Conversamos mais uma vez com Dean Coclin, diretor sênior de Desenvolvimento de Negócios da Digicert, sobre segurança da informação e desta vez abordamos os “megavazamentos” de dados no Brasil que ocorreram no início de 2021 e a relação de confiança na rede entre pessoas e empresas uma vez que o uso da internet para compras, consultas de informações, contratação de serviços e pagamentos teve um grande aumento em 2020 em função da pandemia mundial do Coronavírus.
Uma frase que Dean nos falou durante a entrevista, exclusiva ao Crypto ID, é importante para a relação de confiança na rede e mais que divulga-la precisamos conscientizar as pessoas dos riscos reais ao acessarem sites sem a confirmação de ondem estão de verdade.
“Os consumidores devem agora “olhar além da fechadura” para verificar se o site é autêntico“, Dean Coclin.
Crypto ID: No Brasil, 3 milhões de pessoas foram vítimas do golpe de clonagem WhatsApp só no ano passado. A perspectiva é de que esses golpes continuem a acontecer ao longo de 2021. Como as pessoas podem se proteger contra eles?
Dean Coclin: Existem vários desafios quando se trata de segurança e uso de dispositivos móveis. Em relação ao WhatsApp, os criminosos realizam várias ações para clonar contas do aplicativo de bate-papo.
Alguns deles nem precisam fazer ataques cibernéticos complexos. Basta um telefonema e um bom papo para atingir o objetivo. O principal interesse do criminoso no WhatsApp é o alcance da plataforma.
Eles acessam perfis abertos do Instagram e Facebook, anúncios em sites de compra e venda ou até mesmo o Linkedin de possíveis vítimas. O objetivo dos criminosos continua o mesmo: pedir dinheiro para contatos em nome da vítima. Para isso, utilizam o famoso golpe da engenharia social, ação que costuma ser bastante eficaz devido à relação de confiança entre as vítimas. Nesse caso, os golpistas convencem o usuário a informar por telefone o código de seis números enviados pelo WhatsApp por mensagem SMS, necessários para concluir a autenticação da conta em outro celular.
A boa notícia é que se proteger de golpes no WhatsApp não é tão difícil. Basta tomar medidas de segurança no próprio aplicativo, como a verificação em duas etapas. Outra dica está relacionada ao WhatsApp Web. Pode acontecer que o usuário esqueça que está conectado ao sistema no trabalho ou em um computador que não seja o seu, o que permitiria que alguém leia suas mensagens. Para saber se você está tendo esse problema, fique atento às notificações do smartphone.
Além disso, é recomendável que o usuário fique alerta com mensagens ou ligações, principalmente aquelas com promessas que parecem imperdíveis. Vale, por exemplo, sempre verificar se a mesma promoção está disponível no site oficial da marca e se o URL do link corresponde ao real – aquele que aparece logo na primeira página de busca do Google.
Uma forma mais radical é pagar para usar números virtuais como uma conta do WhatsApp. Esses números estão disponíveis em plataformas como Skype ou Google Voice. Eles são de uma empresa de tecnologia, acostumada a lidar com fraudes e que oferece maior proteção. Se um fraudador tentar fazer uma troca de SIM, por exemplo, ele não conseguirá.
Crypto ID: Como garantir a identificação digital das empresas perante aos grandes desafios atuais? No caso me refiro à grande quantidade de informação detida pelas empresas?
Dean Coclin: Embora os princípios básicos de segurança cibernética sejam importantes, como manter firewalls adequados, DMZs e isolamento de rede, adicionar criptografia para dados em movimento e em repouso é ainda mais crítico. Já ocorreram muitos incidentes de roubo de dados pessoais por hackers porque não foram criptografados. Isso não é complexo de se conseguir e deve ser uma meta para todas as empresas que armazenam dados confidenciais.
Além disso, os hackers estão usando ransomware para embaralhar as informações necessárias às empresas e, em seguida, exigir um pagamento para decodificá-las. As empresas devem garantir que o backup dos dados seja feito regularmente e protegido para evitar adulterações. Ser capaz de restaurar um backup seguro permitirá que as organizações evitem essas armadilhas e mantenham a continuidade dos negócios.
Cryptp ID: Um recente mega vazamento de dados aqui no Brasil expôs informações pessoais de 220 milhões de pessoas. Autoridades do país estavam entre os afetados. Foram expostos nomes completos, datas de nascimento, CPFs, além de dados de 104 milhões de veículos e 40 milhões de empresas. Como as empresas e indivíduos podem se proteger contra futuros ataques como este?
Dean Coclin: Temos enfrentado um cenário que ninguém poderia imaginar. Desde o início da pandemia, estamos passando por uma transformação digital e os hábitos das pessoas estão mudando. Empresas e usuários devem se adaptar a ele para manter seus dados seguros. Talvez no Brasil, a maioria não estivesse preparado em termos de segurança para esta nova situação. Para evitar vazamentos de dados, é preciso estar ciente de algumas soluções.
A proteção de identidades digitais, segurança e privacidade se tornarão essenciais para que as empresas protejam seus dados pessoais, estejam de acordo com a LGPD e, assim, ganhem a confiança dos usuários. Controles intensivos de segurança preventiva e de detecção, como firewalls, DMZs, redes autenticadas, patching e atualização regulares, devem ser usados para impedir ataques.
A PKI e os certificados digitais continuarão a crescer, assim como as plataformas baseadas em automação para ajudar as organizações a gerenciar sua criptografia. A criptoagilidade será muito importante para as empresas nos próximos anos, ainda mais do que agora. As empresas precisam ter uma maneira inteligente e automatizada de gerenciar todos os certificados digitais em suas redes para garantir a conformidade, evitar interrupções e gerenciar credenciais em escala. Ter uma plataforma para gerenciar centralmente todo o ciclo de vida do certificado (pedido, instalação, renovação, revogação, remediação, etc.) é fundamental nos ambientes digitais de hoje.
Outro ponto importante a se considerar é a segurança das redes domésticas, que se tornou mais comum com a pandemia. Redes hackeadas podem significar acesso ao sistema por usuários não autorizados. Os funcionários que trabalham em casa terão que minimizar os riscos de hackers controlando quem pode acessar a rede. A autenticação multifator (MFA) garante que apenas usuários autorizados possam acessar sistemas controlados, como a plataforma corporativa. Afinal, a rede doméstica, quando comparada a uma rede corporativa, é geralmente menos segura porque há uma falta de Sistema de detecção de intrusão (IDS) e Sistemas de prevenção de intrusão (IPS) em um ambiente doméstico.
Também é importante investir em certificados de cliente para assinatura de e-mail, criptografia de e-mail, autenticação de usuário e autenticação de dispositivo. As empresas geralmente precisam de soluções de certificados digitais especializadas. Isso pode incluir a autenticação de usuários na rede corporativa e dispositivos na rede, autenticação de acesso a aplicativos, proteção da comunicação em redes abertas com certificados (como VPN) e muitos outros usos. Procure certificados projetados para atender a qualquer necessidade, independentemente do sistema operacional do servidor, do número de servidores ou do número de domínios.
Crypto ID: Devido aos vazamentos, campanhas do tipo “clique e verifique” nunca foram tão necessárias para que as pessoas verifiquem a identidade das empresas, bem como o uso de certificados digitais na comunicação por e-mail das empresas. Você acredita que isso é positivo para o mercado e ajudará no seu desenvolvimento?
Dean Coclin: Casos como este que aconteceram no Brasil mostram a importância da cultura “clique e verifique” e contribuem para o amadurecimento desse mercado.
No passado, os consumidores eram instruídos a “procurar o cadeado” em sites antes de continuar. Com o advento de certificados SSL validados por domínio gratuito para sites, os hackers aproveitaram-se deles para enganar os consumidores, dizendo que eles estão em um site autêntico quando, na verdade, estão em um site falsificado.
Portanto, os consumidores devem agora “olhar além da fechadura” para verificar se o site é autêntico. Os sites que usam certificados Extended Validation (EV) permitem que você clique no cadeado uma vez e verifique rapidamente a identidade do site. O blog da DigiCert mostra como isso é feito.
Os selos do site também podem ajudar a ganhar a confiança do usuário, permitindo que eles saibam que sua identidade foi validada; e ganhando a confiança do usuário, você tem mais chances de aumentar as conversões. Os usuários podem identificar se o selo do site é real, seguindo as etapas abaixo:
1. Clique no ícone Selo de Site Seguro
2. Abrirá um pop-up no qual será possível analisar o nome do site, validade do certificado e nome da empresa
3. Se você notar alguma não conformidade mesmo após esta verificação, como Certificado expirado, não insira nenhum dado pessoal
Um site validado com o Selo de Site Seguro pela DigiCert indica que a empresa conclui satisfatoriamente todos os procedimentos para determinar se o domínio do site é de propriedade ou registrado por uma empresa ou organização. Portanto, é importante que os usuários sempre confirmem a veracidade do selo.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Dean Coclin, da DigiCert, em entrevista sobre segurança em websites
Diretor da Digicert fala dos megavazamentos no Brasil e as novas relações de confiança na internet