Últimas notícias

Fique informado

É assim que uma senha vazada na web será testada por hackers

1 de julho de 2021

Spotlight

Zero Trust e viagens pós-COVID ocupam o centro das atenções no Identity Week 2021

Identity Week 2021 será realizado de 22 a 23 de setembro de 2021 em Londres e reúne as mentes mais brilhantes do setor de identidades.

27 de setembro de 2021

NSA publica atualização sobre criptografia resistente a quantum

A NSA publicou o FAQ “Quantum Computing and Post-Quantum Cryptography. Confira nesse artigo!

3 de setembro de 2021

CertForum 21: evento on-line para quem quer saber tudo sobre identificação digital e documentos eletrônicos

O CertForum é realizado pelo Instituto Nacional de Tecnologia da Informação (ITI) e organizado pela Associação Brasileira das Empresas de Tecnologia em Identificação Digital (ABRID).

31 de agosto de 2021

Proteção de Dados é debate de evento da ABES com especialistas internacionais

Encontro promovido pela ABES ocorre no dia 16 de junho, às 10h, e contará com a participação de especialistas internacionais

14 de junho de 2021

ABES remove mais de 79 mil conteúdos ilegais na internet em 2020

Balanço anual de monitoramento da ABES aponta queda no número de anúncios removidos, resultado de programa de proteção à propriedade intelectual

11 de março de 2021

Seguro Cibernético LGPD é tema de novo webinar da ABES

Em parceria com CAESBRA, encontro virtual da ABES acontece no próximo dia 15, às 10h, e vai apresentar a parceria com a seguradora AIG Brasil

10 de dezembro de 2020

As organizações podem tomar precauções para defender seus usuários, aplicativos em nuvem e a rede em geral contra phishing

Por Carlos Rodrigues

Carlos Rodrigues, vice-presidente da Varonis

Metade das contas comprometidas em ataques de phishing são acessadas manualmente dentro de 12 horas após o vazamento do nome de usuário e senha, já que os criminosos cibernéticos procuram explorar credenciais roubadas o mais rápido possível. 

Pesquisadores de segurança cibernética da Agari plantaram milhares de credenciais – que foram feitas para parecer que pertenciam a usuários reais, mas estavam de fato sob o controle dos pesquisadores – em sites e fóruns populares para despejar nomes de usuário e senhas roubados. 

As credenciais falsas – semeadas ao longo de seis meses – foram projetadas para parecer logins comprometidos para aplicativos de software em nuvem bem conhecidos.

Os testes descobriram que as contas são acessadas ativamente poucas horas após as credenciais de login serem publicadas on-line em sites e fóruns de phishing.

Quase todas as contas foram acessadas manualmente e isso mostra como os criminosos cibernéticos podem testar com precisão se as credenciais realmente funcionam. 

Por exemplo, ao acessar uma conta, um invasor pode tentar encontrar informações confidenciais nas caixas de entrada de e-mail das pessoas, ou até mesmo em seu software de armazenamento em nuvem, que pode ser roubado e usado para ajudar em novos ataques ou vendido. 

Há também a possibilidade de que os hackers possam usar as contas comprometidas para realizar outros ataques, como ataques de phishing ou comprometimento de e-mail comercial, usando a conta comprometida para lançar novas campanhas.

No entanto, essa pesquisa demonstra como os criminosos cibernéticos obtêm credenciais comprometidas e tentam explorá-las para obter acesso a contas adicionais. 

Embora as contas comprometidas sejam acessadas rapidamente, a pesquisa descobriu que elas são frequentemente abandonadas após cerca de uma semana – embora nessa época seja provável que os criminosos mudaram para outras contas, talvez depois de usar a conta inicial como um trampolim para chegar lá. 

As organizações podem tomar precauções para defender seus usuários, aplicativos em nuvem e a rede em geral contra phishing e outros ataques. Uma delas é ter defesas apropriadas, como software antivírus ou um filtro de spam. 

Enquanto isso, o uso de autenticação multifatorial pode ajudar a evitar que contas comprometidas sejam exploradas, pois torna muito mais difícil para um invasor usar – ao mesmo tempo em que alerta a vítima de que algo está errado. 

Descubra o que é phishing e como proteger a sua empresa

Truques de phishing com o Microsoft Office

Contas digitais para o crime: O que a abertura delas tem a ver com o vazamento de dados pela Internet?

Acompanhe os principais movimentos brasileiros e mundiais em torno de Privacidade e Proteção de Dados aqui no Crypto ID.