Seja um peixe esperto: Proteja-se contra ataques de phishing


Introdução

Cansado de ser fisgado? Siga as dicas abaixo e fique seguro!

Na era digital, a pesca de dados (phishing) se tornou uma ameaça constante, camuflada em e-mails, sites e redes sociais. Com técnicas cada vez mais elaboradas, os cibercriminosos enganam usuários desatentos, roubando informações confidenciais e causando prejuízos financeiros e emocionais.

Mas não tema! Com as dicas certas, você pode se tornar capaz de identificar e evitar as armadilhas virtuais. Neste blog, vamos te munir com as melhores estratégias para te transformar em um especialista em segurança online.

Seja cauteloso com e-mails

Desconfie de todas as mensagens: Analise com atenção o remetente, erros gramaticais e ortográficos, e senso de urgência. E-mails de bancos, lojas ou serviços online geralmente não contêm essa linguagem.

Verifique o endereço de e-mail: passe o mouse sobre o remetente para ver o endereço real. E-mails de phishing frequentemente usam endereços falsos que se assemelham a empresas legítimas.

Evite clicar em links: Em vez disso, acesse o site digitando diretamente o endereço na barra de navegação. Se o e-mail contiver um anexo, tenha cuidado ao abri-lo.

Não forneça informações confidenciais: Nunca forneça senhas, dados bancários ou outros dados pessoais por e-mail, mesmo que o remetente pareça legítimo.

Navegue na web com segurança

Mantenha o software atualizado: Instale as últimas atualizações do sistema operacional, navegador e antivírus para garantir que você tenha as proteções mais recentes contra phishing.

Use um navegador seguro: Navegadores como Chrome e Firefox oferecem recursos de segurança integrados para bloquear sites de phishing.

Tenha cuidado com sites falsos: Sites de phishing geralmente se parecem com sites legítimos, mas podem ter pequenas diferenças na URL ou no design. Verifique se o certificado de segurança do site está válido antes de digitar qualquer informação.

Desconfie de ofertas inacreditáveis: Se algo parece bom demais para ser verdade, provavelmente é. Tenha cuidado com ofertas que prometem produtos ou serviços gratuitos, ou com descontos inacreditáveis.

Outras medidas de proteção

Use senhas fortes e exclusivas: Crie senhas diferentes para cada conta online e evite usar informações pessoais facilmente adivinháveis.

Esteja atento às redes sociais: Golpes de phishing também podem ocorrer em redes sociais. Tenha cuidado com mensagens privadas ou publicações que solicitam informações pessoais ou que direcionam para sites suspeitos.

Denuncie sites e e-mails de phishing: Ajude a proteger a comunidade online denunciando sites e e-mails de phishing para as autoridades competentes. Avise seus contatos do WhatsApp, Telegram e redes sociais, para ficarem atentos.

Ative a autenticação de dois fatores: adicione uma camada extra de segurança às suas contas ativando a autenticação de dois fatores, que geralmente requer um código do seu telefone além da senha. Mas fique atento às atualizações dos atacantes também nesta medida de segurança, como apresentamos a seguir:

A autenticação de dois fatores e os desafios da IA

A autenticação de dois fatores (2FA) se tornou uma camada crucial de segurança para proteger nossas contas online. No entanto, um artigo recente da Kaspersky levanta preocupações sobre a crescente sofisticação dos ataques de phishing impulsionados por inteligência artificial (IA), que podem tornar a 2FA menos eficaz.

No artigo, "Quando a autenticação de dois fatores se torna inútil?", os especialistas da Kaspersky detalham como os cibercriminosos estão utilizando bots de OTP (senha de uso único) e técnicas de engenharia social para driblar a 2FA. Esses bots automatizados induzem as vítimas a revelar seus códigos OTP por meio de scripts e vozes personalizados, muitas vezes se passando por representantes de instituições confiáveis.

A IA torna esses ataques ainda mais perigosos, pois permite que os bots adaptem suas abordagens a cada vítima, aumentando as chances de sucesso. Além disso, a IA automatiza tarefas repetitivas, como discar números de telefone e pesquisar na web, tornando os ataques mais eficientes e em larga escala.

Embora a 2FA ainda seja uma medida de segurança valiosa, é crucial estar ciente das novas ameaças e tomar medidas adicionais para se proteger:

Fortaleça suas senhas: Utilize um gerenciador de senhas para criar senhas fortes e exclusivas para cada conta. Isso dificulta que os cibercriminosos obtenham suas credenciais iniciais, mesmo que consigam interceptar seu código OTP.

Fique atento a golpes: Tenha cuidado com emails, mensagens de texto ou ligações não solicitadas que solicitam seu código OTP. Nunca clique em links suspeitos ou abra anexos de remetentes desconhecidos.

Verifique a origem das chamadas: Se receber uma chamada telefônica não solicitada, mesmo que pareça ser de uma organização legítima, desconfie. Verifique o número de telefone e, se possível, entre em contato com a organização diretamente para confirmar a veracidade da chamada.

Proteja seu código OTP: Nunca compartilhe seu código OTP com ninguém, nem mesmo com representantes de suporte técnico. O código OTP é sigiloso e deve ser usado apenas para você acessar sua conta.

Considere alternativas à 2FA baseada em SMS: Opções como autenticadores de aplicativos ou chaves de segurança físicas podem oferecer maior segurança contra ataques de phishing, pois não dependem da entrega de códigos por SMS. 

Tokens físicos FIDO2/U2F (chave de segurança física)

Tópico acrescentado devido ao feedback de um especialista.

Uma chave de segurança física é um dispositivo de autenticação que ajuda a proteger suas contas online contra acesso não autorizado. Ela geralmente se parece com um pen drive ou um token USB. Quando você faz login em um serviço, insere a chave física em uma porta USB e pressiona um botão para confirmar sua identidade. Isso adiciona uma camada extra de segurança, pois mesmo que alguém tenha sua senha, não poderá acessar sua conta sem a chave física. É uma alternativa segura à autenticação por SMS ou aplicativos geradores de códigos.

Chave de Segurança FIDO da Yubico

Uma das soluções mais avançadas e seguras disponíveis no mercado é a chave de segurança FIDO da Yubico. Este dispositivo compacto e durável não apenas oferece uma segunda camada de proteção para suas senhas, mas também permite a autenticação sem senha.

Esta chave de segurança é compatível com portas USB-A e também possui tecnologia NFC (Near Field Communication). Isso significa que, uma vez registrada, você pode usá-la inserindo-a em uma porta USB-A ou simplesmente tocando-a em dispositivos e aplicativos Android e iOS compatíveis com NFC. Esta flexibilidade torna a chave ideal para uma ampla gama de dispositivos e ambientes de uso.

Este dispositivo é projetado para ser extremamente seguro e durável. É resistente à violação, água e esmagamento, garantindo que sua funcionalidade e integridade sejam mantidas mesmo em condições adversas. Essas características fazem da chave de segurança NFC uma opção confiável para proteger suas contas online contra phishing e tentativas de aquisição de contas.

A chave de segurança FIDO da Yubico oferece suporte a vários protocolos de autenticação, incluindo FIDO2, FIDO U2F e a capacidade Challenge-Response. Esses protocolos proporcionam uma autenticação forte baseada em hardware, essencial para proteger informações sensíveis e manter a segurança digital.

Cada site ou serviço tem suas próprias instruções para configurar uma chave de segurança. Geralmente, você encontrará essas instruções na mesma área onde gerencia sua segurança ou senhas. Uma vez configurada, a utilização é simples: insira a chave de segurança Yubico em uma porta USB-A e toque para obter acesso, ou utilize a autenticação por toque em dispositivos com NFC habilitado.

Yubico Chave de segurança – Autenticação de dois fatores, para portas USB-A e dispositivos móveis NFC compatíveis – Certificado FIDO U2F e FIDO2 – Compre na Amazon 

Você está pronto para navegar na internet sem medo?

Seguindo as dicas deste blog, você estará mais preparado para enfrentar os perigos do phishing. Mas lembre-se: a vigilância é a sua principal arma! Mantenha-se atualizado sobre as novas técnicas de phishing, esteja atento a qualquer sinal suspeito e nunca forneça informações confidenciais sem ter certeza da legitimidade do site ou da pessoa com quem está interagindo.

A internet é um mar de oportunidades, mas também um oceano de perigos. Navegue com segurança, proteja seus dados e aproveite ao máximo tudo o que o mundo online tem a oferecer!

Conclusão

Lembre-se, a segurança online é um processo contínuo. Mantenha-se informado sobre as últimas ameaças, implemente as medidas de proteção adequadas e esteja sempre vigilante ao interagir com o mundo digital. Seja um peixe esperto. Não morda a isca. Proteja-se contra ataques de phishing.

Para proteger seus contatos, envie esse artigo. Interaja com eles, perguntando se foram, de alguma forma, enganados.


Referências:

Blog Kaspersky. https://www.kaspersky.com.br/blog/when-two-factor-authentication-useless/22682/ Acesso em: 21/06/2024

Vídeos: 

Como Ter uma YubiKey Pode Salvar sua Vida Digital. The Tech Master Carl. https://www.youtube.com/watch?v=wCRzFrgJgI0

KEY-ID - PROTEÇÃO FÍSICA PARA SUAS CONTAS - FIDO - FIDO2. Denny Torres. https://www.youtube.com/watch?v=0FxL_plMRls

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Entrevista com Douglas Lockshield, Profissional de Cibersegurança

Imagem
Introdução Prepare-se para uma conversa imperdível! Hoje, o blog Mafra Security (MASEC) tem a honra de receber um verdadeiro mestre na arte de proteger o ciberespaço: Douglas Lockshield! Se você está pensando em trilhar uma carreira em cibersegurança, esta entrevista é o ponto de partida perfeito. Douglas compartilha sua jornada com uma clareza impressionante, oferecendo dicas práticas e valiosas para quem está começando. Cada resposta é uma bússola que aponta o caminho certo para o sucesso. Então, prepare seu bloco de notas e venha descobrir como um profissional de alto calibre constrói sua trajetória na cibersegurança. A entrevista foi cuidadosamente organizada por categorias, para que você absorva cada detalhe como um verdadeiro especialista. Vamos nessa? 1. Carreira e Experiência MASEC: Vamos começar pela trajetória. Como você iniciou sua carreira em cibersegurança? Quais foram os seus primeiros passos e desafios? Lockshield: Eu iniciei em cibersegurança na area técnica, gerencia...
Continue »

Inclusão: A Jornada Inspiradora de Juan Mathews na Cibersegurança

Imagem
 A pessoa com deficiência visual na área de cibersegurança Será interessante informar ao pessoal que enxerga,  que é possível pessoas com deficiência entrarem na área Cyber!  (Juan Mathews) Apresentação É com grande entusiasmo que apresentamos Juan Mathews Rebello Santos, um verdadeiro exemplo de superação e excelência no campo da cibersegurança! Juan é a primeira pessoa com deficiência visual a atuar como Analista de Help Desk na Metadados, destacando-se em áreas cruciais como Segurança da Informação, Blue Team, Threat Intelligence, e muito mais. Com mais de uma década de experiência em informática e uma paixão inabalável pela tecnologia, Juan acumulou um vasto conhecimento em sistemas operacionais como Windows e Linux, além de dominar o pacote Office e uma série de ferramentas Google e Microsoft. Entre suas qualificações, Juan é certificado pela Microsoft em SC-900 e AI-900, além de ser um Certified Network Security Practitioner (CNSP). Ele também possui formação acadêm...
Continue »

Gerenciamento de Identidade e Acesso: IAM

Imagem
Introdução O Gerenciamento de Identidade e Acesso (IAM, do inglês Identity and Access Management) é um conjunto de processos, políticas e tecnologias que facilita o gerenciamento de identidades digitais e controla o acesso a recursos de informação em uma organização. O IAM desempenha um papel crucial na segurança cibernética, especialmente para as equipes de defesa cibernética (Blue Team), responsáveis por proteger os sistemas e dados contra ameaças internas e externas. Este artigo aborda as principais responsabilidades e habilidades necessárias para profissionais que atuam com IAM no contexto de um Blue Team. 1. Provisionamento de Acesso O provisionamento de acesso envolve a criação, modificação e remoção de contas de usuário e suas permissões associadas. Este processo garante que os usuários recebam os níveis de acesso apropriados com base em suas funções e responsabilidades dentro da organização. Algumas atividades-chave incluem: Criação de Contas: Configuração de novas contas de u...
Continue »