Entenda como funcionam os ataques de hackers na Internet
Ataques na internet são as tentativas de criminosos, conhecidos como hackers, de danificar ou destruir uma rede de sistemas. Essas violações podem fazer com que dados sigilosos sejam roubados ou expostos, podendo causar o roubo de identidade e extorsão do titular dos dados.
O termo hacker é popularmente usado para definir especialistas em computação que utilizam o alto conhecimento para cometer crimes cibernéticos. Porém, essa definição não é totalmente correta, pois hackers são pessoas com um conhecimento profundo de computação e informática, que trabalham desenvolvendo e modificando softwares e hardwares de computadores, não necessariamente para cometer algum crime.
Ataques na Internet costumam ocorrer com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador com acesso à Internet pode participar de um ataque. Os motivos que levam os criminosos a desferir ataques na Internet são bastante diversos, variando da simples diversão até a realização de ações ilegais. Geralmente têm motivação relativa à demonstração de poder, sensação de prestígio, motivações financeiras, ideológicas e comerciais.
As formas mais comuns de ataques executados pelos hackers são:
Força bruta: é uma das técnicas mais comuns e de grande impacto. Consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Qualquer computador, equipamento de rede ou serviço que seja acessível via Internet, com um nome de usuário e uma senha, pode ser alvo de um ataque de força bruta. Dispositivos móveis, que estejam protegidos por senha, além de poderem ser atacados pela rede, também podem ser alvo deste tipo de ataque caso o atacante tenha acesso físico a eles. De posse do seu nome de usuário e senha, um atacante pode efetuar ações maliciosas em seu nome como: trocar a sua senha, invadir o serviço de e-mail que você utiliza e ter acesso ao conteúdo das suas mensagens e a sua lista de contatos, enviar mensagens em seu nome, acessar a sua rede social e enviar mensagens aos seus seguidores contendo códigos maliciosos ou alterar as suas opções de privacidade, invadir o seu computador e, de acordo com as permissões do seu usuário, executar ações, como apagar arquivos, obter informações confidenciais e instalar códigos maliciosos.
Falsificação de e-mail (E-mail spoofing): é uma técnica que consiste em alterar campos do cabeçalho de um e-mail de forma que pareça que ele foi enviado de um determinado remetente, quando na verdade, foi enviado de outro. Ataques desse tipo são bastante usados para propagação de códigos maliciosos, envio de spam e golpes de phishing. Atacantes utilizam-se de endereços de e-mail coletados de computadores infectados para enviar mensagens e tentar fazer com que os seus destinatários acreditem que elas partiram de pessoas conhecidas.
Negação de serviço: é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet. O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos serviços afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações desejadas.
Desfiguração de página (Defacement): é uma técnica que consiste em alterar o conteúdo da página Web de um site para ganhar mais visibilidade, chamar atenção e atingir maior número de visitantes.
Interceptação de tráfego (Sniffing): é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas específicos chamados de sniffers. Esta técnica, muitas vezes utilizadas de forma maliciosa, também pode ser utilizada de forma legítima.
Exploração de vulnerabilidades: ocorre quando um atacante tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível.
Varredura em redes (Scan): é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre os serviços disponibilizados e programas instalados. Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados.
Agora que você já sabe como funcionam alguns dos tipos mais comuns de ataques hackers, veja algumas dicas que vão ajudar você a manter seu computador seguro:
- Mantenha os programas instalados com as versões atualizadas;
- Use apenas softwares e programas originais;
- Utilize mecanismos de proteção, como antivírus;
- Seja cuidadoso ao manipular links e arquivos;
- Mantenha a data e a hora do computador corretas;
- Evite conectar o computador em redes públicas;
- Crie tantas contas quantas forem as pessoas que utilizam o seu computador e certifique-se de cada uma seja acessada apenas por uma pessoa e com uma senha forte; e
- Nunca compartilhe as senhas do computador e de serviços na internet ou celular.
Entenda porque a informação é o ativo mais importante de uma organização
Informação é um conjunto de dados organizados, que possam constituir referências sobre um determinado fato ou fenômeno. Por meio dela, resolvemos problemas e tomamos decisões, pois o seu uso racional é a base do conhecimento.
Portanto, é possível compreender o papel relevante da informação para o sucesso das organizações. Elas estão diretamente relacionadas aos processos organizacionais, na construção do seu negócio, assim como na tomada de decisões tanto no nível estratégico, tático ou operacional. Dessa forma, a informação é considerada o ativo mais importante de uma organização.
O valor da informação, segundo o pensamento teórico, se forma com base nas chamadas sete leis da informação (MOODY & WALSH, 1999):
- 1ª Lei: a informação é compartilhável.
- 2ª Lei: o valor da informação aumenta com o uso.
- 3ª Lei: a informação é perecível.
- 4ª Lei: o valor da informação aumenta com a precisão.
- 5ª Lei: o valor da informação aumenta quando há combinação de informações.
- 6ª Lei: mais informação não é necessariamente melhor.
- 7ª Lei: a Informação se multiplica.
Nesse contexto, é que as informações precisam ser organizadas, classificadas e protegidas, pois estão sujeitas às mais diversas ameaças: perda, roubo, vazamento, sequestro de dados, ataques cibernéticos, etc. Sendo assim, a segurança da informação é considerada parte vital da governança corporativa, pois permite monitorar, analisar e mitigar esses riscos, para garantir a disponibilidade, integridade, confidencialidade, autenticidade e irretratabilidade das suas informações, consideradas como suas propriedades básicas.
Você conhece as propriedades básicas da segurança da informação?
CONFIDENCIALIDADE: assegura que a informação só seja acessada por pessoas, órgãos ou sistemas credenciados, ou seja, impede que a informação esteja disponível ou seja divulgada a indivíduos, entidades ou processos sem autorização específica.
INTEGRIDADE: garante a não violação das informações para protegê-las contra alteração, gravação ou exclusão acidental ou proposital. A informação protegida deve ser íntegra, sem sofrer qualquer alteração indevida, não importa por quem e nem em qual etapa, se no processamento ou no envio.
DISPONIBILIDADE: Consiste em fazer com que a informação esteja acessível e utilizável, no momento escolhido por uma pessoa, órgão ou sistema, ou seja, garante o acesso à informação quando requisitado, de acordo com os seus requisitos de disponibilidade.
Saiba identificar um e-mail indesejado (spam)
Spam é o termo usado para se referir a e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Na prática, o spam é uma mensagem eletrônica que, via de regra, oferece, pede ou informa algo sem ter solicitado permissão para cadastrar o remetente na lista de destinatários.
Geralmente essas mensagens são recebidas por e-mail, mas também podem circular pelas redes sociais ou como comentários de blogs. O spam tem um fundo geralmente comercial, mas também pode assumir um viés criminoso ou para difundir histórias falsas. Spams estão diretamente associados a ataques à segurança da internet e do usuário, sendo um dos grandes responsáveis pela propagação de códigos maliciosos, disseminação de golpes e venda ilegal de produtos.
Alguns dos problemas causados pelo spam são perda de mensagens importantes, conteúdo impróprio ou ofensivo, gasto desnecessário de tempo, não recebimento de e-mails e classificação errada de mensagens. Infelizmente, não há como fugir do spam, mas você pode minimizar os danos que eles causam. Para isso, é muito importante que você saiba como identificá-lo para agir adequadamente. São indícios de spam:
- apresentar cabeçalho suspeito;
- não se referir a você especificamente;
- apresentar no campo Assunto e no corpo do texto palavras com grafia errada;
- apresentar no campo Assunto textos alarmantes ou vagos;
- não oferecer a opção de remoção da lista de divulgação;
- prometer que será enviado “uma única vez”; e
- basear-se em leis e regulamentações inexistentes.
Para tentar reduzir a quantidade de spams recebidos e evitar os danos causados por essas mensagens, preste atenção nas seguintes dicas.
- Procure filtrar as mensagens indesejadas.
- Seja cuidadoso ao fornecer seu endereço de e-mail.
- Fique atento a opções pré-selecionadas.
- Não clique em links recebidos e não responda a mensagens desse tipo.
- Desabilite a abertura de imagens em e-mails HTML.
- Crie contas de e-mail secundárias para assuntos diversos ao trabalho e sua vida pessoal.
- Utilize as opções de privacidade das redes sociais.
- Respeite o endereço de e-mail de outras pessoas. Ao enviar e-mail para um grande grupo de pessoas, use a opção de cópia oculta (CC).
- Ao reencaminhar mensagens, apague a lista de antigos destinatários, pois podem servir como fonte de coleta para spammers.
Por outro lado, saiba que e-mails desejados podem ser marcados como spam por seu provedor de e-mails. Se uma mensagem importante não apareceu na caixa de entrada, consulte, com cautela, a pasta de spams e, caso localizada, marque-a como “não é spam”.
O seu e-mail pode ser usado por Hackers para fazer diversos ataques
Atualmente o e-mail é o método mais utilizado para disseminação de vírus, para engenharia social (explora as vulnerabilidades dos seres humanos) e para outros tipos de ataques cibernéticos.
O que define as chances de um ataque ser ou não bem-sucedido é o conjunto de medidas preventivas tomadas não só pelos administradores de sistemas e serviços de TI, mas principalmente pelos usuários.
Se cada um fizer a sua parte, muitos dos ataques realizados podem ser evitados ou, ao menos, minimizados. Sigas as recomendações a seguir para manter-se seguro no uso do correio eletrônico.
- Nunca utilize o seu e-mail institucional para fins não profissionais, como sites de compras e de downloads.
- Nunca abra e-mails ou execute arquivos (anexos ou link da mensagem) enviados por desconhecidos.
- Cuidado com e-mails que despertam muito interesse ou ansiedade, com títulos como “intimação da polícia federal”, “atualização cadastral do banco” e “restituição da receita federal”, “você tem pontos a expirar”. Lembre-se: bancos e órgãos públicos não enviam e-mails não solicitados a seus clientes e usuários.
- Se precisar enviar e-mails para múltiplos destinatários, sempre utilize cópia oculta.
Na dica Conheça os principais golpes praticados na internet, você leu que phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário utilizando técnicas de engenharia social.
Estudos apontam que 95% dos ataques cibernéticos se iniciam por phishing, razão pela qual é muito importante entender como esses ataques são realizados e como identificá-los para se proteger e não cair nesse golpe.
Atualmente, as técnicas de phishing aumentaram muito a quantidade de golpes aplicados e a complexidade com que eles são executados. Isso dificulta cada vez mais que o usuário reconheça esse tipo de ataque e evite as suas ameaças.
Para saber como identificar um e-mail suspeito acompanhe as dicas a seguir (1)
- Veja o endereço de e-mail do remetente
Uma das táticas de phishing favoritas entre cibercriminosos é criar com cuidado o nome do remetente. Isso é um problema porque muitas caixas de entrada mostram apenas o nome do remetente, no campo ¿De:¿, e em um primeiro olhar não suspeitamos de nada. Verifique o endereço real do remetente e, se parecer suspeito, não abra!
- Preste atenção nos links
Passe o mouse sobre todos os links no corpo do e-mail. Se o endereço do link parecer estranho, não clique nele. Se você quiser testar o link, abra uma nova janela e digite o endereço do site diretamente. Links suspeitos são um forte indício de um ataque de phishing. Alguns phishing chegam a colocar, além dos links que roubam os dados pessoais, alguns links institucionais para dar credibilidade ao e-mail.
- Procure por erros ortográficos
As empresas normalmente usam o e-mail como forma de comunicação e, por isso, prestam muita atenção nas mensagens enviadas aos clientes. Mensagens legítimas geralmente não contêm muitos erros de ortografia ou gramática, nem baixa qualidade de diagramação. Leia os seus e-mails cuidadosamente.
- Analise como a mensagem se dirige a você
Se o e-mail se direciona a você de forma vaga, como ¿Prezado cliente¿, fique atento! As empresas costumam usar uma saudação pessoal com o seu nome e sobrenome.
- Fique alerta se o e-mail pede informações pessoais
Outro indício de que o e-mail é de fato malicioso é a solicitação de dados pessoais. Empresas legítimas e bancos não pedem, sob hipótese alguma, informações pessoais por e-mail. Portanto, não as forneça!
- Desconfie de e-mails com urgência ou tom de ameaça no assunto
Provocar uma sensação de urgência ou medo é uma tática de phishing comum. Tenha cuidado com os e-mails que alegam que a sua ¿conta foi suspensa¿ ou que a sua conta teve uma ¿tentativa de login não autorizada¿.
- Note que a assinatura pode dizer muito sobre a intenção do e-mail
A falta de detalhes sobre o remetente ou como você pode entrar em contato com a empresa diz muito sobre a intenção do e-mail. Empresas legítimas sempre fornecem detalhes de contato. Adote essa precaução também em sites de vendas, quando não há endereço físico, e-mail, telefone, CNPJ, etc., em ¿Contato¿ ou ¿Fale com a gente¿.
- Observe se o e-mail veio com anexos não solicitados
Essa é uma das táticas mais comuns de phishing e pode indicar o ataque. Os anexos maliciosos contêm o malware que vai dar acesso ao hacker, um dos principais vetores de outros ciberataques. Por isso, não clique em nenhum anexo que você não estava esperando.
- Não acredite em tudo o que você vê
Só porque um e-mail tem uma logo convincente, linguagem e um endereço de e-mail aparentemente válido, não significa que é legítimo. Seja bem crítico quando se trata dos seus e-mails. Se parecer minimamente suspeito, não abra!
E não esqueça: sempre confira o remetente e o conteúdo dos e-mails recebidos antes de clicar em qualquer link
Como criar uma senha segura e evitar dores de cabeça
Por meio de contas e senhas os sistemas conseguem identificar quem você é, confirmar sua identidade e definir as ações que você pode realizar. A senha é a forma mais convencional de verificação do usuário, ou seja, ela assegura que você é realmente quem diz ser e autentica o seu acesso aos diversos sistemas e serviços do ambiente digital.
Uma senha bem elaborada é aquela que é difícil de ser descoberta, considerada forte, e fácil de ser lembrada. Não convém que você crie uma senha forte se não conseguir memorizá-la. Também não convém criar uma senha fácil de ser lembrada se ela puder ser facilmente descoberta por um cibercriminoso:
- quando usada em computadores infectados;
- quando usada em computadores invadidos;
- quando usada em sites falsos (phishing);
- por meio de tentativas de adivinhação;
- ao ser capturada enquanto trafega na rede;
- por meio do acesso ao arquivo onde foi armazenada;
- com o uso de técnicas de engenharia social;
- pela observação da movimentação dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais.
Fique atento, pois, se outra pessoa souber a sua conta de usuário e tiver acesso à sua senha, ela poderá utilizá-la para se passar por você e realizar ações indevidas, como ler ou apagar os seus e-mails, apagar os arquivos do seu computador ou obter informações sigilosas, instalar códigos e serviços maliciosos, acessar as suas redes sociais e explorar a confiança dos seus amigos, acessar a sua conta bancária e causar prejuízo financeiro, fazer compras em sites de comércio eletrônico, alterar todas as suas configurações de segurança e dados cadastrais, etc.
Portanto, proteger a sua senha é fundamental para diminuir os riscos de segurança da informação e evitar problemas maiores.
A Resolução GP n. 19/2020 instituiu uma política de senhas com a finalidade de aumentar a segurança da informação e incrementar a proteção dos serviços de tecnologia da informação e comunicação no ambiente cibernético.
A Instrução Normativa DTI n. 1/2020 estabelece critérios para criar uma senha segura, entre outras providências. A senha deve ter 10 ou mais caracteres, com pelo menos 3 das 4 opções a seguir:
- letras maiúsculas;
- letras minúsculas;
- números de 0 (zero) a 9 (nove); e
- caracteres especiais, como ][{}#%*+=_-/\|?£.,;!@&$.
Uso seguro da senha
O uso da senha é de responsabilidade do seu titular. Além dos critérios estabelecidos na IN DTI n. 01/2020, para criar uma senha forte e mantê-la em segurança preste atenção nestas dicas.
- Não elabore senhas baseadas em informações pessoais, como login de usuário, nomes, sobrenomes, número de documentos, placas de carros, telefones e datas.
- Não elabore senhas com caracteres repetidos ou sequenciais. Ex.: 123456, abcde, abc123.
- Não elabore senhas com caracteres seguidos no teclado do computador. Ex.: qwer, zxcv.
- Nunca divulgue, compartilhe ou salve a sua senha no seu navegador de internet.
- Não utilize senhas iguais para serviços diferentes.
- Não digite senhas em computadores de terceiros ou quando estiver sendo observado.
- Procure elaborar senhas baseadas em frases. Ex. a partir da frase ¿8 de dezembro é o Dia da Justiça¿ pode-se criar a senha 812eoDJu.
- É recomendável que as senhas sejam alteradas a cada dois ou três meses.
- Evite registrar senhas em locais inseguros, como anotação em papel, embaixo do teclado, adesivos colados no monitor.
- Sempre altere as senhas temporárias no primeiro acesso.
- Evite usar opções como ¿lembrar¿ ou ¿continuar conectado¿.
- Sempre altere uma senha quando suspeitar que ela pode ter sido descoberta ou que o computador no qual você a utilizou pode ter sido invadido ou infectado.
Conheça os principais golpes praticados na internet
São cada vez mais comuns os casos de golpistas que recorrem à tecnologia de informação (chamados cybercriminosos) para cometer crimes na internet, os quais utilizam várias técnicas para atrair as vítimas.
Esses cybercriminosos exploram fragilidades dos usuários, procuram enganar e persuadir suas vítimas a fornecerem informações sensíveis ou a realizarem alguma ação que possa comprometer a segurança deles e de toda uma organização.
Conheça as formas mais comuns desses golpes, suas consequências e dicas de prevenção.
Furto de identidade: alguém se passa por outra pessoa para obter vantagens ilícitas. A vítima poderá perder dinheiro e temporariamente crédito, ou até ter sua reputação abalada. Pode ser demorado e trabalhoso reverter todos os problemas causados pelo impostor. A melhor forma de impedir que sua identidade seja usada por terceiros é proteger o acesso aos seus dados e às suas contas de usuário.
Antecipação de recursos: um golpista induz a vítima a fornecer informações confidenciais ou a realizar um pagamento adiantado com a promessa de que esta receberá um benefício. Em algum tempo, a vítima percebe que o benefício não existe, que foi vítima de um golpe e que seus dados e/ou dinheiro ficaram com o golpista. Desconfie de situações em que é necessário efetuar um pagamento antecipado para receber um valor maior. Não se empolgue tão rápido com uma possibilidade de ganhar dinheiro, nem sequer responda a esse tipo de oportunidade. Se acreditar que pode ter algum valor a receber, tome a iniciativa de procurar informações oficiais.
Golpes de comércio eletrônico: exploram a relação de confiança do usuário nos negócios on-line. A vítima pode ser atraída por uma oferta imperdível e não receber a mercadoria ¿comprada¿ ou o pagamento por um produto ¿vendido¿, além de passar dados seus ao golpista. Algumas dicas para prevenção para esse tipo de golpe:
- desconfie se o valor do produto está muito abaixo do de outros fornecedores confiáveis;
- pesquise na internet sobre o site antes de efetuar a compra para ver a opinião de outros clientes;
- acesse sites especializados para verificar se há reclamações referentes à empresa;
- fique atento a propagandas recebidas por spam ou redes sociais;
- utilize sistemas confiáveis de pagamentos para impedir que seus dados pessoais e financeiros sejam enviados ao golpista;
- em caso de venda, confirme que recebeu o pagamento diretamente na sua conta bancária ou pelo site do sistema de pagamentos (não confie apenas em e-mails ou comprovantes de depósito, pois podem ser falsos);
- acesse todos os sites, tanto de pagamentos quando de vendas, diretamente do navegador, e não por links recebidos em mensagens;
- mesmo que o vendedor lhe envie o código de rastreamento fornecido pelos Correios, saiba que isso não basta para comprovar o envio e liberar o pagamento.
Phishing: um golpista tenta obter dados pessoais e financeiros de um usuário utilizando técnicas de engenharia social. A consequência pode ser o vazamento de informações pessoais e financeiras, além de infectar o computador com códigos maliciosos. Fique atento a mensagens recebidas que tentem induzi-lo a fornecer informações, instalar ou executar programas ou clicar em links. Acesse a página da instituição que supostamente enviou a mensagem e procure por informações.
Pharming: golpe que envolve o redirecionamento da navegação do usuário para sites falsos. A consequência será o vazamento de dados pessoais e financeiros, com possível perda financeira. Desconfie se, ao digitar o endereço do site no navegador, você for redirecionado para outro site, o qual tenta realizar alguma ação suspeita, como abrir um arquivo ou instalar um programa. Para se proteger, escolha um provedor de internet confiável, verifique se há erros no nome do endereço do site que você quer acessar e sempre siga as dicas e orientações sobre segurança da informação. Se você está desconfiado de um site, inclusive de um banco, faça login com uma senha errada. Como um site falso não tem como conferir a sua senha, a próxima tela mostrará que é golpe.
Boato (ou hoax): a mensagem tem conteúdo falso e alarmante e geralmente é enviada por uma empresa importante ou órgão governamental, e até mesmo por um