Últimas notícias

Fique informado

Martina López, pesquisadora de segurança da informação da ESET explica como vazamento de dados pode afetar usuários

21 de janeiro de 2021

Spotlight

PL 317/21: Plenário aprova criação do Governo Digital

O PL 317/2021, conhecido como o do Governo Digital segue agora para sanção presidencial.

26 de fevereiro de 2021

Qual é o valor legal de uma assinatura eletrônica?

No passado, muitas pessoas relutavam em usar documentos ou assinatura eletrônica, questionando sua validade legal e a capacidade de usá-los como evidência ​​em processos judiciais ou demais contextos jurídicos

25 de fevereiro de 2021

Diretor da Digicert fala sobre os megavazamentos no Brasil e as novas relações de confiança na internet

Segundo Dean Coclin , “Os consumidores devem agora olhar além da fechadura para verificar se o site é autêntico”.

24 de fevereiro de 2021

Assinatura Eletrônica nos contratos e em outros atos jurídicos

“A assinatura eletrônica decorrente de certificados emitidos no âmbito do ICP-Brasil é eficaz para qualquer ato jurídico por força do art. 10 da MP 2.200-2/2001”

23 de fevereiro de 2021

Mergulhando e Navegando no Submundo da Deep Web

Deep Web (dark web, deepnet, invisible net, undernet, ou hidden web) refere-se a qualquer rede fechada que compreende um grupo privado de pessoas, que querem se comunicar.

25 de julho de 2016

Cibercriminosos costumam usar informações filtradas nesse tipo de ameaça para realizar ataques direcionados a diferentes tipos de usuários

O número de registros com informações pessoais de usuários expostos como resultado de violações de segurança aumentou durante a pandemia. Aplicativos como Zoom e Nintendo foram alguns dos que estiveram no centro desses ataques que levaram a violações de dados ao longo do ano. A ESET, empresa líder em detecção proativa de ameaças, analisou os riscos que esses vazamentos de informações implicam para a segurança dos usuários.

As informações divulgadas entre uma violação e outra podem variar, desde contato, identificação, dados biométricos ou de emprego, como endereços de e-mail, identificadores governamentais, senhas ou informações financeiras, entre outros. Nem todos os registros têm o mesmo valor e, em alguns casos, não parecem ter um valor monetário significativo, mas podem ser estratégicos.

Nos casos de vazamentos do Zoom e da Nintendo, os cibercriminosos usaram técnicas de phishing ou força bruta, como spray de senha e preenchimento de credenciais, para obter credenciais de acesso à conta. Por meio do primeiro, eles enviaram e-mails personificando as identidades dos aplicativos, informando algum tipo de desculpa para o usuário inserir suas credenciais em um site falso.

Para o segundo, eles usaram de forma automatizada credenciais compostas de senhas fracas e outras já lançadas em ataques antigos e que os usuários aparentemente reutilizaram para acessar aplicativos ou serviços. Juntos, esses incidentes resultaram na obtenção de mais de 100.000 acessos em cada caso, efetivando compras fraudulentas e acessos indevidos aos serviços.

Martina López, pesquisadora de segurança da informação da ESET na América Latina.

“Muitos não estão cientes das consequências da exposição de dados pessoais, como nomes, idade ou endereços de e-mail na Internet, porque não sabem como os invasores usam essas informações para realizar suas atividades maliciosas. A falta de consciência que muitas vezes existe sobre a importância de cuidar dos dados pessoais e boas práticas de segurança, como criar senhas seguras, instalar soluções de segurança em cada dispositivo ou atualizar sistemas, tem um impacto direto no número de violações de dados que ocorrem hoje e também o número de ataques ou incidentes de segurança sofridos pelos usuários”, afirma Martina López, pesquisadora de segurança da informação da ESET na América Latina.

O que um invasor pode fazer com um endereço de e-mail?

Um cibercriminoso pode usar essas informações como parte de sua campanha que chega à nossa caixa de entrada, mais conhecida como phishing. Esses ataques buscam roubar credenciais de acesso ou dados financeiros ou também baixar malware. Dependendo do objetivo da campanha, eles podem conter arquivos maliciosos ou links para páginas da web que realizam o roubo de informações, desta vez diretamente do usuário. Da mesma forma, com contas de e-mail, eles podem trabalhar em campanhas de extorsão nas quais os criminosos costumam usar a engenharia social e apresentar à vítima algumas informações pessoais ou privadas para solicitar uma quantia em dinheiro para evitar a divulgação dos dados.

O que um invasor pode fazer com uma senha ou dados financeiros?

A obtenção de senhas e dados financeiros pode gerar atividades fraudulentas dentro ou fora do aplicativo envolvido. No caso dos dados financeiros, podem ser usados para fazer compras por conta do proprietário ou para vendê-los no mercado clandestino. No caso das senhas, além de comercializadas, podem ser utilizadas para acesso com fins maliciosos, bem como tentar acessar outros serviços testando se o usuário utilizou a mesma combinação ou com poucas variações em outra conta.

Um estudo realizado em 2018 revelou que cerca de metade dos usuários reutiliza suas senhas com pouca ou nenhuma modificação em vários sites, sendo os mais afetados sites de compras ou serviços de correio. Por outro lado, as piores combinações de 2020 apresentam grande semelhança com as listas dos anos anteriores, confirmando as análises sobre o uso de senhas que afirmam o uso de critérios fracos, como combinações numéricas como 123456. Essas decisões podem levar a logins automatizados em sites confidenciais no momento de uma violação de informações ou um ataque futuro.

“Além da importância de que as empresas por trás dos serviços e aplicativos tomem as medidas necessárias para proteger os dados do usuário e assim evitar serem comprometidos após a exploração de uma vulnerabilidade, os usuários têm sua parcela de responsabilidade e é importante que eles saibam como minimizar os riscos no caso de seus dados serem afetados e como agir caso isso aconteça. É importante ficar alerta e conhecer as recomendações para se proteger do impacto que uma violação de dados pode ter nas contas“, conclui López.

Para saber mais sobre segurança da informação, acesse o portal de notícias da ESET: https://www.welivesecurity.com/br/2021/01/06/como-um-vazamento-de-dados-em-apps-ou-servicos-pode-afetar-aos-usuarios/

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter.

Apresente suas soluções e serviços no Crypto ID! 

Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!

ACESSE O MÍDIA KIT DO CRYPTO ID

contato@cryptoid.com.br   +55 11 3881 0019