A maioria das violações de dados podem ser evitadas

A esmagadora maioria das violações de dados em 2014 poderiam ter sido evitadas se as empresas afetadas tivessem aderido a uma dúzia de práticas de segurança, segundo um novo estudo do Online Trust Alliance (OTA).

Ao contrário do que se imagina, apenas cerca de 40% dos incidentes registrados no primeiro semestre do ano passado foram resultado de um elemento externo, sendo que as outras razões revelam causas ​​acidentais ou deliberadas de empregados (29%), dispositivos perdidos ou roubados (18%) e fraude de engenharia social (11%).

Embora as violações sejam vistas como quase que inevitáveis em alguns setores, o levantamento do OTA sugere tornar o gerenciamento de senhas uma prioridade na organização, sendo seguido de perto através da implementação de um projeto de rede de privilégios mínimos, garantindo a segurança em pontos vulneráveis e realizando testes de penetração regulares.

Outras recomendações incluem exigir autenticação de e-mail, tanto interno quanto externo, utilizar o gerenciamento de dispositivo móvel, monitoramento e logging centralizado, usar aplicativos de firewalls na web, bloquear a conectividade Wi-Fi, implementar Always On Secure Sockets Layer (AOSSL) e avaliar constantemente os certificados do servidor.

Esta é uma longa lista. A maioria das empresas vai empregar apenas algumas dessas medidas, mas poucos adotarão todas, especialmente o gerenciamento de senhas e controle de privilégio mínimo. Os endpoints e contas de usuários muitas vezes têm muito poder e alcance como a Sony Pictures recentemente descobriu quando uma única conta de administrador foi responsável por se infiltrar em sua rede e gerar consequências desastrosas.

As empresas estão sobrecarregadas com os crescentes riscos e ameaças, mas ainda assim, muitas não conseguem adotar conceitos básicos de segurança.

Educar empresas sobre os riscos que podem ocorrer em uma estrutura de redes vulnerável, é um trabalho contínuo, mas que ajuda a aumentar a consciência dos executivos sobre a seriedade da situação. Um sistema de gerenciamento de segurança da informação, quando combinado com outros controles, contribui para prevenir, detectar, conter e remediar violações de dados que podem custar a empresa prejuízos graves e irremediáveis.

Fonte: Crimes pela internet

Read More

Ciberataques vazaram mais de 1 bilhão de dados das empresas em 2014

Os profissionais de segurança da informação vivenciaram os piores cenários em 2014.  Pesadelos se tornaram reais e o futuro, aparentemente, guarda um cenário tão assustador quanto o já visto até então. Violações de dados que foram notícia nos últimos meses continuarão este ano. 

A natureza dos ataques de cibercriminosos está mudando, de acordo Gemalto. Cada vez, hackers buscam roubo de identidade, o que torna mais difícil ações de barrar ou travar os atacantes. Outro ponto apontado pela provedora de ferramentas de segurança aponta para um número impressionante. 

De acordo com um relatório anual, os 1,514 incidentes de violação tornados públicos em 2014 expuseram e comprometeram mais de 1 bilhão de registros. Proporcionalmente, isso representou um aumento de 78% em relação ao ano anterior.

A Gemalto coleta dados a partir de fontes públicas e, apesar de eventuais lapsos, acredita que seu relatório reflete o que, de fato, está acontecendo no mundo em termos de segurança. "As leis de notificação de violação não mudaram dramaticamente", disse Tsion Gonen, diretor de estratégia de identidade e proteção de dados da Gemalto. 

Mega violações se configuram em uma dura realidade. Ataques comprometeram dezenas de milhões de registros de grandes empresas como  Home Depot (109 milhões de registros violados), eBay (145 milhões) e JP Morgan Chase (83 milhões).

O roubo de identidade foi responsável por 54% dos ataques, superando em até 20% o volume de 2013.  Gonen observa que o aumento é reflexo do sucesso de empresas de serviços financeiros em parar rapidamente crimes de acesso financeiros, como fraude de cartão de crédito. 

Códigos maliciosos foram responsáveis por 55% dos incidentes de violação. A segunda maior fonte de brechas toca erro humano (25% dos casos), que incluem temas como perda de dispositivos e dados não criptografados. 

Gonen acredita que 2014 será lembrado como um ponto de inflexão da segurança. Na sua opinião, conscientização é mais necessária do que nunca para que o cenário não fique pior do que já está. 

Fonte: IDG NOW!

Read More

Perda de dados custa às empresas brasileiras US$ 26 bilhões em 12 meses

Companhias tiveram 17 horas de tempo de inatividade inesperado no período, o que acarretou consequências perda de receita e atrasos no desenvolvimento de produtos

A perda de dados e tempo de inatividade custou aproximadamente US$ 26 bilhões às empresas brasileiras no último ano. Mundialmente, o montante foi de US$ 1,7 trilhão. É o que apontou um estudo encomendado pela EMC, que indica que 62% dos profissionais de TI do Brasil não confiam integralmente em sua capacidade de recuperar informações após um incidente. 

Além disso, 61% das organizações não têm plano de recuperação de desastres para cargas de trabalho emergentes; e apenas 4% têm planos para big data, nuvem híbrida e dispositivos móveis. De acordo com o levantamento, “nenhuma das organizações do Brasil são 'Líderes' em proteção de dados; 9% são 'Adotantes'; 91% estão desatualizadas”, informa a fabricante. 

Apesar de o número de incidentes estar em queda, o volume de dados perdidos por incidente cresce exponencialmente. De acordo com o estudo, 59% das empresas pesquisadas passaram por perda de dados ou tempo de inatividade nos últimos 12 meses. 

Na média, as empresas tiveram 17 horas (mais de dois dias de trabalho) de tempo de inatividade inesperado no período, o que acarretou consequências perda de receita e atrasos no desenvolvimento de produtos. 

Segundo a pesquisa, empresas com três ou mais fornecedores perderam quase cinco vezes mais dados em comparação com as que têm estratégia de um só fornecedor. 

"As empresas com três fornecedores também tenderam a gastar, em média, US$ 15 milhões a mais na infraestrutura de proteção de dados, em comparação com as que têm apenas um", informa o relatório.

O EMC Global Data Protection Index, realizado pela Vanson Bourne, pesquisou 3,3 mil responsáveis por decisões de TI de médias a grandes empresas em 24 países entre agosto e setembro de 2014. 

Fonte: COMPUTERWORLD

Read More

Cibercrime: conheça as novas regras do jogo para empresas e usuários

Durante o evento Vision São Paulo 2014, realizado pela Symantec, a apresentaçãoInteligência nas Estratégias de "Cyber Security" reforça que o novo cenário do cibercrime pede aplicações e soluções de segurança que envolvam todo o ambiente de TI.  E, mais do que isso, exige o envolvimento de todos na empresa, incluindo as linhas de negócios.

A tendência do BYOD (Bring Your Own Device), permite às empresas terem mais flexibilidade para desenvolver novas oportunidades de negócios, sem falar no aumento na produtividade. Mas exige que todos os envolvidos entendam as novas regras do jogo para manter a segurança da informação, já que dispositivos digitais pessoais passam a circular com informações corporativas. 

O Relatório de Ameaças à Segurança na Internet 2014, elaborado pela Symantec, alerta que o número de campanhas avançadas e direcionadas à segurança de dados corporativos e pessoais praticamente dobrou desde 2013, tendo crescido 91%.

Ataques mais elaborados

Os cibercriminosos agora preferem gastar mais tempo elaborando ataques amplos que valem por dezenas de ataques menores.

O tamanho e escopo das violações cada vez mais comprometem as informações pessoais de consumidores – como números de cartões de crédito, prontuários médicos, senhas e contas bancárias. Segundo a pesquisa da Symantec, mais de 552 milhões de identidades foram expostas através de violações no ano passado.

“Uma violação enorme pode valer o equivalente a 50 ataques menores”, diz André Carraretto, especialista em segurança digital da Symantec. “Empresas de todos os tamanhos precisam reavaliar, repensar e possivelmente replanejar sua postura de segurança”, alerta o especialista.  E os usuários finais não devem ficar atrás. Confira, abaixo, as novas regras do jogo para corporações e consumidores

Para empresas

• Conheça seus dados: A proteção deve se concentrar na informação e não no dispositivo ou Data Center. Entenda onde residem seus dados sensíveis e por onde trafegam para ajudar a identificar as melhores políticas e procedimentos para protegê-los.

• Ensine os funcionários: Ofereça diretrizes sobre proteção de informações, inclusive com políticas e procedimentos da empresa para proteger dados sensíveis em aparelhos pessoais e corporativos.

• Adote uma postura forte de segurança: Fortaleça sua infraestrutura de segurança com prevenção de perda de dados, segurança de rede, segurança de endpoint, criptografia, medidas fortes de autenticação e defesa, além de tecnologias com base em reputação.

Para Consumidores

• Tenha um comportamento seguro: Escolha uma senha forte e mantenha seus aparelhos – inclusive smartphones e tablets – atualizados com o software de segurança mais recente.

• Fique atento: Revise extratos bancários e faturas de cartão de crédito em busca de irregularidades, seja cauteloso ao lidar com e-mails não solicitados ou inesperados e desconfie de ofertas online que parecem boas demais para ser verdade.

• Saiba com quem você trabalha: Familiarize-se com as políticas de varejistas e serviços online que podem solicitar suas informações bancárias ou pessoais. Como boa prática, visite o site oficial da empresa para compartilhar informações sensíveis.

Fonte: IDG NOW!

Read More

Ataque de phishing mira em usuários Apple com emails falsos de segurança

Os hackers por trás da botnet Kelihos lançaram uma campanha de emails falsos com alertas de segurança da Apple para explorar o medo dos usuários sobre os riscos de segurança nas contas online da empresa. O ataque de phishing foi identificado por especialistas da Symantec.

A botnet começou a disparar os emails, que se fazem passar por mensagens da Apple informando os usuários que uma compra foi feita com o uso da sua  Apple ID na loja iTunes. O email falso tem o título de "Pending Authorisation Notification" (Notificação de Autorização Pendente) e alegam que a compra foi feita usando um computador ou um dispositivo que não estava previamente associado à Apple ID do usuário.

A mensagem falsa pede ao usuário que clique num link se ele por acaso não fez a compra. O link leva a um site de phishing que está disfarçado de página de log-in da Apple ID e que acaba capturando as credenciais Apple dos mais desavisados ou ingênuos.

Segundo um post da Symantec, os emails estão sendo disparados de um endereço IP (Internet Protocol) que corresponde a uma localização física na cidade de Volgograd, na Rússia. O uso de alertas falsos de segurança como isca para phishing não é uma técnica nova, mas esse ataque em particular apareceu logo após o vazamento das fotos íntimas de celebridades que teriam sido roubadas de suas contas iCloud por hackers que conseguiram quebrar a senha e as perguntas de verificação de 101 celebridades.

A crise gerou uma resposta da Apple que anunciou ampliação das suas medidas de segurança e a implantação de sistemas de alertas para usuários via push ou email no caso de acontecerem mudanças nas suas contas iCloud.

"É possível que o timing da campanha de phishing não seja uma coincidência e que os controladores da botnet estejam tentando aproveitar ao máximo o barulho". diz a Symantec.

Fonte: PC WORLD

Read More

Hacker rouba 100 mil dólares de usuários de um ISP da Califórnia apenas com um simples SQL Injection

Recentemente um grupo hacker chamado "TeamBerserk" declarou no Twitter que roubou cerca de $ 100.000 dólares obtido através de usuários e senhas capturadas de um ISP californiano e usando essas informações para acessar as suas contas bancárias.

Um vídeo prova foi upado, mostrando como eles usaram SQL Injection contra o ISP para acessar o banco de dados que continha email, usuários e senhas em texto plano e usaram essas informações para roubar dinheiro dos clientes.

Vamos ver o que é SQL Injection e quão sério um ataque deste tipo pode ser. SQLi é uma vulnerabilidade encontrada em aplicações web onde o atacante pode injetar códigos SQL no banco e utilizar isso para acessar recursos internos. Usando esta técnica, hackers maliciosos podem determinar a estrutura do banco e comprometer e/ou baixar todos os dados dos servidores.

Eles levaram apenas 15 minutos para hackear o site com uma ferramenta chamada sqlmap, roubaram os dados e tiveram acesso imediato a contas de email, Paypal e internet banking.

É muito difícil lembrar de diversas senhas, por isso o que a maioria faz é usar a mesma em tudo. Sua senha do Facebook é a mesma do Twitter? E a do site do seu banco?

Agora já deve estar mais do que explicado porque esse tipo de falha é extremamente perigosa. No vídeo de prova de conceito, o atacante escolhei randomicamente um usuário e sua respectiva senha e tentou logar em diversos outros sites, entre eles PayPal, Gmail e CitiBank, e o mais impressionante é que ele conseguiu.

Agora que você já está ciente que ataques podem vir de qualquer lugar, não deixe isso acontecer, se você usa internet banking, compra pela internet, ou acessa outros dados sensíveis, o melhor a se fazer, pelo menos para dificultar é usar senhas difíceis e variadas para cada serviço.

Fonte: The Hacker News

Read More

Prejuízo mundial com crimes pela internet chega a US$ 113 bilhões

No Brasil, o custo individual após crimes digitais foi o maior do mundo.
Além dos computadores, novo foco dos golpistas são tablets e celulares.

Um Maracanã cheio já é muita gente. Agora, imagine que o número de vítimas de crimes virtuais no mundo é suficiente para encher 13 Maracanãs por dia - o que dá, ao todo, um milhão de pessoas.

Joana Carla Ramos, produtora de materiais, é uma delas. As senhas do cartão dela foram roubadas no site do banco e quase R$ 2 mil desapareceram da conta. “Aí começou a via sacra. Até agora, acho que foram seis protocolos e 25 dias úteis para eu conseguir o dinheiro de volta na conta”, ela conta.

Uma pesquisa feita por uma empresa de tecnologia mostra que o prejuízo mundial com crimes pela internet foi de US$ 113 bilhões no último ano. No Brasil, as perdas somaram R$ 18 bilhões e o custo individual foi o maior do mundo. As vítimas brasileiras tiveram um prejuízo médio de R$ 831,00, contra R$ 661,00 em outros países.

Os golpistas também estão roubando mais porque também se adaptaram às mudanças de hábito dos internautas. Além de computadores, eles passaram a invadir celulares e tablets e se aproveitam de descuidos básicos, como a falta de senhas e de softwares de segurança para dispositivos móveis.

Segundo o levantamento, 57% dos donos de smartphones no Brasil caíram em algum golpe. E a "novidade" na praça é o ransonware, ou o "sequestro" do dispositivo. O invasor invade o aparelho, bloqueia e pede dinheiro para liberá-lo.

O diretor da empresa responsável pelo estudo, diz que mudanças no comportamento podem evitar muitos problemas. "O brasileiro tem o costume de usar muito Wi-Fi público e, nesse momento, ele acaba não protegendo a sua conexão. Nesses casos, o que a gente recomenda é que, se o usuário vai precisar de uma internet pública, tentar não fazer uma transação bancária ou compra na internet. É melhor deixar para fazer isso quando estiver em uma conexão mais segura”, explica Beto Santos, diretor geral da Norton no Brasil.

Fonte:  Globo

Read More

Games online são playground para cibercrime, diz Trend Micro

Jogadores de games online precisam ficar atentos a uma série de medidas de precaução

São Paulo - Os jogos online são como um playground para o crime organizado. O vice-presidente de tecnologia e soluções da Trend Micro, JD Sherry, fez a afirmação ao comentar recente episódio em que o game League of Legends teve seu servidor norte-americano invadido por crackers.

Na ocasião, a segurança de diversos dados dos usuários, incluindo senhas encriptadas, foi comprometida.

"As plataformas para games têm milhões de usuários guardando informações importantes e códigos de acesso", disse Sherry ao site Polygon. "Esses dados são muito procurados pelo submundo do cibercrime, para venda de informação no mercado paralelo. Essas plataformas podem ser vítimas de ciberataques tanto quanto qualquer outro tipo de organização."

Para Sherry, a ascensão do modelo free-to-play (gratuito com microtransações) nos últimos anos beneficiou essa categoria de crime. A razão seria a criação de sistemas muito simples e práticos para comprar itens sem grande burocracia - algo que acaba facilitando os cibercrimes de forma colateral.

O executivo listou uma série de precauções que podem ser tomadas por todos os jogadores de games online para manter a segurança. São elas:

1) Sempre instale em seu PC as atualizações pedidas por programas ou pelo sistema operacional (Java, Windows, Adobe).

2) Mude suas senhas de sistema e de jogo com frequência (a cada três ou seis meses).

3) Se você notar atividade suspeita em sua conta, mude sua senha imediatamente.

4) Se possível, não armazene dados pessoais importantes, como endereço ou data de nascimento, que crackers possam usar em fraudes.

5) Se você tiver que usar uma forma de pagamento para participar do jogo, use cartão de crédito (não débito) e preferencialmente com número virtual.

6) Sempre use aplicativos de segurança para procurar por programas maliciosos que podem ter vindo pelo game.

7) Frequente fóruns dos games para ficar atualizado sobre problemas de segurança alertados pela comunidade.

8) Prefira cartões pré-pagos para microtransações.

Referências:

Read More

Trojan para Android rouba contas de usuários de mobile banking

A empresa de segurança eletrônica Kaspersky Lab recentemente descobriu um trojan, criado na Rússia, que rouba dinheiro das contas bancárias dos usuários clientes de mobile banking. Segundo analistas da companhia, a ameaça foi desenvolvida para executar comandos remotos emitidos por cibercriminosos. Apesar de não mandar nenhuma mensagem para números premium a partir do aparelho infectado, o trojan consegue furtar os dados do aparelho tais como registros de chamadas, código IMEI, SMSs enviados e recebidos, IDs de rede e outros dados, além de possuir a habilidade de interagir com serviços de mobile banking através de mensagens.

O cibercriminoso consegue comandar o aparelho de maneira remota para enviar SMS arbitrários, assim como configurar as chamadas recebidas e/ou filtros de mensagens que afetam os números de telefone específicos. Este conjunto de ferramentas é usado para verificar se o telefone está ligado a um serviço de mobile banking. Se o aparelho estiver conectado os hackers tentam invadir a conta e transferir o dinheiro da vítima.

O teste, conduzido na Rússia, mostrou que os criminosos tentam se certificar se o smartphone infectado está registrado no Sberbank, banco de varejo popular na região. Os proprietários de smartphones registrados podem movimentar suas contas bancárias por meio desses aparelhos. O banco solicita informações adicionais para liberar transferências, porém, todas as informações pedidas são facilmente obtidas pelos hackers no ataque. Com isso, eles também evitam que proprietário legítimo da conta perceba quaisquer mensagens suspeitas.

Hackers russos são famosos pelo desenvolvimento de esquemas e softwares inovadores. Após o teste inicial, esse cavalo de Tróia pode ser revendido para criminosos de outras regiões que utilizarão o mesmo esquema, efetivo em qualquer país ou banco contando apenas com o SMS para a emissão de instruções de pagamento. Para propagar oTrojan, os hackers usam o truque típico que infecta sites legítimos e redireciona os usuários a sites maliciosos oferecendo “atualizações do Flash Player”.

De acordo com o último relatório da Febraban existem hoje no Brasil mais de 3,3 milhões de usuários de mobile banking, e esse número vem crescendo a cada dia. “É natural que apareçam códigos maliciosos que tentem roubar usuários desses serviços”, afirma Fabio Assolini, analista de malware da Kaspersky no Brasil. “No momento temos registrado no país somente ataques de pragas que enviam SMS para números premium, porém é uma questão de tempo até que pragas mais avançadas como essa passem a ser usadas por aqui”, afirma o analista.

Para evitar ser vítima desse golpe siga algumas dicas básicas:

• Desligue a opção “Permitir a instalação de fontes desconhecidas” nas configurações de segurança;

• Prefira o Google Play, não utilize lojas de aplicativos de terceiros;

• Antes de instalar o novo aplicativo, verifique cada permissão solicitada e considere se é razoável;

• Verifique a classificação do aplicativo e o número de downloads. Evite aplicações com baixa classificação e pequena quantidade de instalações;

• Use proteção de segurança para seu Android.

A praga é detectada e bloqueada pelos produtos da Kaspersky com o veredito Trojan-SMS.AndroidOS.Svpeng.a.

Referências:

Read More