Ciberataques vazaram mais de 1 bilhão de dados das empresas em 2014

Os profissionais de segurança da informação vivenciaram os piores cenários em 2014.  Pesadelos se tornaram reais e o futuro, aparentemente, guarda um cenário tão assustador quanto o já visto até então. Violações de dados que foram notícia nos últimos meses continuarão este ano. 

A natureza dos ataques de cibercriminosos está mudando, de acordo Gemalto. Cada vez, hackers buscam roubo de identidade, o que torna mais difícil ações de barrar ou travar os atacantes. Outro ponto apontado pela provedora de ferramentas de segurança aponta para um número impressionante. 

De acordo com um relatório anual, os 1,514 incidentes de violação tornados públicos em 2014 expuseram e comprometeram mais de 1 bilhão de registros. Proporcionalmente, isso representou um aumento de 78% em relação ao ano anterior.

A Gemalto coleta dados a partir de fontes públicas e, apesar de eventuais lapsos, acredita que seu relatório reflete o que, de fato, está acontecendo no mundo em termos de segurança. "As leis de notificação de violação não mudaram dramaticamente", disse Tsion Gonen, diretor de estratégia de identidade e proteção de dados da Gemalto. 

Mega violações se configuram em uma dura realidade. Ataques comprometeram dezenas de milhões de registros de grandes empresas como  Home Depot (109 milhões de registros violados), eBay (145 milhões) e JP Morgan Chase (83 milhões).

O roubo de identidade foi responsável por 54% dos ataques, superando em até 20% o volume de 2013.  Gonen observa que o aumento é reflexo do sucesso de empresas de serviços financeiros em parar rapidamente crimes de acesso financeiros, como fraude de cartão de crédito. 

Códigos maliciosos foram responsáveis por 55% dos incidentes de violação. A segunda maior fonte de brechas toca erro humano (25% dos casos), que incluem temas como perda de dispositivos e dados não criptografados. 

Gonen acredita que 2014 será lembrado como um ponto de inflexão da segurança. Na sua opinião, conscientização é mais necessária do que nunca para que o cenário não fique pior do que já está. 

Fonte: IDG NOW!

Read More

Perda de dados custa às empresas brasileiras US$ 26 bilhões em 12 meses

Companhias tiveram 17 horas de tempo de inatividade inesperado no período, o que acarretou consequências perda de receita e atrasos no desenvolvimento de produtos

A perda de dados e tempo de inatividade custou aproximadamente US$ 26 bilhões às empresas brasileiras no último ano. Mundialmente, o montante foi de US$ 1,7 trilhão. É o que apontou um estudo encomendado pela EMC, que indica que 62% dos profissionais de TI do Brasil não confiam integralmente em sua capacidade de recuperar informações após um incidente. 

Além disso, 61% das organizações não têm plano de recuperação de desastres para cargas de trabalho emergentes; e apenas 4% têm planos para big data, nuvem híbrida e dispositivos móveis. De acordo com o levantamento, “nenhuma das organizações do Brasil são 'Líderes' em proteção de dados; 9% são 'Adotantes'; 91% estão desatualizadas”, informa a fabricante. 

Apesar de o número de incidentes estar em queda, o volume de dados perdidos por incidente cresce exponencialmente. De acordo com o estudo, 59% das empresas pesquisadas passaram por perda de dados ou tempo de inatividade nos últimos 12 meses. 

Na média, as empresas tiveram 17 horas (mais de dois dias de trabalho) de tempo de inatividade inesperado no período, o que acarretou consequências perda de receita e atrasos no desenvolvimento de produtos. 

Segundo a pesquisa, empresas com três ou mais fornecedores perderam quase cinco vezes mais dados em comparação com as que têm estratégia de um só fornecedor. 

"As empresas com três fornecedores também tenderam a gastar, em média, US$ 15 milhões a mais na infraestrutura de proteção de dados, em comparação com as que têm apenas um", informa o relatório.

O EMC Global Data Protection Index, realizado pela Vanson Bourne, pesquisou 3,3 mil responsáveis por decisões de TI de médias a grandes empresas em 24 países entre agosto e setembro de 2014. 

Fonte: COMPUTERWORLD

Read More

Um novo ataque secretamente vincula um malware a downloads de softwares legítimos

Imagem via Shutterstock / lolloj

Uma equipe de pesquisadores da Universidade Ruhr, em Bochum, na Alemanha, criou um novo tipo de ciberataque no qual o código malicioso pode ser enviado em paralelo com um download de software legítimo sem a necessidade de mudança de nenhum código.

O novo ataque se liga a softwares de código aberto, já que há menos códigos de assinatura e checagens de integridade nesses downloads. Ele é incomum no fato do código não ser injetado no software, e sim vinculado a ele. Os pesquisadores explicam o que isso significa:
"Como a aplicação original não é modificada, há a vantagem do código malicioso poder ser de um tamanho maior, e assim ter mais funcionalidades. Assim, ao iniciar a aplicação infectada, o malware é iniciado. Ele analisa o arquivo em busca de mais arquivos executáveis embutidos, reconstitui e executa eles, opcionalmente de forma invisível para o usuário."
Uma pessoa que use tal técnica precisaria apenas controlar um único ponto de rede entre o servidor do download e o cliente - o que significa que engenharia social simples ou redirecionamento de rede podem ser o suficiente para fazer isso se tornar realidade. E a técnica de vinculamento, que significa que o arquivo original não é alterado, significa que ele não se torna suspeito.

Mas há esperança. Os pesquisadores dizem que VPNs e HTTPS podem ser usados para detectar esse tipo de atividade suspeita que os sistemas atuais de detecção de malware não conseguem detectar. E lembre-se, por enquanto isso é apenas um projeto de pesquisa. Por enquanto.

Fonte: MSN

Read More

10 dicas para fugir de golpes na hora de fazer compras online

Os mais comuns, segundo ele, são aqueles que usam páginas falsas de lojas online. Nelas, as vítimas são estimuladas a digitar informações e dados do cartão, como se estivessem fazendo uma compra legítima – de um produto que acabam nunca recebendo.

Esse aumento nos golpes é estimulado não só pelo crescimento ocasionado pelos feriados, mas também pela expansão do mercado de e-commerce brasileiro como um todo. Segundo uma pesquisa recente da E-Bit, só no primeiro semestre de 2014, o setor cresceu 26% em relação ao mesmo período do ano passado, com faturamento batendo a marca dos incríveis 16 bilhões de dólares, alta de 21% em relação a 2013.

A tendência é que esses números cresçam ainda mais, empurrados especialmente pelo aumento nas compras feitas em dispositivos móveis. E como o aumento deve atrair ainda mais a atenção de cibercriminosos, é bom saber como identificar e fugir de golpes. Então, com uma contribuição da McAfee, fizemos um resumo com 10 dicas para ajudar você. Confira as sugestões a seguir.

1 - A empresa de segurança recomenda nunca acreditar logo de cara em ofertas “boas demais para ser verdade”, algo que já foi reforçado por um executivo da AVG aqui. Se a promoção aparece no site de uma loja que você não conhece, “verifique sempre o endereço físico e o número de telefone” da empresa, para não acabar enganado por um fantasma.

2 - Se esses dados apontarem para uma loja que realmente existe, vale procurar depois por avaliações de outros clientes “para verificar os antecedentes”, como escreve a McAfee. Sites como o ReclameAqui podem ser um bom ponto de partida para isso.

3 - Ainda que a oferta pareça estar no site de uma marca conhecida, tome cuidado. Erros ortográficos na descrição já são motivos para desconfiar de uma página falsa, clonada. E se você ainda notar fotos e logotipos em baixa resolução, alterações (mesmo pequenas) no endereço ali da barra superior, e falta de um HTTPS (o cadeado verde) na página da compra, fuja. Um “walmartfifa2014.com.br” não tem nada a ver com o “walmart.com.br” de verdade, como vimos em um exemplo recente.

4 - “É bom também sempre desconfiar das mensagens que chegam por e-mails de sites que você não costuma acessar”, diz Hyppolito. Esses anúncios de promoções não solicitados já costumam parar automaticamente na caixa de spam, o que é outro motivo para não botar muita fé nelas. Aliás, mesmo mensagens que chegam de remetentes conhecidos, com links ou anexos, não são 100% confiáveis – e o ideal mesmo é até checar com a pessoa se foi ela mesma quem enviou.

5 - Segundo a McAfee, é bom utilizar um cartão de crédito para efetuar o pagamento de uma compra online. “Eles oferecem melhor proteção contra fraude do que os de débito”, diz a empresa – e você pode cancelá-los antes que o dinheiro saia da conta. Ter um cartão separado só para isso, com limite baixo, ou usar serviços de pagamento online, como PagSeguro e BoaCompra, também são opções.

6 - Não faça compras em computadores públicos, que podem já estar infectados com algum malware. E evite também redes Wi-Fi abertas e desprotegidas, tanto no PC ou notebook quanto nos smartphones e tablets – elas são tentadoras, mas alguém pode muito bem interceptar o tráfego e ver o que você está fazendo no seu dispositivo.

7 - Na hora de criar uma conta em uma loja online, utilize senhas fortes, que sejam longas e combinem números, letras e símbolos. Se acha que corre o risco de esquecê-las, soluções como o LastPass, o KeePass, o Key ou o Vault servem como cofres e podem ajudar a mantê-las protegidas por combinação-mestra. Aliás, não programe o computador para memorizar essas palavras-chave – é melhor guardá-las com você. E o conselho vale também para números de cartões de crédito.

8 - É bom também ter um antivírus instalado na máquina utilizada. A solução pode detectar e barrar malwares que tentarem infectar o computador e atrapalhar na hora de fazer compras – e, em alguns casos, até alertar que o site em que você está é falso.

9 - A mesma sugestão também pode valer para smartphones e tablets, especialmente se você costuma baixar e instalar apps por fora das lojas oficiais – Google Play e Amazon App Store, no caso do Android. Como explica Hyppolito, como a adoção desses dispositivos acontece cada vez mais cedo, nem todos estão cientes dos riscos oferecidos por certas práticas – e ainda “deve levar alguns anos para que essa conscientização ocorra”.

10 - Por fim, fechada a aquisição, “guarde uma cópia do número do pedido e do recibo da compra e tome nota do cartão de crédito que foi usado”, recomenda a empresa de segurança.

Fonte: Info

Read More

Pai diz que jovem detido após briga no Facebook perdeu esperanças; fiança é de US$ 500 mil

Justin Carter, 18, se envolveu em uma discussão no Facebook por causa do jogo 'League of Legends'

Jack Carter, pai de um adolescente norte-americano detido por causa de um post no Facebook, afirmou que o jovem perdeu as esperanças, tem medo de não sair da cadeia, está deprimido e assustado. As declarações foram dadas à "CNN", após ser divulgada a informação de que Justin Carter, 19, está sob observação para não cometer suicídio.

Um juiz determinou fiança de US$ 500 mil (R$ 1,13 milhão) para o caso. Com um depósito de 10% do total (US$ 50 mil; cerca de R$ 113 mil), o jovem pode ser liberado e aguardar o julgamento fora da cadeira. "É ultrajante. Já defendi assassinos cuja fiança era de US$ 150 mil", compara o advogado Donald H. Flanary III, que fará a defesa sem cobrar por isso.

O jovem foi detido em 14 de fevereiro, então com 18 anos, e pode responder por ameaças terroristas. Se condenado, a pena chega a oito anos de prisão.

A detenção foi motivada por uma discussão no Facebook, em fevereiro, por causa do jogo "League of Legends". Justin Carter foi chamado de louco, perturbado e respondeu: "Verdade, sou perturbado da cabeça. Vou atirar em uma escola cheia de crianças e comer seus corações quando ainda estiverem batendo".

Na sequência, segundo o pai, o jovem usou as siglas LOL (laugh out loud) e JK (just kidding) para indicar que estava brincando.

Uma mulher do Canadá viu a postagem e não achou graça. Ao fazer uma busca no Google, ela descobriu que o antigo endereço do jovem ficava próximo a uma escola de crianças. A mulher então ligou para a polícia, fez uma denúncia e Justin Carter foi detido.

Defesa

À "CNN", Jack Carter disse que entende a necessidade de investigar uma declaração como aquela feita por seu filho, mas reforça a importância do "senso comum" em casos como esse. "Ele é um garoto bom, não quis dizer isso, foi uma brincadeira. Ele não machucaria ninguém, tem irmãos mais novos e se dá muito bem com crianças."

Seus pais, que acusam as autoridades de não terem investigado o caso antes da detenção, criaram uma petição online.

Nela, contam que Justin só foi interrogado até 13 de março de 2013 e, uma semana depois, houve um mandado de busca para sua casa. "Nenhuma arma de nenhum tipo foi encontrada. Se ele fosse mesmo uma ameaça terrorista, a polícia não deveria ter feito uma busca em sua casa antes de sua detenção completar um mês?", questiona o texto.

Fonte: UOL

Read More