Autor: securitylgpd

Publicado em por

GOLPE DA TAREFA AMEAÇA BRASILEIROS COM PROMESSAS DE RENDA EXTRA

A Federação Brasileira de Bancos (Febraban) emitiu um alerta sobre uma nova ameaça virtual que está ganhando destaque no país. Conhecido como “golpe da tarefa”, criminosos estão utilizando aplicativos de mensagens para oferecer oportunidades de renda extra, alegando a realização de tarefas simples na internet, como curtir fotos, fazer comentários e seguir contas de empresas e lojistas nas redes sociais.

O modus operandi dos golpistas envolve se passar por funcionários de empresas de marketing digital, alegando estar recrutando interessados para trabalhar online. As vítimas são atraídas por promessas de ganhos diários, sob a justificativa de ajudar comerciantes a aumentarem a visibilidade de seus produtos nas redes sociais.

Ao aceitar a proposta, o participante é incluído em um grupo de mensagens. Inicialmente, o golpista realiza depósitos em dinheiro na conta da vítima para construir credibilidade, mas os valores são sempre baixos. Entretanto, em um determinado momento, é solicitado que o participante pague para poder continuar no esquema, com a promessa de recuperar o valor no mesmo dia. Outros membros do grupo enviam comprovantes de pagamento, induzindo a vítima a prosseguir no esquema. As tarefas pré-pagas, segundo a Febraban, possuem valores mais elevados.

Em caso de vitimização, a Febraban orienta os clientes a notificarem imediatamente o banco para adoção de medidas adicionais de segurança, como bloqueio do aplicativo e senha de acesso. A rapidez na comunicação aumenta as chances de recuperação do valor junto a outros bancos. Além disso, recomenda-se o registro de um boletim de ocorrência.

A Febraban destaca que tem investido em campanhas de conscientização, utilizando ações de marketing em TVs, rádios e redes sociais. Os bancos associados investem significativamente em sistemas de tecnologia da informação voltados para segurança. Adicionalmente, os bancos colaboram com as forças policiais para identificar e punir criminosos virtuais.

Publicado em por

HACKERS UTILIZAM COOKIES PARA INVADIR CONTAS DO GOOGLE

Pesquisadores de segurança recentemente identificaram uma vulnerabilidade preocupante que permite a invasão de contas do Google sem a necessidade de senhas. Essa descoberta foi revelada por meio de uma análise conduzida por uma empresa de segurança. O malware em questão utiliza cookies de terceiros para obter acesso não autorizado aos dados privados dos usuários, apresentando uma ameaça real que já está sendo explorada ativamente por grupos de hackers.

A exploração desse hack foi inicialmente divulgada em outubro de 2023, quando um indivíduo compartilhou detalhes sobre o método em um canal de mensagens. O cerne dessa técnica reside na manipulação de cookies, os quais são comumente utilizados por sites e navegadores para rastrear usuários, otimizando assim a eficiência e usabilidade.

Os cookies de autenticação do Google, que proporcionam acesso contínuo às contas sem a necessidade constante de inserção de dados de login, tornaram-se alvo desse ataque. Os hackers conseguiram recuperar esses cookies, contornando até mesmo a autenticação de dois fatores. Importante mencionar que o navegador mais utilizado em todo o mundo está atualmente em processo de repressão aos cookies de terceiros.

Em resposta a essa ameaça, a empresa afirmou que regularmente fortalece suas defesas contra essas técnicas e toma medidas para proteger os usuários cujas contas foram comprometidas. Recomenda-se aos usuários que tomem medidas proativas, como a remoção regular de malware de seus computadores, além de ativar recursos de segurança em seus navegadores.

Os pesquisadores responsáveis pela identificação dessa ameaça destacam a complexidade e furtividade dos ataques cibernéticos modernos. A exploração em questão permite um acesso contínuo aos serviços do Google, mesmo após a redefinição da senha do usuário, sublinhando a importância do monitoramento contínuo de vulnerabilidades técnicas e fontes de inteligência para antecipar e combater ameaças cibernéticas emergentes. O incidente foi detalhado em um relatório abordando malwares que exploram funcionalidades não documentadas para sequestro de sessão.

Publicado em por

COMO ATUALIZAÇÕES DE SOFTWARE PODEM PARAR SEU CARRO

Com o avanço da tecnologia nos veículos modernos, situações cada vez mais inusitadas têm surgido. Recentemente, um motorista compartilhou anonimamente em fóruns e redes sociais uma experiência frustrante após uma atualização de software tornar seu carro inoperável. A mensagem exibida no display interno do veículo da Ford alertava: “Infelizmente, uma atualização de software recente não foi bem-sucedida. Seu veículo não pode ser conduzido. Ligue para o suporte ao cliente”.

A cena, descrita como “bizarra” por alguns, reflete uma realidade crescente com os carros modernos. No Reddit, um usuário ironicamente sugeriu: “Você tentou desligar e ligar novamente? Funciona no meu desktop e servidores em funcionamento, mas eles são baseados em Windows…”. O episódio gerou discussões sobre a dependência cada vez maior de atualizações de software em veículos.

Essa não é a primeira vez que problemas desse tipo são relatados. Em julho de 2020, um proprietário de Tesla recorreu ao Reddit em desespero, pois uma atualização de software falhou e seu carro se recusou a se mover. Em uma reviravolta inusitada, o veículo acabou sendo guinchado pela fabricante para avaliação.

O incidente provocou debates no fórum Hacker News, onde alguns elogiaram a prontidão em evitar partidas com erros críticos, enquanto outros criticaram a necessidade crescente de atualizações em carros. Alguns usuários sugeriram soluções alternativas, como o uso de versões anteriores do software, prática comum em dispositivos como roteadores para prevenir falhas irremediáveis.

Este caso destaca a complexa relação entre a tecnologia e os veículos modernos, levantando questionamentos sobre a confiabilidade e a praticidade das atualizações de software em um meio onde, por décadas, carros funcionaram sem depender delas. O debate sobre a necessidade e a segurança dessas atualizações certamente continuará à medida que a tecnologia automotiva avança.

Publicado em por

PROTEÇÃO FINANCEIRA EM CASO DE ROUBO DE CELULAR

Em um cenário cada vez mais especializado, o roubo de celulares pode resultar em golpes financeiros devastadores. Os criminosos, agindo com expertise, desbloqueiam dispositivos para acessar senhas de aplicativos bancários, desencadeando transações prejudiciais à vítima. Rápida ação é essencial para minimizar prejuízos.

Após o furto ou roubo, é crucial apagar dados online, bloquear acessos ao banco via celular e registrar um boletim de ocorrência. Uma opção governamental é o aplicativo Celular Seguro, lançado em dezembro de 2023, que promete inutilizar o dispositivo remotamente, mitigando riscos.

O aplicativo oferece um botão de emergência que bloqueia funções de alto risco, permitindo que o proprietário escolha contatos de confiança para conceder acesso ao recurso. O cadastro no portal gov.br é necessário para utilizar essa ferramenta.

Segundo especialistas, os criminosos, frequentemente, aproveitam a distração da vítima para agir, desbloqueando celulares já em posse. O método preferido envolve o uso da opção “esqueci minha senha” após receber SMS ou email de autenticação, permitindo o cadastro de uma nova senha e causando danos financeiros significativos.

Para se proteger, é crucial agir rapidamente. O primeiro passo é ligar para o banco, bloquear acessos e registrar o boletim de ocorrência. Caso o banco autorize transações fraudulentas, há um processo para reaver os valores. Inicialmente, é possível apresentar uma reclamação na instituição financeira, com prazo de resposta de até sete dias.

Se a resposta não for satisfatória, recorrer ao Procon-SP é uma opção, com prazo de até dez dias para resposta. Caso persistam os problemas, a via judicial pode ser necessária, exigindo um conjunto robusto de provas.

Bancos como Caixa Econômica Federal, Banco do Brasil, Itaú Unibanco, Bradesco e Santander oferecem orientações específicas para clientes que enfrentam situações de roubo ou fraude. O bloqueio imediato, boletim de ocorrência e contato com a central de atendimento são medidas comuns recomendadas pelos bancos.

Essas instituições garantem processos de investigação e ressarcimento, embora o prazo e os procedimentos possam variar. O uso de tecnologia para monitorar transações suspeitas, notificações por SMS ou WhatsApp e protocolos de segurança são destacados como medidas preventivas.

No cenário de crimes digitais em constante evolução, os bancos digitais também estão atentos, investindo em segurança. A associação de fintechs destaca a importância da orientação e da rápida troca de senhas como ferramentas cruciais na defesa contra atividades fraudulentas.

Diante do aumento desses desafios, é fundamental que os consumidores estejam cientes das medidas de segurança disponíveis e ajam proativamente para proteger suas informações financeiras em caso de perda ou roubo do celular.

Publicado em por

PORSCHE MACAN A COMBUSTÃO DESPEDE-SE NA EUROPA POR CAUSA DA SEGURANÇA CIBERNÉTICA

A Porsche enfrenta um desafio na União Europeia, onde regulamentações de segurança cibernética estão forçando a descontinuação do Macan a combustão. Embora a montadora planeje estender o ciclo de vida do SUV com motores tradicionais, a Europa impõe novos requisitos de cibersegurança que o modelo não atende. Mesmo com atualizações em 2019 e 2021, o Macan original, lançado em 2014, não se alinha às exigências, tornando uma adaptação financeiramente inviável.

Um porta-voz da Porsche revelou que o Macan a combustão encerrará as vendas em 2024 devido à necessidade de ajustes técnicos nas unidades de controle e mudanças nos processos de desenvolvimento para atender às novas diretrizes de segurança cibernética da União Europeia. Essas regulamentações visam proteger as plataformas dos veículos contra possíveis ameaças de hackers.

Outros modelos do Grupo Volkswagen, como o e-Up, Audi TT e Audi R8, também foram impactados, com anúncios de seus respectivos fins. Apesar do adeus do Macan na Europa, a Porsche continuará a comercializar o SUV em outros mercados, como o Brasil, pelo menos até 2026. A produção do modelo persistirá em Leipzig, Alemanha, onde seu sucessor elétrico também será fabricado. Este cenário marca um momento singular na indústria automotiva, onde a evolução das regulamentações de segurança cibernética dita o futuro de veículos consagrados.

Publicado em por

GOVERNO FEDERAL LANÇA APLICATIVO ‘CELULAR SEGURO’ PARA COMBATER ROUBO E FURTO EM TODO O PAÍS

Governo Federal, em parceria com o Ministério da Justiça e Segurança Pública (MJSP), apresenta hoje (19) o lançamento do aplicativo “Celular Seguro”. Essa ferramenta visa proporcionar o bloqueio imediato de dispositivos furtados ou roubados em todo o território nacional.

Para usufruir do aplicativo, basta realizar o download do “Celular Seguro” nas respectivas lojas de aplicativos. No caso de dispositivos Android, a aquisição pode ser feita através da Google Play Store, enquanto os usuários de iPhones devem acessar a App Store.

Após a instalação, é necessário cadastrar os dados do celular na plataforma gov.br. Conforme explicado por Paulo Pimenta, ministro-chefe da Secretaria de Comunicação Social da Presidência da República, nas redes sociais, em caso de roubo, o usuário pode acionar o sistema por meio de um computador, notificando imediatamente operadoras telefônicas e bancos, o que resulta no bloqueio imediato do acesso.

O ministro destaca a importância dessa medida como um meio de reduzir transtornos e perdas financeiras para aqueles que enfrentam situações de furto ou roubo. O secretário-executivo do MJSP explica que o bloqueio desencoraja a receptação, tornando o celular praticamente inútil para quem o adquire de forma duvidosa.

Ele enfatiza que esse aplicativo atua como um importante instrumento para desestimular roubos, uma vez que a impossibilidade de acesso a informações e dados bancários torna o dispositivo pouco atraente para possíveis compradores.

Publicado em por

DECISÃO JUDICIAL RESPONSABILIZA PLATAFORMA DE REDES SOCIAIS POR GOLPE EM RESERVA DE POUSADA

Em um desdobramento recente, o 8º Juizado Especial Cível da Tijuca, no Rio de Janeiro, emitiu uma decisão determinando que uma plataforma de redes sociais seja responsabilizada por um golpe que vitimou um casal que buscava reservar uma pousada em Campos do Jordão, São Paulo. A decisão, fundamentada na ausência de evidências apresentadas pela plataforma para justificar a permanência de uma página fraudulenta no Instagram, mesmo após uma ordem judicial prévia, foi homologada por um juiz de Direito.

Conforme a narrativa dos autores da ação, que procuravam uma pousada para celebrar seu noivado por meio do Instagram, foram atraídos por uma oferta e realizaram uma reserva, efetuando o pagamento por meio de pix. Posteriormente, descobriram terem sido vítimas de um golpe e não conseguiram recuperar os valores pagos.

Os autores destacam que, em um processo anterior, a plataforma já havia sido condenada a remover a página fraudulenta de sua plataforma.

Ao analisar o caso, o juízo considerou que não havia falha atribuível à pousada nem aos bancos responsáveis pelas transações. No entanto, em relação à plataforma de redes sociais, o entendimento foi diferente.

A decisão argumentou que a transferência de valores ocorreu devido à manutenção da página utilizada pelos golpistas no Instagram, mesmo após decisão anterior em outro processo, caracterizando uma falha na prestação do serviço.

Dessa forma, a decisão determinou a restituição do valor pago a título de dano material e fixou uma indenização por danos morais aos autores.

Publicado em por

MAPA DE TEMAS PRIORITÁRIOS DA ANPD: CONECTANDO-SE AOS DESAFIOS DA PROTEÇÃO DE DADOS

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou a primeira edição do Mapa de Temas Prioritários (MTP), delineando as áreas de foco para estudos e planejamento das atividades de fiscalização nos próximos dois anos. Este documento não apenas estabelece prioridades, mas também visa beneficiar diretamente a sociedade, fortalecendo a governança e promovendo maior transparência e previsibilidade nas ações da ANPD.

O MTP identifica quatro eixos de ação que serão prioritários: direitos dos titulares; tratamento de dados pessoais de crianças e adolescentes no ambiente digital; inteligência artificial para reconhecimento facial e tratamento de dados pessoais; e raspagem de dados e agregadores de dados.

A escolha desses temas foi baseada em um levantamento conduzido pela Coordenação-Geral de Fiscalização (CGF), que considerou áreas no âmbito da proteção de dados propícias para estudo e fiscalização. Metodologias adicionais, como a análise de demandas passadas e o alinhamento com objetivos institucionais, foram empregadas para a seleção.

O MTP fornece detalhes sobre o processo decisório, objetivos a serem atingidos e atividades prioritárias em cada eixo. Além disso, apresenta um cronograma de execução e destaca a necessidade de interação com outros órgãos da Administração Pública, e possivelmente, com autoridades de proteção de dados de outros países.

Camila Falchetto Romero, Coordenadora-Geral de Fiscalização Substituta, destaca que essa ferramenta, aliada a outros instrumentos de governança da ANPD, orienta o direcionamento do órgão nos próximos dois anos, priorizando estudos e atividades de fiscalização em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).

Publicado em por

ATAQUE CIBERNÉTICO PARALISA OPERAÇÕES EM SEGURADORA DE TÍTULO IMOBILIÁRIO

A recente onda de ataques cibernéticos atingiu a First American Financial Corporation, uma das principais empresas de seguros de título nos EUA. A companhia, fundada em 1889 e conhecida por seus serviços financeiros e de liquidação em transações imobiliárias, teve que desativar parte de sua infraestrutura de TI como medida de segurança após o incidente.

Em um pronunciamento oficial divulgado em um site especialmente criado para tratar deste assunto, a First American confirmou o ocorrido, descrevendo-o como um “incidente de cibersegurança”. A empresa, que registrou um faturamento de $7,6 bilhões no último ano e emprega mais de 21.000 pessoas, é uma referência no setor de seguros de título, com sede na Califórnia.

A Fidelity National Financial, também impactada pelo incidente, relatou que o problema foi controlado em 26 de novembro, mas a restauração completa das operações comerciais ainda estava em andamento. Revelaram também que os atacantes conseguiram acesso a algumas credenciais após invadir seus sistemas.

A responsabilidade pelo ataque, ocorrido em 22 de novembro, foi reivindicada pelo grupo de ransomware ALPHV/BlackCat, embora a Fidelity National Financial não tenha oficialmente confirmado os responsáveis. Este incidente ressalta a crescente preocupação com a segurança cibernética em grandes corporações, especialmente naquelas que lidam com grandes volumes de dados sensíveis.

Publicado em por

FALHA DE SEGURANÇA EM CREDENCIAIS COMPROMETE MILHÕES DE CONTAS NA 23ANDME

A empresa de testes genéticos 23andMe recentemente se viu no centro de uma questão de segurança de dados, com a divulgação de que cerca de 6,9 milhões de contas de usuários foram comprometidas. A questão surgiu após um incidente em outubro do ano passado, onde dados pessoais e sensíveis dos usuários foram acessados indevidamente.

De acordo com a 23andMe, o vazamento de dados não se deveu a uma falha direta em seus sistemas, mas sim ao uso, por parte dos usuários, de credenciais de acesso (senhas e e-mails) que já haviam sido expostas em outras violações de dados em serviços diferentes. Este método de ataque, conhecido como “credential stuffing”, aproveita-se de senhas e emails já comprometidos em outras plataformas para acessar contas em diversos serviços.

Após identificar o problema, a 23andMe agiu resetando as senhas dos usuários afetados e incentivando a adoção da autenticação de dois fatores (2FA) – uma prática agora obrigatória para todos os usuários do serviço.

Uma investigação interna revelou que os hackers conseguiram acessar os dados de milhões de usuários através do login em aproximadamente 14 mil contas. Este alcance extenso foi possível devido ao recurso opcional DNA Relatives da 23andMe, que permite aos usuários compartilhar informações genéticas e pessoais com outros usuários, potencialmente parentes distantes. A maioria dos usuários optou por compartilhar uma quantidade significativa de suas informações através deste recurso.

Este incidente levanta questões importantes sobre a segurança de dados em serviços online, especialmente aqueles que lidam com informações pessoais e sensíveis. Ressalta a necessidade de práticas robustas de segurança por parte dos usuários, como a utilização de senhas únicas para diferentes serviços e a ativação de medidas de segurança adicionais como a 2FA. Ao mesmo tempo, coloca em evidência a responsabilidade das empresas em proteger os dados de seus clientes e em orientá-los sobre práticas seguras de gerenciamento de informações pessoais.

Publicado em por

CONHEÇA OS RISCOS DA REVOLUÇÃO ROBÓTICA NA INDÚSTRIA

Um incidente foi registrado em uma renomada fábrica de veículos elétricos no Texas, EUA, onde um engenheiro foi brutalmente atacado por um robô automatizado. O trabalhador estava em meio ao processo de reprogramação de outros robôs quando foi surpreendido pelas garras metálicas da máquina, que lhe infligiram ferimentos sérios nas costas e no braço, deixando um rastro visível de sangue pela instalação. A situação só foi controlada após a intervenção de outro funcionário, que acionou o botão de emergência.

Este caso ilustra preocupações preexistentes sobre os perigos potenciais associados ao uso de robôs automatizados em ambientes de trabalho. Apesar de o incidente ter sido reportado sem indicação de afastamento prolongado do funcionário, surgiram alegações de que a empresa pode estar subnotificando tais ocorrências. Segundo informações de uma organização sem fins lucrativos voltada para a defesa dos trabalhadores, a realidade dos acidentes na fábrica pode ser mais grave do que os relatórios sugerem, incluindo até casos fatais.

Este evento acontece em um período em que a empresa está intensificando seus esforços na robótica avançada, como demonstrado pelo lançamento de uma nova versão de seu robô humanoide. Prometendo mais agilidade e uma aparência mais humanizada, este robô simboliza o compromisso da empresa com a inovação. No entanto, o acidente recente ressalta a importância crítica de considerar a segurança e a ética na integração de tais tecnologias no local de trabalho, bem como a necessidade de transparência e precisão nos relatórios de incidentes.

Publicado em por

SENHA FRACA? DESCUBRA COMO ISSO AFETOU MILHÕES NA CRISE DA ORANGE ESPANHA

A Orange Espanha, uma das principais operadoras de telecomunicações do país, enfrentou um significativo contratempo na última quarta-feira (3) devido a um sofisticado ataque cibernético. Este incidente, caracterizado pelo desvio de rotas de internet, foi viabilizado por uma falha de segurança surpreendentemente simples: a utilização de uma senha básica, “ripeadmin”, para um sistema crítico.

O incidente foi um exemplo clássico de sequestro de BGP (Border Gateway Protocol), uma técnica maliciosa onde o tráfego de internet é desviado através de anúncios falsos de prefixos de IP. Isso geralmente exige acesso a um roteador estratégico que conecta diferentes sistemas autônomos, típicos de provedores de internet e operadoras de telecomunicações.

A brecha de segurança ocorreu quando um indivíduo, identificado apenas como “Snow”, conseguiu acessar a conta da Orange Espanha no RIPE NCC, a autoridade responsável pela coordenação dos registros de internet na Europa, Oriente Médio e partes da Ásia Central. Para efeito de comparação, na América Latina e Caribe, o órgão equivalente é o LACNIC.

Com esse acesso não autorizado, Snow alterou as rotas de internet da Orange Espanha ao criar novas ROAs (Route Origin Authorizations), que são basicamente certificados que designam quais sistemas autônomos ou IPs estão autorizados a transmitir dados globalmente. A situação foi temporariamente controlada, mas não sem consequências.

A manipulação de Snow resultou na emissão de ROAs não relacionadas à Orange Espanha. Isso ativou um mecanismo de proteção do BGP chamado RPKI (Resource Public Key Infrastructure), que alertou provedores de backbone para rejeitar esses novos anúncios. Contudo, essa medida, em vez de proteger, acabou funcionando inadvertidamente como um ataque DDoS (Distributed Denial of Service) contra a rede da operadora, causando uma redução significativa no tráfego e instabilidade para os usuários.

A empresa de segurança cibernética Hudson Rock sugeriu que a senha pode ter sido comprometida através de malware. Curiosamente, o email e a senha usados no sistema do RIPE NCC foram encontrados em uma lista de credenciais vazadas, uma prática comum entre cibercriminosos para coletar informações.

Snow, por outro lado, alegou ter descoberto as credenciais por acaso, enquanto procurava dados de bots em vazamentos públicos. A hacker chegou a zombar da situação em uma publicação no X (antigo Twitter), oferecendo-se sarcasticamente para “corrigir” a segurança da conta da Orange Espanha.

Em resposta ao incidente, a RIPE NCC iniciou uma investigação e restabeleceu o controle da conta para a Orange Espanha, além de recomendar enfaticamente a todos os seus membros a adoção de autenticação de dois fatores como medida de segurança adicional. Este evento serve como um lembrete crucial da importância de práticas robustas de segurança cibernética em um mundo cada vez mais interconectado.