Category: Antivírus e Segurança

Meta recebe multa por não proteger senhas de usuários em sistemas internos

27 de setembro de 2024

Meta recebe multa por não proteger senhas de usuários em sistemas internos

Órgão regulador da Irlanda condenou a Meta por deixar senha de usuários sem proteção em seus sistemas (Imagem: Vitor Pádua/Tecnoblog)

A Meta foi multada em US$ 102 milhões (R$ 544,2 milhões) na Europa por deixar as senhas de usuários sem proteção em seus sistemas. A multa foi aplicada pela Comissão de Proteção de Dados (DPC) da Irlanda, órgão responsável por esses tipos de casos na União Europeia (UE). Os relatos sobre o descuido da Meta com essas senhas surgiram em 2019, mas a empresa mantinha os arquivos sem criptografia pelo menos desde 2012.

Como foi revelado em 2019, a big tech mantinha todas as senhas em texto puro em seus sistemas internos. Mais de 600 milhões de senhas poderiam ser acessadas por aproximadamente 20.000 funcionários da Meta. O caso envolveu tanto as contas do Facebook quanto do Instagram.

Engenheiros consultaram dados que revelavam senhas

Quando o caso foi à tona, uma fonte informou que pelo menos 9 milhões de consultas que mostravam as senhas foram feitas por engenheiros e devs da empresa — em torno de 2 mil profissionais viram dados que permitiam visualizar a senha na íntegra. Na época, a Meta (ainda com o nome de Facebook Inc.) afirmou que não houve abuso dessas senhas e nem vazamentos.

Pelo menos 9 mil funcionários fizeram consultas que permitiam visualizar senhas de usuários do Facebook e Instagram (Imagem: Vitor Pádua/Tecnoblog)

Em comunicados à imprensa e entrevistas, a Meta reconheceu que falhou na proteção desses dados. Um dos preceitos básico da segurança da informação é que a empresa precisa aplicar mais camadas de proteção em bancos de dados, evitando que um funcionário mal-intencionado publique ou venda as informações para terceiros.

Geralmente isso é feito com criptografia. Fazendo uma “ilustração desse caso”, é como se as senhas da Meta estivessem salvas em uma planilha do Excel no PC doméstico, com toda família podendo visualizar o conteúdo.

A investigação do DPC começou em 2019 e foi encerrada em janeiro deste ano. Em junho, a decisão final sobre o caso foi publicada e enviada para outros órgãos de proteção de dados da UE. A oficialização da multa foi feita nesta sexta-feira (27).

Até o fechamento dessa notícia, a Meta não se pronunciou sobre um possível recurso da multa. No ano passado, a empresa foi multada em 1,1 bilhão de Euros por compartilhar dados de usuários da Europa com os Estados Unidos. Em 2022, a Meta pagou US$ 276 milhões pelo vazamento de dados ocorrido em 2021.

Com informações: Apple Insider e Android Headlines
Meta recebe multa por não proteger senhas de usuários em sistemas internos

Meta recebe multa por não proteger senhas de usuários em sistemas internos
Fonte: Tecnoblog

O que é SIM Swap e como não ser a próxima vítima desse golpe

24 de setembro de 2024

O que é SIM Swap e como não ser a próxima vítima desse golpe

SIM Swap é golpe que “clona” o número de telefone por meio da troca do chip de celular (Imagem: Vitor Pádua/Tecnoblog)

SIM Swap é um golpe aplicado por cibercriminosos para a clonagem do chip SIM do celular. Essa modalidade de fraude é usada para acessar contas online ao interceptar a autenticação via SMS ou outras formas de verificação vinculada ao número de telefone.

Embora as operadoras usem soluções tecnológicas para impedir a ação dos golpistas, os próprios usuários podem adotar práticas para evitar ser alvo das atividades fraudulentas.

A seguir, entenda melhor como funciona o golpe da troca de chip e saiba como se proteger do SIM Swap.

ÍndiceO que é SIM Swap?Como funciona o golpe SIM Swap?Quais são as consequências de um ataque de SIM Swap?Como saber se fui vítima de SIM Swap?É possível comprar um chip que já veio clonado?É possível reverter um ataque de SIM Swap?Como se proteger de golpes SIM Swap?Operadoras de telefonia oferecem proteção contra SIM Swap?Qual é a diferença entre SIM Swap e phishing?

O que é SIM Swap?

SIM Swap é um golpe realizado por cibercriminosos para clonar o chip SIM da vítima. A prática consiste no golpista entrar em contato com a operadora, fingindo ser o dono da linha telefônica, para solicitar a portabilidade do número para outro chip. Assim, ele tem acesso às mensagens de texto e pode usar os códigos de verificação para acessar contas bancárias e de redes sociais.

Como funciona o golpe SIM Swap?

O golpe SIM Swap ocorre em três etapas:

Coleta de dados: inicialmente, os cibercriminosos fazem engenharia social ou buscam informações vazadas para obter os dados pessoais da vítima, como e-mail, CPF e data de nascimento.

Roubo da linha telefônica: com informações confidenciais da vítima, criminosos enganam a operadora de telefonia e solicitam a transferência da linha para outro chip SIM alegando que o anterior foi perdido ou roubado.

Acesso às contas da vítima: golpistas conseguem fazer o login em contas de banco, redes sociais e outros serviços usados pela vítima por meio de códigos de confirmação que usam o número de telefone, como a autenticação via SMS ou chamadas de voz.

Criminosos usam o golpe SIM Swap para interceptar códigos de autenticação via SMS (Imagem: Emerson Alecrim/Tecnoblog)

Quais são as consequências de um ataque de SIM Swap?

Um ataque de SIM Swap pode resultar em danos financeiros e morais para a vítima. Por exemplo:

Invasão de contas: os criminosos podem acessar suas redes sociais, e-mails e contas bancárias, alterando senhas e realizando transações fraudulentas;

Fraudes financeiras: é comum a ocorrência de clonagem de cartões, uso de carteiras digitais, desvio de fundos de investimentos e transferências não autorizadas em nome da vítima;

Roubo de identidade: seus dados pessoais sensíveis podem ser acessados e usados para outros crimes pelos criminosos;

Clonagem de apps de mensagens: você pode ter o WhatsApp clonado pelos golpistas, que podem usar antigas conversas para solicitar dinheiro de amigos e familiares;

Danos à reputação: a utilização das suas contas para fins ilícitos pode prejudicar sua imagem e relacionamentos.

Como saber se fui vítima de SIM Swap?

Há alguns sinais que ajudam a identificar se você foi vítima de um ataque de SIM Swap. Os principais são:

Falta de serviço telefônico: se seu celular parou de funcionar de repente, sem sinal para fazer ou receber ligações, pode ser um indício de que seu chip foi trocado;

Mensagens de alteração de plano: receber SMS sobre mudanças no seu plano sem sua autorização pode indicar um problema;

Atividades suspeitas: mensagens ou e-mails sobre acessos não autorizados em suas contas são um alerta para uma eventual troca do SIM em andamento;

Publicações incomuns em redes sociais: comentários e posts não feitos por você nas redes sociais podem indicar que golpistas tiveram acesso a sua conta;

Bloqueio de contas: dificuldade para acessar suas contas online é um sinal de que as credenciais foram comprometidas devido à troca do SIM;

Transferências não autorizadas: notificações não identificadas de transações são outro indício do golpe. Também é comum ter o cartão bloqueado após a troca de SIM pelos golpistas. Entre em contato com seu banco o mais rápido possível.

Mais de 10 milhões de pessoas já foram vítimas do golpe da troca de chip no Brasil, de acordo com um estudo da empresa de segurança Redbelt Security publicado em fevereiro 2023.

Chips (miniSIM) das principais operadoras brasileiras (Foto: Everton Favretto/Tecnoblog)

É possível comprar um chip que já veio clonado?

Não, você não encontrará chips clonados à venda em lojas oficiais. Os novos SIMs só podem funcionar após um cadastro na operadora e, assim, não podem ser alvo de ações de SIM Swap.

É possível reverter um ataque de SIM Swap?

Sim, um ataque de SIM Swap pode ser revertido, mas é fundamental agir rapidamente para evitar maiores danos. Entre em contato imediatamente com a sua operadora pelos canais oficiais ou em uma loja física para solicitar o bloqueio da linha.

Em seguida, registre um Boletim de Ocorrência online para documentar o ocorrido. Esse documento pode ser usado para solicitar o cancelamento de transações fraudulentas e como prova em processos judiciais.

Após esses passos iniciais, você pode entrar em contato novamente com a operadora para iniciar o processo de reversão. Então, a empresa deve reemitir um novo chip com o antigo número.

Como se proteger de golpes SIM Swap?

Existem práticas que podem ajudar a prevenir golpes de SIM Swap:

Proteja seus dados pessoais: limite a quantidade de informações pessoais expostas online. Por exemplo, nunca divulgue publicamente seu nome completo, data de nascimento, número de telefone e endereço;

Cuidado com o phishing: não responda a chamadas, e-mails ou mensagens de textos solicitando dados privados. Nenhuma empresa, banco ou órgão usa essas ações para confirmar informações;

Use código PIN: altere os códigos PIN e PIN UK do celular para proteger o SIM. Em muitos casos, é necessário informar a senha do chip SIM para efetuar a troca;

Crie senhas fortes: cadastre senhas únicas e difíceis de serem descobertas para o acesso às suas contas online. Se possível, faça alterações a cada seis meses;

Adote a autenticação em dois fatores: apps de autenticação em dois fatores (2FA), como o Google Authenticator e o Microsoft Authenticator, são um reforço a mais para proteção do seu telefone e das suas contas;

Monitore suas contas: verifique com regularidade seus extratos bancários, contas telefônicas e outros registros financeiros para encontrar atividades suspeitas. Se desconfiar de algo, entre em contato com a sua operadora ou banco;

Evite vincular contas a um número de telefone: use outras formas de autenticar contas e, sempre que possível, evite relacionar seu número de telefone. Isso dificulta o acesso dos golpistas às contas em casos de SIM Swap.

Operadoras de telefonia oferecem proteção contra SIM Swap?

Sim, as operadoras de telefonia brasileiras oferecem algumas ferramentas para proteger seus clientes contra o golpe de SIM Swap, como a configuração do PIN no chip SIM. Contudo, a eficácia dessas medidas dependerá do uso correto por parte do usuário.

Vale dizer que as operadoras podem ser responsabilizadas por um incidente de SIM Swap, caso seja comprovada a falha de segurança na prestação do serviço. De acordo com o advogado Igor Galvão (OAB/SP 390.614), o Código de Defesa do Consumidor prevê a indenização por danos morais e materiais em situações como essa.

Qual é a diferença entre SIM Swap e phishing?

O SIM Swap é um golpe em que o criminoso, após obter dados pessoais da vítima, engana a operadora para trocar o chip SIM. Com isso, ele recebe todas as mensagens de texto destinadas à vítima, podendo acessar suas contas online vinculadas ao número de telefone.

Os golpes de phishing são uma tática de engenharia social usada por golpistas para obter informações sensíveis das vítimas. Eles usam e-mails, mensagens ou sites falsos para roubar senhas, credenciais de contas bancárias, cartões de crédito e outros dados confidenciais.

Em resumo: o SIM Swap pode ser uma das consequências de um ataque de phishing.
O que é SIM Swap e como não ser a próxima vítima desse golpe

O que é SIM Swap e como não ser a próxima vítima desse golpe
Fonte: Tecnoblog

Google agora permite salvar passkeys no Windows, macOS, Linux e Android

19 de setembro de 2024

Google agora permite salvar passkeys no Windows, macOS, Linux e Android

Google agora permite salvar passkeys no Windows, macOS, Linux e Android (imagem: reprodução/Google)

O Google Password Manager (Gerenciador de Senhas do Google) foi aprimorado para tornar as passkeys ainda mais práticas. Com a atualização, o usuário poderá salvar e sincronizar passkeys no Windows, macOS, Linux e, claro, Android. O suporte a iOS chegará em breve.

Também chamadas de chaves de acesso, passkeys são um mecanismo que permite que o usuário se autentique em serviços online sem ter que usar as tradicionais senhas em cada operação de login.

Para isso, o sistema de segurança cria uma credencial única e exclusiva no dispositivo do usuário com base no conceito de chaves públicas. Quando a pessoa precisa acessar um serviço online compatível, o mecanismo confirma que o seu dispositivo é seguro e pertence a ela, portanto, pode ter o acesso liberado. Com isso, não é preciso digitar senha.

Passkey no Google (imagem: reprodução/Google)

O Google suporta passkeys desde meados de 2023. Ou desde 2022, se considerarmos o período em que a companhia testou o recurso antes da implementação oficial. Desde então, as chaves de acesso já foram usadas por mais de 400 milhões de contas no Google, de acordo com a companhia.

Suporte multiplataforma às passkeys

O Gerenciador de Senhas do Google para Android já permite salvar passkeys. Mas, para ampliar o alcance do recurso, o Gerenciador de Senhas na versão web foi atualizado para salvar e sincronizar as chaves de acesso quando o usuário estiver em um computador com Windows, macOS ou Linux.

Para tanto, basta acessar o Gerenciador de Senhas usando o Chrome. Com a sincronização automática do serviço, uma passkey gerada em um dispositivo poderá ser usada em outro. O recurso também já está em teste no ChromeOS e, de acordo com o Google, chegará ao iOS em breve.

Pin para geração e acesso às passkeys (imagem: reprodução/Google)

De modo complementar, o Gerenciador de Senhas do Google também passou a suportar o uso de um PIN (código numérico) de seis dígitos que deve ser informado na geração ou acesso às passkeys. Quem quiser mais segurança pode configurar o PIN para suportar códigos alfanuméricos (que misturam letras e números) mais extensos.

Para começar a usar passkeys nos serviços da companhia, acesse a sua Conta do Google, faça login e vá em Segurança. Toque ou clique na opção “Chaves de acesso e de segurança” e, em seguida, em “Usar chaves de acesso”.
Google agora permite salvar passkeys no Windows, macOS, Linux e Android

Google agora permite salvar passkeys no Windows, macOS, Linux e Android
Fonte: Tecnoblog

Microsoft tem planos para evitar outro apagão no estilo CrowdStrike

13 de setembro de 2024

Microsoft tem planos para evitar outro apagão no estilo CrowdStrike

Semanas após apagão global em PCs, Microsoft já tem medidas para evitar que caso se repita (Imagem: Vitor Pádua/Tecnoblog)

A Microsoft anunciou nesta semana, durante um evento de segurança, os seus planos para evitar outro apagão cibernético como o de julho. Naquele mês, um bug em um serviço da CrowdStrike, empresa de cibersegurança, causou uma tela azul em milhões de PCs pelo mundo. A big tech estuda impedir que serviços de terceiros tenham acesso ao kernel do Windows — que foi um dos fatores do apagão cibernético.

Essa não é a primeira vez que a Microsoft fala de cortar o acesso ao kernel do Windows. Dias depois do apagão, a empresa publicou um texto em seu site oficial em que apontava mudanças nessa parte do sistema operacional. O kernel é a parte do SO que controla todos os elementos do PC — quase como um cérebro.

Apagão da CrowdStrike e acesso ao kernel

O Falcon, programa da CrowdStrike que teve o bug fatal, opera no nível do kernel do Windows. Por isso, a Microsoft quer desenvolver uma maneira de que as empresas de cibersegurança criem serviços capazes de cumprir seu objetivo sem acessar o kernel.

Atualização defeituosa no software Falcon causou apagão cibernético (imagem: Divulgação/CrowdStrike)

A dificuldade é que isso exige que todas as companhias parceiras mudem o funcionamento dos seus programas. Órgãos reguladores, segundo o The Verge, pressionam a Microsoft a não tomar uma decisão unilateral. Provavelmente essa pressão existe porque poderia gerar falhas de segurança no sistema Windows, que também é usado por órgãos de segurança dos Estados Unidos e suas nações aliadas.

Na pressa para atualizar seus programas, as companhias de cibersegurança poderiam criar vulnerabilidades, o que seria tão prejudicial (ou mais) que uma tela azul global.

Além disso, como apontou Matthew Prince, CEO da Cloudflare, se apenas a Microsoft tiver acesso a soluções de segurança no nível do kernel, seria um risco à proteção dos dispositivos. Afinal, a cibersegurança depende de várias pessoas buscando soluções para falhas — não uma única empresa.

Relembre o caso

Tela azul aparece em monitor do aeroporto de Heathrow, no Reino Unido durante apagão da CrowdStrike (Imagem: Reddit/AeitZean)

No dia 19 de julho, uma atualização na Falcon, um serviço da CrowdStrike, causou um bug nos computadores Windows. A falha causou tela azul em milhares de PCs pelo mundo e chegou a afetar até aeroportos em todo o mundo.

A CrowdStrike, segundo estimativa, atende 300 das 500 empresas listadas na Forbes 500 — lista das companhias mais ricas do mundo. A companhia de cibersegurança é líder desse segmento, assim como o Windows no mercado de sistema de operacional.

Dado a presença dos dois serviços, um bug deste nível é “fatal” para boa parte das companhias. O apagão cibernético afetou até bancos e empresas brasileiras.

Com informações: The Verge
Microsoft tem planos para evitar outro apagão no estilo CrowdStrike

Microsoft tem planos para evitar outro apagão no estilo CrowdStrike
Fonte: Tecnoblog

Android 15 vai aumentar restrições sobre apps instalados via sideloading

12 de setembro de 2024

Android 15 vai aumentar restrições sobre apps instalados via sideloading

Android 15 vai limitar ainda mais instalação de apps via sideloading (imagem: Vitor Pádua/Tecnoblog)

O Android 15 já é oficial e, entre as suas características, está uma medida de segurança que pode desagradar aos usuários mais avançados do sistema operacional: um mecanismo que restringe apps instalados via sideloading, ou seja, a partir de fontes desconhecidas.

A implementação do recurso não chega a ser surpresa. Desde o Android 13 que a plataforma tem mecanismos que limitam o sideloading para prevenir a ação de malwares ou softwares nocivos no sistema operacional.

Além disso, durante o evento Google for Brasil 2024, realizado no mês de junho em São Paulo, a companhia tornou oficial a integração do sideloading ao Google Play Protect, serviço que verifica a existência de aplicativos potencialmente maliciosos no Android antes de seu download.

O Android 15 segue esse movimento, portanto. Como explica o Android Authority, a nova versão do sistema operacional traz proteções adicionais. Ainda será possível instalar apps via sideloading. Porém, eles terão restrições de acesso às chamadas permissões sensíveis.

Restrição a permissões sensíveis

Entre essas restrições estão o impedimento de o aplicativo acessar as notificações do aparelho, exibir informações que se sobrepõem a outros apps, atuar como um discador ou uma ferramenta padrão de SMS, configurar recursos de acessibilidade e ter privilégios de administrador do dispositivo.

Essas permissões são consideradas sensíveis porque, se habilitadas para um aplicativo malicioso, podem comprometer a segurança do usuário. Um app falso que tem acesso às notificações ou mensagens de SMS pode capturar códigos de autenticação enviados ao celular, só para dar um exemplo de risco.

Para identificar os aplicativos a sofrerem essas restrições, o Android 15 verificará o método de instalação de cada um deles. Aqueles que não tiverem sido instalados a partir da API do sistema para instalação via lojas de aplicativos serão considerados apps de sideloading e, portanto, terão restrições.

Restrição de acesso em app instalado via sideloading (imagem: Mishaal Rahman/Android Authority)

Esse aspecto deixa claro que a nova política de segurança não se aplica a aplicativos instalados a partir de lojas alternativas à Google Play Store, como Samsung Galaxy Store e F-Droid.

É possível que a medida desagrade a usuários avançados do Android, que usam o sideloading para fazer personalizações avançadas no sistema operacional ou para testar apps alternativos, por exemplo.

Mas, como o Google não consegue garantir a segurança de apps instalados por vias não convencionais, faz sentido que a companhia restrinja ainda mais o sideloading no Android 15.

Os detalhes técnicos sobre a nova política estão na página de compatibilidade do Android 15.

Quando o Android 15 chega aos celulares?

O Android 15 foi anunciado oficialmente no início de setembro, mas, por enquanto, está disponível somente via Android Open Source Project (AOSP), o repositório oficial do sistema operacional. Isso significa que, por ora, somente desenvolvedores e organizações têm acesso direto à nova versão.

Nos celulares e tablets dos usuários, o Android 15 será liberado conforme o cronograma de atualizações de cada fabricante. Na linha Google Pixel, por exemplo, a liberação está prevista para começar em outubro de 2024.

Android 15 vai aumentar restrições sobre apps instalados via sideloading

Android 15 vai aumentar restrições sobre apps instalados via sideloading
Fonte: Tecnoblog

Vírus para macOS rouba Chaves do iCloud e cookies do navegador

23 de agosto de 2024

Vírus para macOS rouba Chaves do iCloud e cookies do navegador

Malware batizado de Cthulhu Stealer se passa até pelo GTA IV para roubar senhas nos Macs (imagem ilustrativa: Vitor Pádua/Tecnoblog)

Pesquisadores da Cato Networks encontraram um vírus para macOS que é capaz de roubar senhas do Chaves do iCloud, local de armazenamento de logins dos Macs. Batizado de Cthulhu Stealer, o malware é um clássico cavalo de Troia, se passando por programas reais para infectar o dispositivo. O programa malicioso continua ativo, ainda que o grupo responsável por ele não exista mais — ele funcionava como um Malware-as-a-Service.

O vírus afeta tanto Macs com processadores Intel quanto os modelos com chips da Apple. Entre os programas pelo qual o Cthulhu Stealer se passa estão o GTA IV, CleanMyMac e Adobe GenP. Este é um software que ativa o Creative Cloud e permite usar os programas da Adobe sem uma chave de ativação.

Malware pede senha do sistema após execução

Após o usuário autorizar a execução do programa, passando por cima do aviso do Gatekeeper, o Cthulhu Stealer pede a senha do Mac. Isso permite que o malware tenha acesso a informações do sistema e roube os dados do Chaves do iCloud — iCloud KeyChain em inglês.

Cthulhu Stealer pedia senha do sistema após sua execução ser liberada no Gatekeeper (Imagem: Reprodução/ The Hacker News)

O malware também pede que o usuário digite a senha do MetaMask, uma carteira digital de criptomoedas, caso tenha uma. Mas com o acesso ao iCloud KeyChain, os hackers podem acessar senhas salvas nessas carteiras, plataformas de jogos (Steam, Epic) e e-commerces. Segundo a Cato Networks, o Cthulhu Stealer ainda captura cookies do navegador e informações do Telegram.

Apple e a “sensação de segurança”

macOS Sequoia terá uma etapa extra para que usuários autorizem execução de apps não aprovados pelo Gatekeeper (Imagem: Reprodução/Apple)

Um dos riscos para a propagação do Cthulhu Stealer é a alta confiança dos usuários do macOS e iOS na segurança dos dispositivos. Ainda que sistemas Windows e Linux sejam os principais alvos de hackers, isso não deixa o Mac imune a ataques.

Para resolver casos similares, a Apple lançará no macOS Sequoia o bom e velho método de encher o saco. Se o Gatekeeper não validar a assinatura do programa, o usuário terá que abrir as configurações, entrar no menu Privacidade e Segurança e aí sim aprovar a execução do programa.

Uma solução simples, mas muito efetiva para aqueles usuários que não querem muito esforço para rodar um programa qualquer.

Com informações: 9to5Mac e The Hacker News
Vírus para macOS rouba Chaves do iCloud e cookies do navegador

Vírus para macOS rouba Chaves do iCloud e cookies do navegador
Fonte: Tecnoblog

Malware usa NFC de celular Android para roubar dados de cartões

22 de agosto de 2024

Malware usa NFC de celular Android para roubar dados de cartões

NFC do celular é capaz de ler cartões próximos (imagem: Emerson Alecrim / Tecnoblog)

Um novo malware para Android chamado NGate usa o chip NFC de smartphones para clonar cartões, podendo usá-los em pagamentos e saques. O ataque vai além da parte técnica, envolvendo uma boa dose de engenharia social para conseguir levar as vítimas a baixar o app infectado e fornecer as informações necessárias para as transações.

As informações foram compartilhadas pela empresa de cibersegurança Eset, em um blog post publicado nesta quarta-feira (dia 22/08). Segundo a empresa, é a primeira vez que um ataque usando NFC desta forma é detectado. Os criminosos agiam na Tchéquia (anteriormente conhecida como República Tcheca) — um deles foi preso em Praga, capital do país, após fazer vários saques em sequência.

New Android malware – #NGate – relays NFC data from victims’ payment cards, via victims’ compromised mobile phones, to attacker’s device waiting at an ATM to withdraw cashhttps://t.co/aM4v0lC6we pic.twitter.com/3MPRPe7qUB— Lukas Stefanko (@LukasStefanko) August 22, 2024

Ataque usa sites falsos com apps maliciosos

Segundo os pesquisadores, um possível cenário para o ataque começa com mensagens de texto e ligações pré-gravadas. O objetivo deste contato é levar a vítima a instalar um aplicativo web (PWA) malicioso. Os links indicados levam a páginas que imitam a Google Play Store e sites de bancos. Os textos levam a crer que uma atualização urgente é necessária para a segurança do correntista.

O primeiro aplicativo instalado não pede permissões, já que consegue explorar a API do navegador para acessar os componentes de hardware necessários. O segundo passo é instalar um componente chamado NFCGate, desenvolvido por universidades para testar e experimentar chips de NFC, para fins de estudo e pesquisa.

Para isso, os atacantes recorrem mais uma vez à engenharia social. Um membro da quadrilha liga para a vítima e finge ser do banco, informando ao cliente que houve um incidente de segurança. O criminoso envia um link para baixar o NGate, que inclui o NFCGate. É com este componente que os criminosos conseguem obter informações de cartões próximos ao celular.

Golpistas fingem ser do banco para roubar senhas

A Eset considera algumas possibilidades de ataque a partir deste ponto. Em uma delas, o criminoso entra em contato por falsa central de atendimento e pede que o cliente troque a senha. Aí vem o truque: os responsáveis pelo ataque pedem que ele digite a senha antiga, a nova e aproxime o cartão do aparelho para gravar a mudança.

NFC pode ser desativado (Imagem: Ana Marques / Tecnoblog)

Tudo isso, na verdade, serve para roubar os dados e a senha. Estas informações são transmitidas aos golpistas, que podem clonar o sinal da aproximação. Usando outro celular Android, eles enganam maquininhas de pagamento e caixas eletrônicos.

Os pesquisadores consideram outra possibilidade: roubar dados de cartões em bolsas, mochilas ou carteiras em locais públicos, com muitas pessoas. Desse jeito, porém, os ladrões não teriam a senha, podendo fazer apenas pagamentos de pequeno valor.

A Eset considera que o método empregado usando este malware não funcionaria em cartões armazenados no Google Pay e Apple Pay, já que ambas exigem autenticação para cada pagamento usando NFC.

Os pesquisadores recomendam algumas ações para se proteger de ataques como estes:

conferir a autenticidade de sites;

baixar apps apenas de fontes oficiais, como a Play Store;

manter senhas em segredo;

desligar o NFC quando ele não está sendo usado;

colocar cartões em carteiras com proteção contra RFID;

usar versões digitais de cartões nas carteiras de smartphones.

Com informações: Eset, Bleeping Computer
Malware usa NFC de celular Android para roubar dados de cartões

Malware usa NFC de celular Android para roubar dados de cartões
Fonte: Tecnoblog

Como criar senhas fortes e seguras para aplicativos e sites

16 de agosto de 2024

Como criar senhas fortes e seguras para aplicativos e sites

Saiba as dicas para criar uma senha forte para evitar ataques de força bruta (imagem: Vitor Pádua/Tecnoblog)

Uma senha segura é uma combinação única e complexa de caracteres, difícil de ser descoberta por outras pessoas ou softwares de computador. Para isso, é recomendado usar letras maiúsculas e minúsculas intercaladas com números e símbolos.

Criar uma senha forte é essencial para manter a segurança de suas contas, aplicativos de bancos e redes sociais. Combinações com pelo menos 16 caracteres podem impedir a invasão de perfis ou até mesmo acesso a dados financeiros.

A seguir, conheça as principais dicas para criar uma senha forte e proteger suas contas.

Índice1. Use uma senha com pelo menos 16 caracteres2. Use uma senha que combine letras, números e símbolos3. Evite padrões comuns como “1234” ou “qwerty” na senha4. Evite colocar dados pessoais na senha5. Evite a substituição óbvia de caracteres, como “T3cn0blog”6. Evite uma senha que já foi usada em outra contaQuais são os exemplos de senhas fortes para a internet?O que fazer para proteger minha senha?Preciso memorizar todas minhas senhas?

1. Use uma senha com pelo menos 16 caracteres

É recomendado usar no mínimo 16 caracteres para criar uma senha segura para uma conta. Quanto mais longa e complexa a combinação, mais difícil será para os hackers invadirem sua conta.

Uma senha de 16 caracteres, por exemplo, pode ser milhões de vezes mais difícil de ser quebrada do que uma combinação de 12 caracteres. Isso porque as possíveis combinações aumentam exponencialmente a cada caractere adicional.

Entretanto, vale dizer que o número máximo de caracteres pode variar conforme a plataforma. Então, fique atento a esses detalhes quando estiver criando a sua senha.

2. Use uma senha que combine letras, números e símbolos

Os sistemas de senhas atuais usam os caracteres padrão ASCII. Isso significa que você pode criar uma combinação mesclando números, letras (maiúsculas e minúsculas) e símbolos (!, @, #, $).

A dica para criar uma senha forte é usar uma combinação bem variada de letras, números e símbolos. É essencial ser uma sequência simples de memorizar, mas que não siga um padrão fácil de ser descoberto por outras pessoas ou computadores.

Senhas longas e sem uma combinação lógica são mais difíceis de serem quebradas (imagem ilustrativa: Vitor Pádua/Tecnoblog)

3. Evite padrões comuns como “1234” ou “qwerty” na senha

Senhas com sequências comuns, como “1234” ou “qwerty”, são alvos fáceis para hackers. Isso também vale para combinações que usam palavras do dicionário ou óbvias, como as tradicionais “admin”, “password” ou “Senha”.

Softwares especializados podem quebrar essas senhas em segundos usando técnicas de força bruta. Um computador tentará todas as combinações possíveis para acessar suas credenciais. Então, as senhas muito simples são mais fáceis de serem decifradas.

4. Evite colocar dados pessoais na senha

Usar a data de nascimento, número de telefone, apelidos ou nomes de animais de estimação como senha coloca suas contas em risco. Os criminosos usam ferramentas e técnicas para encontrar essas informações em redes sociais ou fontes públicas.

Com os dados pessoais, um hacker pode explorar diferentes combinações de senhas e ter grande chance de acessar suas contas. Por isso, ao fazer uma senha forte e única é indicado usar combinações complexas e sem relações com informações pessoais

Senhas com dados pessoais ou palavras comuns podem ser facilmente descobertas por hackers (Imagem: Vitor Pádua/Tecnoblog)

5. Evite a substituição óbvia de caracteres, como “T3cn0blog”

Substituir letras por números, como em “T3cn0blog”, é um dos maiores erros ao tentar fazer uma senha segura. Essa prática, conhecida como leetspeak, é facilmente identificada por softwares de hackeamento.

Os programas testam várias combinações de caracteres, incluindo substituições de letras por números, para quebrar as senhas rapidamente. Novamente, a dica é criar senhas com combinações longas e aleatórias de letras, números e símbolos.

6. Evite uma senha que já foi usada em outra conta

Usar uma única senha para várias contas é como usar uma única chave para abrir várias portas da sua vida digital. Então, se suas credenciais caírem em uma lista de vazamentos, um invasor terá acesso a todas as plataformas usando apenas uma “chave”.

Cadastrar uma única senha em diferentes sites, redes sociais ou aplicativos pode criar uma situação de dupla exposição. As credenciais vazadas podem ser usadas em diferentes lugares, aumentando o risco de invasão de várias contas ao mesmo tempo.

Quais são os exemplos de senhas fortes para a internet?

Existem vários exemplos de senhas fortes e seguras que você pode usar no dia a dia:

Palavras aleatórias combinadas: escreva uma frase sem sentido substituindo letras por números e símbolos, dificultando a associação com dados pessoais. Exemplo: gato$montanha2azul%futebol;

Caracteres especiais aleatórios: crie sequências aleatórias com caracteres especiais. Quanto mais longa e variada, mais difícil de quebrar devido o amplo número de combinações possíveis. Exemplo: !(#&%qneIALu173*;

Regra específica: defina uma regra fácil de lembrar e aplicar em diferentes senhas, como alternar entre maiúsculas, minúsculas e números. Essa técnica permite gerar senhas complexas e simples de memorizar. Exemplo: P1m31r@L3tr4M41usc,2ªm1nusc,3ºnum3r0;

Gerando aleatoriamente: use um gerador de senhas para criar combinações complexas e aleatórias. Uma opção mais segura que dificulta qualquer tentativa de adivinhação. Exemplo: iR8T7FZ9Q5uE8DecZfbt.

O que fazer para proteger minha senha?

Siga estas práticas para proteger suas senhas:

Altere as senhas regularmente: troque suas senhas importantes, como bancos, e-mails, redes sociais e operadoras de celular, a cada 3 ou 6 meses. Então, crie combinações totalmente diferentes das anteriores;

Use a autenticação de dois fatores (2FA): ative a 2FA em todas as contas possíveis. Essa camada extra de segurança exige uma segunda forma de verificação, como código enviado por SMS, e-mail, aplicativo autenticador ou biometria;

Evite anotar senhas em apps desprotegidos: nunca escreva as suas senhas em aplicativos de celulares que podem ser acessados facilmente, como bloco de notas ou semelhantes. Se possível, anote a combinação em um papel e guarde em um local seguro;

Tenha cuidado com ataques de phishing: desconfie de e-mails, mensagens e sites suspeitos que solicitem dados pessoais. Nunca clique em links desconhecidos ou instale softwares não confiáveis;

Use um gerenciador de senhas: utilize ferramentas confiáveis para gerar senhas complexas e armazenar as combinações de forma segura, eliminando a necessidade de decorar ou anotar.

Preciso memorizar todas minhas senhas?

Não é necessário memorizar todas as suas senhas. Você pode usar gerenciadores de senhas para armazenar e gerenciar suas credenciais de forma segura, facilitando o acesso a sites, redes sociais e outras plataformas.

Com um gerenciador de senhas, você cria apenas uma senha-mestra forte e única. Depois, a ferramenta armazena todas as outras senhas e preenche as credenciais automaticamente quando você acessar um site.

Vale dizer que os gerenciadores de senha oferecem alguns recursos extras. Por exemplo, um gerador de senhas e autenticação de dois fatores com biometria.
Como criar senhas fortes e seguras para aplicativos e sites

Como criar senhas fortes e seguras para aplicativos e sites
Fonte: Tecnoblog

Windows 11 24H2 vai ativar BitLocker por padrão em novas instalações

14 de agosto de 2024

Windows 11 24H2 vai ativar BitLocker por padrão em novas instalações

Windows 11 24H2 vai ativar o BitLocker em toda instalação nova (imagem: Guilherme Reis/Tecnoblog)

O pacote de atualizações 24H2 do Windows 11, a ser amplamente liberado até o fim do ano, vai fazer quase todas as novas instalações do sistema operacional ativarem a proteção criptográfica BitLocker por padrão no computador.

Não estamos falando de um recurso novo. O BitLocker foi introduzido no Windows Vista e no Windows Server 2008, e vem sendo oferecido nas versões sucessoras desses sistemas desde então.

Trata-se de um importante mecanismo de segurança. Isso porque o BitLocker criptografa unidades inteiras de armazenamento de dados, não somente pastas ou arquivos específicos. Assim, em caso de roubo de um notebook, por exemplo, fica mais difícil para o invasor ter acessos aos dados armazenados ali.

O uso do BitLocker é mais comum em servidores ou computadores corporativos, razão pela qual o recurso é muito associado às versões do Windows Server, bem como às edições Pro ou Enterprise dos Windows 10 e 11.

Mas, com o movimento mais recente, a Microsoft vai permitir que o mecanismo também seja habilitado na versão Home do Windows 11, voltada a usuários domésticos.

Tela de recuperação do BitLocker durante o boot (imagem: reprodução/Microsoft)

Como a ativação do BitLocker vai funcionar

A Microsoft explica que a criptografia do BitLocker será ativada por padrão quando o usuário fizer uma instalação limpa do Windows 11 24H2.

A ativação continuará quando o usuário fizer login no equipamento com uma conta Microsoft ou, ainda, com uma conta de trabalho ou escola. Uma chave de recuperação de acesso também será vinculada a essa conta.

Para tanto, a Microsoft eliminou algumas exigências para a ativação do BitLocker, como a implementação das tecnologias HSTI (Interface de Teste de Segurança de Hardware) e Modern Standby (um modo de descanso mais moderno e, supostamente, seguro).

Além de deixar de exigir a HSTI e o Modern Standby, o Windows 11 24H2 permitirá que a criptografia seja ativada mesmo se o computador tiver dispositivos não confiáveis com acesso direto à memória (DMA), coisa que não era permitida até então.

Note, porém, que nada muda nas exigências da Microsoft de recursos como Trusted Platform Module (TPM) e UEFI Secure Boot para uma nova instalação do Windows 11 ser feita.

O Verge chama a atenção para o fato de a proteção criptográfica de volume poder afetar o desempenho de SSDs, dependendo do computador. O veículo afirma ter pedido para a Microsoft comentar o assunto, mas a companhia só forneceu links de documentação, sem mencionar eventuais impactos sobre o desempenho do sistema.

BitLocker pode ser desativado

Felizmente, os usuários que não quiserem contar com o recurso poderão desativar a criptografia na área de privacidade e segurança das configurações do Windows 11.

Criptografia do BitLocker pode ser desativada (imagem: reprodução/Microsoft)

A instalação do sistema operacional com contas locais também inabilita o computador para o BitLocker. Porém, é cada vez mais difícil usar o Windows 11 sem uma conta Microsoft. Quem tiver dificuldades com isso pode tentar uma instalação do sistema sem o BitLocker por meio da ferramenta Rufus, por exemplo.

É válido ressaltar que a ativação do BitLocker só será padrão em equipamentos novos ou que tenham uma instalação do Windows 11 24H2 feita do zero.

Se a máquina tiver uma instalação anterior do sistema operacional e for atualizada para a versão 24H2, esse procedimento não ativará a proteção.

Para usuários do Windows 10, nada muda. Contudo, essa versão do sistema deixará de ser suportada pela Microsoft em outubro de 2025.
Windows 11 24H2 vai ativar BitLocker por padrão em novas instalações

Windows 11 24H2 vai ativar BitLocker por padrão em novas instalações
Fonte: Tecnoblog

Finalmente o Google Authenticator para Android está sendo melhorado

9 de agosto de 2024

Finalmente o Google Authenticator para Android está sendo melhorado

Finalmente o Google Authenticator para Android está sendo melhorado (imagem: divulgação/Google)

O Google Authenticator para Android está finalmente recebendo uma grande atualização. A versão 7.0 do aplicativo traz design melhorado, nova função de busca e, como principal destaque, uma tela de privacidade que bloqueia o acesso à ferramenta após determinado período de tempo.

Interface reformulada

A nova interface é condizente com o Material 3, a mais recente versão do padrão de design mantido pelo Google. Ela torna o uso do aplicativo mais amigável, bem como facilita a implementação de recursos adicionais.

Um desses recursos é uma função de pesquisa que permite buscar por serviços cadastrados Google Authenticator rapidamente. Essa opção é interessante para quem utiliza autenticação em dois fatores em numerosos serviços. Curiosamente, a busca está disponível há algum tempo no Google Authenticator para iPhone.

Já a função de leitura de QR Code ficou mais intuitiva e exibe até um botão no canto direito superior para ativação de luz flash.

Outro detalhe interessante é que a leitura de QR Code pode ser acionada com o usuário tocando no ícone do aplicativo por alguns instantes e escolhendo essa opção no menu que surgir.

Leitura de QR no Google Authenticator para Android (imagem: reprodução/9to5Google)

Tela de privacidade

Talvez a novidade mais importante dessa atualização é a tela de privacidade, por razões óbvias: o Google Authenticator gera códigos para autenticação em dois fatores, logo, o acesso fácil a ele pode viabilizar a invasão de contas em serviços variados.

A nova tela de privacidade, acessível a partir das configurações, permite que o usuário configure o app para exigir autenticação após 10 segundos, 1 minuto ou 10 minutos após a sua abertura, ou toda vez que o aplicativo ficar em primeiro plano.

Essa autenticação pode ser feita por impressão digital, reconhecimento facial ou digitação de PIN, variando de acordo com os recursos de segurança do smartphone ou tablet.

Esse é outro recurso que já estava disponível na versão da ferramenta para iOS.

Tela de privacidade do Google Authenticator 7.0 para Android (imagem: reprodução/9to5Google)

Disponibilidade do novo Google Authenticator

De acordo com o 9to5Google, o Google Authenticator 7.0 para Android já está sendo liberado na Play Store, mas de modo progressivo. Isso significa que pode levar um tempo para você ter acesso à novidade.

Para quem já usa o aplicativo em uma versão anterior, basta esperar pela atualização automática. Mas, se você tem pressa, já existe a opção de download via arquivo APK (por sua conta e risco, é claro).
Finalmente o Google Authenticator para Android está sendo melhorado

Finalmente o Google Authenticator para Android está sendo melhorado
Fonte: Tecnoblog

« First‹ Previous45678Next ›Last »