Principais ciberameaças para 2018

Vazamento de dados, engenharia social, redes de Wi-Fi abertas… Deixar a responsabilidade nas mãos dos usuários não é suficiente, é preciso criar políticas de segurança.

A segurança móvel está no topo da lista de preocupações das companhias e por uma boa razão: aproximadamente todos os funcionários agora rotineiramente acessam dados corporativos a partir de seus smartphones pessoais. E isso significa também que manter dados sensíveis longe das mãos erradas pode ser um quebra-cabeça difícil de ser resolvido. E as apostas, diga-se de passagem, são mais altas do que nunca: o custo médio de um vazamento de dados é de US$ 21,155 por dia, de acordo com um relatório do Ponemon Institute.

Enquanto é fácil focar no tema sensacionalista acerca das ameaças por malware, a verdade é que invasões do tipo são incrivelmente raras no mundo real. De acordo com uma estimativa, as chances de ser infectado com malware são menores do que ser atingido por um raio. Isso graças a natureza do malware móvel e as proteções inerentes construídas dentro dos sistemas operacionais móveis.

Mas os riscos de segurança móveis mais realistas estão em áreas facilmente negligenciadas, que só se espera que se tornem mais urgentes no próximo ano. Veja na lista abaixo quais são elas:

1. Vazamento de dados

O vazamento de dados é amplamente visto como sendo uma das ameaças mais preocupantes para a segurança corporativa à medida que avançamos para 2018. O que torna a questão especialmente irritante é que muitas vezes ele não é nefasto por natureza. Em vez disso, é uma questão de usuários, inadvertidamente, tomar decisões mal recomendadas sobre quais aplicativos podem ver e transferir suas informações.

“O principal desafio é como implementar um processo de verificação de aplicativos que não sobrecarregue o administrador e não frustra os usuários”, explica Dionisio Zumerle, diretor de pesquisa de segurança móvel do Gartner. Ele sugere recorrer às soluções de defesa de ameaças móveis (MTD) – produtos como o Endpoint Protection Mobile da Symantec, o SandBlast Mobile da CheckPoint e a zIPS Protection da Zimperium. Esses utilitários digitalizam aplicativos para um “comportamento de vazamento”, diz Zumerle, e pode automatizar o bloqueio de processos problemáticos.

É claro que mesmo isso não cobrirá sempre vazamentos que acontecem como resultado de um erro de usuário – algo simples como transferir arquivos da companhia em um serviço de armazenamento em nuvem pública, colando informações confidenciais no lugar errado ou encaminhando um e-mail para um destinatário não intencional. Esse é um desafio que o setor de saúde está atualmente lutando para superar. De acordo com o fornecedor de seguros Beazley, a “divulgação não intencional” foi responsável por 41% das brechas de dados relatadas por organizações de saúde nos três primeiros trimestres de 2017.

Para esse tipo de vazamento, as ferramentas de prevenção de perda de dados (DLP) pode ser a forma mais eficaz de proteção. Esse software foi projetado explicitamente para evitar a exposição de informações confidenciais, inclusive em cenários acidentais.

2. Engenharia social

A tática de enganar usuários é tão preocupante na frente móvel como é para computadores e ela continua sendo efetiva. Cerca de 90% das brechas de dados observados pela divisão Enterprise Solutions da Verizon são resultado de phishing, de acordo com o relatório Data Breach Investigations Report de 2017. Enquanto apenas 7% dos usuários caem em tentativas de phishing, é provável que os mesmos repitam o erro futuramente. A companhia estima que em uma organização típica, 15% dos usuários que caíram em uma campanha de phishing, serão enganados mais uma vez no mesmo ano.

Além disso, inúmeros pesquisadores sugerem que os usuários são mais vulneráveis ​​ao phishing em dispositivos móveis do que em desktops – em até três vezes, de acordo com um estudo da IBM, em parte porque um telefone é o local onde as pessoas são mais propensas a ver uma mensagem pela primeira vez. “Nós vemos um aumento geral na suscetibilidade móvel impulsionado pelo crescimento global da computação móvel [e] o crescimento contínuo dos ambientes de trabalho BYOD”, diz John “Lex” Robinson, estrategista de segurança da informação anti-phishing na PhishMe – uma empresa que usa simulações do mundo real para capacitar os trabalhadores no reconhecimento e resposta às tentativas de phishing.

Robinson observa que a linha entre trabalho e computação pessoal também continua embaçada. Mais e mais trabalhadores estão visualizando várias caixas de entrada – conectadas a uma combinação de trabalho e contas pessoais – em um smartphone, ele observa, e quase todos conduzem algum tipo de negócio pessoal online durante a jornada de trabalho. Consequentemente, a noção de receber o que parece ser um e-mail pessoal junto com mensagens relacionadas ao trabalho não parece ser nada incomum, mesmo que de fato se trate de uma fraude.

3. Interferência do Wi-Fi

Um dispositivo móvel é tão seguro quanto a rede através da qual está transmitindo dados. Numa época em que todos estamos constantemente nos conectado a redes públicas de Wi-Fi, isso significa que nossa informação muitas vezes não é tão segura quanto podemos assumir.

Quão significativa é essa preocupação? De acordo com pesquisa lançada pela empresa de segurança Wandera nesta semana, os dispositivos móveis corporativos usam Wi-Fi quase três vezes mais do que eles usam dados móveis. Quase um quarto dos dispositivos se conectou a redes abertas e potencialmente inseguras, e 4% dos dispositivos encontraram um ataque do tipo man in the midle – quando alguém intercepta maliciosamente a comunicação entre duas partes – no mês mais recente.

“Hoje em dia, não é difícil criptografar o tráfego”, ressalta Kevin Du, professor de informática da Universidade de Syracuse, especializado em segurança de smartphones. “Se você não tem uma VPN, você deixa muitas portas em seus perímetros abertos”.

Selecionar a VPN de classe empresarial certa, no entanto, não é tão fácil. Tal como acontece com a maioria das considerações relacionadas com a segurança, quase sempre é necessária uma compensação. “A entrega de VPNs precisa ser mais inteligente com os dispositivos móveis, pois minimizar o consumo de recursos – principalmente a bateria – é primordial”, ressalta o Zumerle da Gartner. Uma VPN eficaz deve saber ativar somente quando absolutamente necessário, ele diz, não quando um usuário está acessando um site de notícias, por exemplo, ou quando um usuário está trabalhando dentro de um aplicativo que é conhecido por ser confiável e seguro.

4. Dispositivos desatualizados

Smartphones, tablets e dispositivos conectados menores – comumente conhecidos como Internet das coisas (IoT) – representam um novo risco para a segurança corporativa em que, ao contrário dos dispositivos de trabalho tradicionais, eles geralmente não recebem garantias de atualizações de software. Isso é verdade, particularmente no Android, onde a grande maioria dos fabricantes é embaraçosamente ineficaz ao manter seus produtos atualizados. Tanto com atualizações do sistema operacional (OS) quanto com os pequenos patches de segurança mensais entre eles – e também com dispositivos IoT, muitos dos quais nem sequer são projetados para obter atualizações em primeiro lugar.

“Muitos deles nem têm um mecanismo de correção incorporado, e isso está se tornando cada vez mais uma ameaça nos dias de hoje”, diz Du.

Mais uma vez, uma política forte vai por um longo caminho. Existem dispositivos Android que recebem atualizações contínuas. Até que a paisagem de IoT se torne menos um cenário selvagem, cai sobre a empresa a responsabilidade de criar sua própria rede de segurança em torno deles.

5. Violações do dispositivo físico

Por último, mas não menos importante, é algo que parece bobo, mas continua a ser uma ameaça perturbadora e realista: um dispositivo perdido ou desatendido pode ser um grande risco de segurança, especialmente se ele não possui um PIN ou senha forte e criptografia de dados completa.

Considere o seguinte: Em um estudo do Ponemon Institute de 2016, 35% dos profissionais indicaram que seus dispositivos de trabalho não tinham medidas obrigatórias para garantir dados corporativos acessíveis. Pior ainda, quase metade dos entrevistados disse que não tinham senha, PIN ou segurança biométrica que guardavam seus dispositivos – e cerca de dois terços disseram que não usavam criptografia. 68% dos entrevistados indicaram que às vezes compartilhavam senhas em contas pessoais e de trabalho acessadas através de seus dispositivos móveis.

Fonte: IDG Now!

Idosos: as maiores vítimas dos cibercriminosos

idosos_riscosA humanidade está envelhecendo, consequentemente, o número de idosos online está aumentando. Hoje, quase 18% dos usuários do Facebook tem mais de 55 anos.

Decidimos tentar aprender um pouco sobre o que os idosos fazem na internet, se estão conscientes de ciberameaças, quais seus medos e o que os deixam alerta. Usamos uma pesquisa conduzida em agosto de 2016 com 12546 usuários de 21 países, com idades de 16 ou mais. Dos entrevistados, 13% eram mais velhos do que 55 anos: 7% tinham de 55 a 64 anos e 6% mais velhos que 65.

O que os idosos fazem online?

Bem, usuários mais velhos da internet fazem basicamente o mesmo que os jovens. Escrevem e-mails, por exemplo: 94% dos acima de 55 anos utilizam e-mail com frequência.

Um quarto usa apps de mensagens instantâneas e fazem chamadas de vídeo (o que inclui Skype e Hangouts). Mais de 60% com idade acima de 55 anos estão presentes nas mídias sociais, nas quais conversam com amigos, filhos e netos.

Pessoas idosas tendem a fazer compras online e usar ferramentas financeiras. Quase 65% visitam lojas online regularmente e realizam pagamentos com cartões de seus bancos. Quase 70% usam ferramentas de internet banking (relativamente alto, já que para todos os grupos essa porcentagem é de 59%). Mais de um terço dos idosos entrevistados reservam viagens, passagens e hotéis online.

Ao mesmo tempo, idosos caem com frequência em golpes de cibercriminosos e perdem dados, dinheiro ou os dois.

O que eles sabem sobre cibersegurança?

Infelizmente, pessoas acima de 55 anos em geral não são informadas a respeito de cibersegurança. Apenas um terço dos entrevistados já ouviu falar que é possível alguém espiar por sua webcam. Ao mesmo tempo, idosos utilizam dispositivos intensamente: um quarto dos pesquisados usa tablets e um terço smartphones, sendo dispositivos da Apple um sucesso nessa faixa etária.

Essas pessoas mais velhas sabem que computadores precisam de proteção -93% alegam utilizar antivírus em seus PCs Windows. Ao mesmo tempo, existe grande negligência no que diz respeito a proteção de outros dispositivos conectados. Mais da metade dos usuários idosos estão erroneamente confiantes de que computadores Apple não precisam de proteção.

O cenário não é melhor com smartphones. Apenas 52% das pessoas mais velhas do que 55 anos disse usar soluções antivírus para proteger seus dispositivos mobile. Infelizmente, para todas as faixas etárias, apenas 57% disse proteger seus dispositivos mobile.

E apesar do fato de que 75% dos idosos protegem seus dispositivos primários para o uso de internet com senhas, o mesmo não se estende para outros dispositivos conectados. Apenas três em dez usuários acima de 55 anos optam por configurações de privacidade rigorosas em mídias sociais e navegadores. Menos ainda (18%) desabilita aplicativos de geolocalização.

Achamos curioso que um quarto dos usuários mais velhos da Internet tendem a evitar sites populares como o Google e o Facebook, motivados pelo medo de compartilhar dados privados. Nesse aspecto, eles são duas vezes mais cuidadosos do que pessoas com idades entre 16 e 24 anos (desses, só 12% compartilham desse medo).

Apenas metade das pessoas mais velhas entrevistadas avalia o risco de transações online. A maioria dos idosos já ouviu falar dos vazamentos, de malwares que buscam dados e senhas, ou golpes online levando a perdas de dinheiro em potencial. Contudo, apenas 14% acredita que algo assim poderia acontecer com ele – a faixa etária é bem mais descuidada nesse aspecto do que os mais novos.

Ligue para seus pais

Muitos idosos sabem que não são exatamente os mais informados no que diz respeito a tecnologia e estão prontos para pedir por ajuda.

Membros mais novos da família também reconhecem que seus parentes mais velhos correm grande perigo. Mais da metade dos usuários mais jovens se preocupam com as vidas virtuais de seus pais, e quase dois terços estão preocupados com a de seus avós.

Os representantes de gerações mais velhas estão menos cientes de ciberameaças, e em geral tendem a ceder mais confiança, o que os tornam mais vulneráveis. Em muitos casos, não conseguem aproveitar todo o potencial de seus dispositivos, instalar softwares que precisam ou aplicar as configurações de segurança necessárias.

Tenha certeza de explicar o essencial no que diz respeito a navegar na internet para seus pais e avós. E claro, tome conta dos dispositivos deles e proteja-os com uma solução antivírus robusta.

Fonte: Kaspersky blog

Quase 20% dos internautas brasileiros não acreditam em ciberameaças

ciberameacasPesquisa realizada pela empresa de segurança digital Kaspersky Lab (em parceria com a B2B Internacional), mostra que 17% dos internautas brasileiros não acreditam que ataques cibernéticos são reais e acham que a ameaça é um exagero das companhias de segurança online. Com isso, eles deixar de usar proteções contra códigos maliciosos que se propagam pela internet.

De acordo com o mesmo estudo, mesmo as pessoas que aceitam que as ciberameaças são reais, nem sempre estão convencidas que precisam de proteção. De fato, somente 28% dos entrevistados no Brasil acreditam que possam ser objeto de ataques por cibercriminosos.

O relatório aponta ainda que quase um terço (27%) dos usuários no Brasil não estão preocupados com a possibilidade de que suas contas online possam estar comprometidas ou estão alheios a este risco. O mais importante é que isso não somente se aplica a páginas pessoais em sites de redes sociais, mas também a contas bancárias online, que poderiam entregar as finanças pessoais do usuário a um cibercriminoso. Muitas pessoas sentem que as perdas financeiras resultantes de ataques cibernéticos são pouco prováveis – 35% dos entrevistados desconhecem ou não estão preocupados com a possibilidade de tais perdas.

Wi-Fi também não é fonte de preocupações

Segundo os resultados da pesquisa, 18% dos entrevistados não estão conscientes que o uso de redes Wi-Fi públicas é arriscado, uma vez que os dados que trafegam nestas redes podem ser interceptados por cibercriminosos. A mesma proporção de usuários, 18%, está consciente desta ameaça, mas não acredita que deva se preocupar com isso. Ao mesmo tempo, 56% dos entrevistados utilizam redes públicas e 6% colocam suas informações pessoais em sites enquanto estão conectados por esse tipo de rede.

Os riscos

“As pessoas que pensam que estão seguras, porque os cibercriminosos não as atacariam ou não estariam interessados, simplesmente não entendem a natureza das ameaças online. Os criminosos não tendem a se concentrar em objetivos específicos, e tratam de obter quantas vitimas possível. Este é o motivo de porquê é muito arriscado utilizar Internet sem uma solução de segurança”, afirmou Elena Kharchenko, chefe de Administração de Produtos de Consumo da Kaspersky Lab.

Ouro fato que o internauta não percebe é que mesmo que ele não use o dispositivo para armazenar dados valiosos ou fazer transações financeiras, ele pode ser utilizado para fins escusos. Isso porque os cibercriminosos podem fazer uso de qualquer computador, smartphone ou tablet para convertê-lo em um bot (robô) que envie spam, para executar ataques DDoS ou enviar links de phishing por meio de mensagens instantâneas e e-mails.

Por fim, eles também não se dão conta de que tais perdas podem não necessariamente ser devidas ao roubo direto de dinheiro de suas contas bancárias. Uma infecção por malware também pode conduzir a gastos imprevistos, incluindo custos relacionados aos serviços de um especialista em TI, a reinstalação de software ou a indisponibilidade temporária de um dispositivo.

Agradecemos ao Davi e ao Paulo Sollo, amigos colaboradores do seu micro seguro, pela referência a essa notícia.

Fontes: SoftonicKaspersky