerada com inteligência artificial.

O vídeo veiculado no Instagram ainda promete um link para fazer o processo de registro. A página não fica hospedada no domínio oficial apple.com, mas sim num obscuro endereço .shop.

Chatbot pergunta CPF do consumidor (imagem: Thássius Veloso/Tecnoblog)

Página falsa fica em domínio com problema de segurança (imagem: Thássius Veloso/Tecnoblog)

Nossa equipe adotou medidas de segurança e acessou o tal endereço, que tenta replicar a interface da Apple, mas peca pela falta de cuidado com a identidade visual. O chatbot faz uma saudação e pergunta o CPF do consumidor. A partir daí, o cadastro falso coleta outras informações pessoais.

Nós apuramos que o assunto é tratado como um mega fake dentro da empresa da maçã. A Apple, o Instagram e o influenciador Thiago Augusto foram procurados, mas não responderam até a publicação desta matéria. O espaço está aberto.

Apple Cad só existe nos EUA

O Apple Card é um cartão de crédito lançado pela Apple em 2019 numa parceria com o banco Goldman Sachs. Ele se destaca pelo visual minimalista, com uma interface branca e a marca da maçã, sem nenhum tipo de numeração. O cartão é feito de titânio, material que o deixa mais pesado e com um toque mais premium.

Apple Card é feito de titânio (foto: Thássius Veloso/Tecnoblog)

A proposta do Apple Card é trazer mais conveniência e privacidade para os consumidores. Ele funciona de forma integrada ao app de carteira do iPhone e do Apple Watch. Além disso, a fabricante promete que os dados de compras não são compartilhados com o banco parceiro.

Os adeptos do cartão da Apple contam com os seguintes percentuais de cashback, o mecanismo que devolve parte do dinheiro gasto:

3% em compras feitas diretamente com a Apple (Apple Store, App Store, Apple Music etc) e em empresas parceiras específicas

2% em pagamentos usando o Apple Pay

1% em compras realizadas com o cartão físico

Site oficial da Apple informa que Apple Card está disponível somente nos EUA (imagem: Thássius Veloso/Tecnoblog)

Não há qualquer previsão de lançamento do Apple Card no Brasil. Ele nem sequer está em outras economias que costuma figurar entre as prioridades da Apple, como Alemanha, França, Reino Unido e Japão.
O desejado cartão da Apple se tornou isca para golpe no Brasil

O desejado cartão da Apple se tornou isca para golpe no Brasil
Fonte: Tecnoblog

O que é phishing? Saiba como evitar ataques e proteger seus dados pessoais

11 de dezembro de 2024

O que é phishing? Saiba como evitar ataques e proteger seus dados pessoais

O que é phishing? Saiba como evitar ataques e proteger seus dados pessoais (imagem: reprodução/Surfshark)

Entre os vários perigos da internet estão ações maliciosas chamadas de phishing. Vítimas de ameaças do tipo podem ter dados pessoais roubados, bem como seu computador ou celular infectado por malwares. A seguir, descubra como se proteger do problema.

Aproveite o assunto desde já para assinar a Surfshark com até 81% de desconto + 4 meses EXTRAS na parceria com o Tecnoblog!

ÍndiceO que é phishing?Quais são os tipos de phishing?Como funciona um ataque de phishing?Como identificar um ataque de phishing?Como evitar ataques de phishing?O que fazer ao ser vítima de um ataque de phishing?A Surfshark ajuda na sua proteção

O que é phishing?

Phishing é uma palavra em inglês que significa “pescaria”. No contexto da segurança digital, o termo faz referência a todo tipo de fraude online que tenta convencer o usuário a realizar uma ação que resultará na captura de dados importantes, como senhas pessoais e informações bancárias.

Quais são os tipos de phishing?

Há várias abordagens de phishing. Cada uma se distingue da outra de acordo com a tática empregada para fazer vítimas. Os principais tipos são estes:

Smishing: são mensagens fraudulentas que chegam ao usuário por SMS ou serviços como WhatsApp. Seu conteúdo tenta convencer o usuário a abrir um link malicioso, que leva a um malware ou a uma página falsa, por exemplo;

Vishing: também chamado de voice phishing, trata-se de uma técnica de engenharia social que pode começar por e-mail ou rede social, por exemplo, mas depois evolui para mensagens ou chamadas de voz que tentam enganar o usuário;

Whaling: é um tipo de phishing direcionado a executivos de grandes organizações ou membros importantes de instituições governamentais. Para tanto, o ataque envia aos alvos mensagens que se passam por contatos de pessoas tão ou mais importantes;

Spoofing: um ataque de spoofing cria um e-mail, site ou mensagem que se passa por um conteúdo legítimo quando, na verdade, trata-se de uma imitação. É o caso de páginas fraudulentas que se passam por sites de bancos.

Assine a Surfshark com até 81% de desconto + 4 meses EXTRAS na parceria com o Tecnoblog!

Como funciona um ataque de phishing?

Um ataque de phishing usa textos, mensagens de voz, vídeos e imagens ou uma combinação desses elementos para tentar convencer o usuário a realizar uma ação potencialmente danosa a ele, como clicar no link de um site falso ou baixar um aplicativo que, na verdade, é um malware.

Em linhas gerais, as etapas do phishing são estas:

Envio da mensagem: cibercriminosos enviam ao usuário um e-mail, SMS ou alerta em apps mensageiros que tem conteúdo enganoso;

Convencimento: o conteúdo pode ter tom alarmante ou tenta despertar um senso de oportunidade no usuário, afirmando que ele tem uma dívida grande para pagar ou recebeu um prêmio em um concurso, por exemplo;

Execução da ação maliciosa: se o usuário acreditar no conteúdo da mensagem e clicar no link ou anexo que a acompanha, poderá ser vítima de fraude.

Ataques de phishing tentam enganar o usuário (imagem: reprodução/Surfshark)

Como identificar um ataque de phishing?

Há alguns sinais que te ajudam a identificar quando uma mensagem é phishing, como:

Tom alarmante: a mensagem tenta deixar o usuário preocupado, afirmando falsamente que ele tem uma dívida de alto valor, está sendo processado judicialmente ou teve uma compra realizada em seu nome, por exemplo;

Senso de oportunidade: semelhante ao tom alarmante, mas tenta convencer o indivíduo de que ele ganhou um prêmio, vai ter acesso a fotos exclusivas de uma celebridade ou tem um valor expressivo esquecido em um banco, por exemplo;

Texto confuso ou com erros: é comum mensagens de phishing terem erros gramaticais ou ortográficos. Organizações sérias têm revisores que impedem que mensagens legítimas sejam enviadas com essas falhas;

Formatação desconexa: mensagens com aparência bagunçada ou com elementos desproporcionais levantam suspeitas de que aquele conteúdo faz parte de um ataque de phishing;

Endereços estranhos: links de phishing costumam ter sequências de letras que não formam palavras, são muito extensas ou não têm relação com a organização mencionada na mensagem.

Como evitar ataques de phishing?

Além de observar sinais que sugerem um ataque de phishing, há algumas medidas de prevenção que você pode adotar:

Acesse somente canais oficiais: só entre em contato com empresas a partir de números de telefone e perfis nas redes sociais divulgados nos sites oficiais;

Use VPN: um serviço de VPN no celular ou no computador ajuda a proteger o equipamento de vulnerabilidades ou malwares que atuam por meio de ataques de phishing. A VPN da Surfshark é bastante indicada para esse fim;

Cuidado com links e anexos: desconfie de anexos ou links presentes em mensagens que você não estava esperando, mesmo se elas parecerem ser legítimas;

Camuflagem de identidade: utilize um serviço como o Alternative ID da Surfshark para ocultar seus dados de identificação reais em cadastros online;

Cuidado com informações pessoais: não revele detalhes sensíveis sobre você nas redes sociais e evite cadastros em serviços online desconhecidos. Os dados inseridos nesses canais podem ser usados para phishing.

Assine a Surfshark com até 81% de desconto + 4 meses EXTRAS na parceria com o Tecnoblog!

O que fazer ao ser vítima de um ataque de phishing?

Se você caiu em um golpe de phishing, precisa agir rápido para evitar complicações. Eis algumas medidas possíveis:

Execute um antivírus: se o ataque de phishing fez você baixar um arquivo suspeito, faça uma varredura em seu dispositivo com um antivírus confiável, como o da Surfshark;

Revise suas contas: troque as senhas das contas envolvidas no ataque de phishing, e revise as informações cadastrais vinculadas a elas;

Avise as instituições envolvidas: se o ataque de phishing fez sua conta em um banco ou em uma loja ser invadida, por exemplo, avise essas empresas o quanto antes do problema;

Denuncie: registre um boletim de ocorrência ou denuncie o caso às autoridades se você tiver prejuízo financeiro ou danos morais em razão do ataque de phishing.

A Surfshark VPN é uma importante proteção contra phishing e outras ameaças (imagem: reprodução/Surfshark)

A Surfshark ajuda na sua proteção

A melhor arma conta ameaças digitais é a prevenção. Nesse sentido, a Surfshark pode te ajudar com poderosas ferramentas de segurança, entre elas:

VPN Surfshark: com mais de 3.200 servidores ao redor do mundo, oferece criptografia de nível militar, múltiplos protocolos e conexões simultâneas;

Surfshark Antivírus: acrescenta uma camada extra de proteção contra vírus e malwares em até cinco dispositivos, incluindo celulares Android e computadores (Mac e Windows);

Surfshark Search: motor de buscas privado para pesquisas orgânicas, sem anúncios e rastreamento;

Surfshark Alert: notificações em tempo real sobre vazamentos de dados pessoais, números de cartões de crédito, senhas e outras informações sensíveis.

Você pode assinar a Surfshark com até 81% de desconto + 4 meses EXTRAS na parceria com o Tecnoblog!
O que é phishing? Saiba como evitar ataques e proteger seus dados pessoais

O que é phishing? Saiba como evitar ataques e proteger seus dados pessoais
Fonte: Tecnoblog

Android vai permitir que bancos limitem apps em celulares antigos

6 de dezembro de 2024

Android vai permitir que bancos limitem apps em celulares antigos

Android vai permitir que bancos limitem apps em celulares desatualizados (imagem: Vitor Pádua/Tecnoblog)

O Android tem uma API chamada Play Integrity que, basicamente, checa a legitimidade de aplicativos instalados de modo a aumentar a segurança do dispositivo. Essa API ganhou mais uma função: informar a determinados apps se o Android está atualizado ou não. Com isso, vários serviços, como os bancários, poderão ser limitados ou até barrados em celulares ou tablets sem updates recentes de segurança.

Os desenvolvedores do Android explicam que a API Play Integrity é um importante mecanismo de segurança, afinal, ajuda a identificar atividades fraudulentas, a atuação de bots, entre outras ameaças. Nesse sentido, a nova função da API consiste em dar aos desenvolvedores novas opções de “vereditos de integridade”.

Entre esses novas opções estão sinais de segurança que ajudam o desenvolvedor a estimar qual confiável é o dispositivo em que o seu aplicativo está sendo executado. Se, de acordo com seus parâmetros, o app estiver rodando em um ambiente com nível insatisfatório de segurança, o desenvolvedor poderá limitar as funcionalidades da ferramenta.

Com isso, aplicativos de bancos, por exemplo, poderão reduzir os limites de transferência de dinheiro ou até impedir esse tipo de operação caso seja constatado que o Android não tem determinadas atualizações de segurança.

Em linhas gerais, o padrão de funcionamento do novo recurso consiste em informar se o aparelho recebeu alguma atualização de segurança para o Android no último ano. Se negativo, os desenvolvedores poderão decidir por limitar funcionalidades específicas de seus aplicativos.

Se bancos, financeiras, serviços governamentais e afins adotarem esse recurso, isso significa que usuários com celulares ou tablets antigos terão dificuldades para utilizar seus dispositivos para operações sensíveis, como as que envolvem pagamentos ou transferências de dinheiro.

Em alguns casos, a simples instalação de atualizações do Android disponibilizadas pelo fabricante resolverá o problema. Mas, se o dispositivo já não estiver mais sendo atualizado, restarão poucas opções: instalar uma ROM do Android mais recente, procedimento que exige algum conhecimento técnico, ou trocar de dispositivo.

Celular Motorola Edge 50 Ultra com Android 14 (foto: Thássius Veloso/Tecnoblog)

Para quando?

As novas sinalizações da API Play Integrity já começaram a ser disponibilizadas. A previsão é a de que todos os dispositivos com Android 13 ou superior tenham as novas sinalizações até maio de 2025.

Isso significa que dispositivos com Android 13 ou superior serão identificados como tendo nível de proteção inferior se não tiverem pelo menos uma atualização de segurança no último ano. Já aparelhos com Android 12 ou anterior poderão ser considerados menos seguros por si só e, como tal, receber tratamentos diferentes por parte de aplicativos.

Mas que fique claro: essa mudança no ecossistema do Android não gera bloqueio automático de funções em aparelhos desatualizados. A decisão de limitar ou não recursos de aplicativos caberá a cada desenvolvedor ou serviço.

Com informações: Android Police, Android Developers Blog
Android vai permitir que bancos limitem apps em celulares antigos

Android vai permitir que bancos limitem apps em celulares antigos
Fonte: Tecnoblog

FBI pede que americanos usem apps critptografados para evitar ciberataque

5 de dezembro de 2024

FBI pede que americanos usem apps critptografados para evitar ciberataque

FBI alerta que ataque de grupo hacker Salt Typhoon contra telecoms segue ativo (imagem ilustrativa: Vitor Pádua/Tecnoblog)

Hackers do grupo chinês Salt Typhoons estariam há meses interceptando a comunicação de clientes da AT&T, Lumen e Verizon, diz o canal NBC. O canal cita como fontes profissionais do FBI e da Agência de Cibersegurança e Segurança de Infraestrutura (CISA em inglês). Segundo as fontes, o ataque ainda não foi remediado e clientes devem usar apps de mensagens com criptografia.

O ataque, pelo que é compreendido da declaração das fontes, não chega a ser um ataque massivo como um DDoS visando interromper o serviço. A ação do grupo hacker se assemelha mais à tentativa de espionagem — ainda assim trazendo prejuízo para os clientes e trabalho intenso para a equipe de segurança das telecoms.

Quais dados os hackers estão buscando?

Hackers buscam, entre outras coisas, interceptar chamadas e descobrir número de telefone dos alvos (Imagem: Vitor Pádua/Tecnoblog)

Segundo as fontes ouvidas pela NBC, o grupo Salt Typhoon busca roubar metadados dos telefones (que permite descobrir o número da linha), gravações de chamadas e interceptação de ligações. Esse último caso tem como alvo pessoas específicas, como membros da campanha de Donald Trump, Kamala Harris e Chuck Schumer, líder da maioria no Senado estadunidense.

A maioria dos alvos da ação do Salt Typhoon são telefones localizados na área de Washington, capital dos Estados Unidos. O FBI não revela quais contas foram alertadas sobre o ataque aos seus telefones, mas Schumer foi um dos alvos que revelou a informação para a NBC em outubro — mês em que os ataques começaram.

Quem é o Salt Typhoon?

O grupo hacker Salt Typhoon, segundo o FBI, tem ligações com o governo chinês. Esse nome foi dado pela Microsoft, mas outras empresas de cibersegurança o chamam por outros nomes. A ESET, por exemplo, batizou o grupo de FamousSparrow.

O Salt Typhoon é mais um personagem da disputa de poder entre China, Estados Unidos e Rússia; além da Coreia do Norte. Os países realizam operações de ciberataques e invasões como estratégia de espionagem e para prejudicar os serviços dos rivais — ainda que os EUA, assim como as outras nações, negue o envolvimento com os ataques e grupos.

Com informações: The Verge e NBC
FBI pede que americanos usem apps critptografados para evitar ciberataque

FBI pede que americanos usem apps critptografados para evitar ciberataque
Fonte: Tecnoblog

Hackers atacam time italiano e roubam dados de jogadores de futebol

29 de novembro de 2024

Hackers atacam time italiano e roubam dados de jogadores de futebol

Hackers usaram possíveis multas como argumento para chantagem (Imagem: Vitor Pádua/Tecnoblog)

O Bologna Football Club 1909, que disputa a primeira divisão do campeonato italiano de futebol, confirmou ter sofrido um ataque de ransomware. Dados de jogadores e patrocinadores vazaram na internet nas últimas semanas. No comunicado divulgado, além de confirmar o roubo das informações, o clube alerta que possuir tais dados, bem como facilitar sua publicação ou difusão, constitui uma “séria infração penal”.

“O Bologna FC 1909 gostaria de comunicar que um ciberataque com ransomware recentemente afetou seus sistemas de segurança interna. O crime resultou no roubo de dados da companhia, que podem aparecer online”, diz o texto.

Jogadores do Bologna, como Orsolini, tiveram dados confidenciais roubados (Imagem: Divulgação/Bologna)

Clube se recusou a pagar resgate

De acordo com o site Bleeping Computer, o grupo responsável pelo ataque se chama RansomHub. A gangue reivindicou a autoria da ação em 19 de novembro.

No comunicado, os hackers dizem que a direção do Bologna “se recusou a proteger os dados confidenciais de jogadores e patrocinadores”. Além de cobrar resgate, os criminosos chantagearam a direção usando a possibilidade de multas elevadas, impostas pela legislação europeia de proteção de dados.

O grupo diz ter roubado detalhes de contratos de patrocínio, histórico financeiro do clube, informações confidenciais de jogadores, estratégias de transferência para jovens atletas, dados confidenciais de funcionários e torcedores, registros médicos, detalhes de estádios e estruturas, planos de negócio e comerciais.

Como nota o Bleeping Computer, ataques de ransomware a times e clubes esportivos não são comuns. O episódio mais notável do tipo foi uma ação contra o San Francisco 49ers, time da NFL, principal liga de futebol americano do mundo. Outro afetado foi o time de basquete Asvel, da França.

Por outro lado, ransomwares já foram utilizados contra os mais diversos alvos, como lojas, tribunais, montadoras de automóveis e estúdios de videogame.

Com informações: Bleeping Computer
Hackers atacam time italiano e roubam dados de jogadores de futebol

Hackers atacam time italiano e roubam dados de jogadores de futebol
Fonte: Tecnoblog

Microsoft anuncia medidas para evitar novo “apagão CrowdStrike”

20 de novembro de 2024

Microsoft anuncia medidas para evitar novo “apagão CrowdStrike”

Microsoft anuncia medidas para evitar nova apagão CrowdStrike (imagem: Vitor Pádua/Tecnoblog)

No evento Ignite 2024, a Microsoft anunciou uma série de medidas para reforçar a segurança do Windows a partir de 2025, sobretudo no âmbito corporativo. Juntas, elas devem evitar que uma falha semelhante ao “apagão CrowdStrike” aconteça novamente e cause prejuízos bilionários.

Embora a Microsoft não tenha mencionado a CrowdStrike no anúncio oficial, as medidas reveladas teriam evitado que aquela pane tivesse acontecido, se já estivessem em vigor. Ou, ao menos, teriam feito o alcance do problema ser menor. É impossível não associar o anúncio ao incidente, portanto.

As medidas começam com um recurso chamado Quick Machine Recovery. Trata-se de uma ferramenta que permitirá a administradores de TI executar correções em atualizações do Windows mesmo quando uma falha nelas impedir o sistema operacional de inicializar.

O Quick Machine Recovery poderá ser usado para reparar atualizações problemáticas de modo remoto. A ferramenta será liberada no começo de 2025, inicialmente, por meio do programa de testes Windows Insider.

Outra medida é uma mudança no Windows que permitirá que ferramentas de segurança operem no nível do usuário em vez de exigir acesso no nível do kernel (o núcleo do sistema operacional).

Essa é uma medida mais complexa, pois é preciso assegurar que a ferramenta de segurança operando no nível do usuário ofereça o mesmo nível de proteção que é capaz de proporcionar no nível do kernel. Por isso, esse novo modo de funcionamento só começará a ser liberado em julho de 2025 e, ainda assim, como prévia.

Ver essa foto no Instagram Uma publicação compartilhada por Tecnoblog (@tecnoblog)

De C++ para Rust e mais

A Microsoft também anunciou a decisão de basear o desenvolvimento de recursos do Windows 11 na linguagem de programação Rust e, com isso, deixar o C++ de lado. Essa mudança ocorrerá gradualmente.

Trata-se de uma medida alinhada com a recomendação que o governo dos Estados Unidos deu às empresas de software de abandonar linguagens como C e C++ em prol da adoção de linguagens mais modernas que, como tal, são mais seguras.

Entres as demais medidas de segurança anunciadas pela Microsoft estão:

Proteção do Administrador: dá apenas acesso padrão ao usuário no Windows 11; modificações no sistema que exigem acesso de administrador exigirão autenticação via PIN ou Windows Hello;

Smart App Control e App Control for Business: recursos que bloqueiam automaticamente a execução de aplicativos não verificados, o que podem impedir a ativação de malwares que chegam via anexo de e-mails, por exemplo;

Criptografia de Dados Pessoais: protege arquivos em pastas como Área de Trabalho, Documentos e Imagens com criptografia, exigindo autenticação biométrica ou via PIN para acesso a eles;

Hotpatch: permite que organizações instalem atualizações críticas sem exigir que o sistema operacional seja reinicializado; o recurso está sendo introduzido no Windows 11 Enterprise 24H2 e no Windows 365.

Proteção de Administrador no Windows 11 (imagem: reprodução/Microsoft)

O apagão CrowdStrike

Em julho de 2024, uma atualização defeituosa nos softwares CrowdStrike Falcon fez computadores baseados no Windows apresentarem instabilidades e até a temível “tela azul da morte”.

Na ocasião, o problema afetou computadores de milhares de organizações ao redor do mundo, causando prejuízos na casa dos bilhões de dólares. Você pode saber mais sobre o assunto no Tecnocast 347 — A Panel Global do Windows.
Microsoft anuncia medidas para evitar novo “apagão CrowdStrike”

Microsoft anuncia medidas para evitar novo “apagão CrowdStrike”
Fonte: Tecnoblog

‹ Previous12345Next ›Last »