Aprendendo com as maiores ameaças de 2014

REGULAMENTOS TÉCNICOS

Os Regulamentos Técnicos, estabelecidos por órgãos oficiais nos níveis federal, estadual ou municipal, de acordo com as suas competências específicas, estabelecidas legalmente e que contém regras de observância obrigatórias às quais estabelecem requisitos técnicos, seja diretamente, seja pela referência a uma Norma Brasileira ou por incorporação do seu conteúdo, no todo ou em parte, também estão disponíveis aqui no Portal Target. Estes regulamentos, em geral, visam assegurar aspectos relativos à saúde, à segurança, ao meio ambiente, ou à proteção do consumidor e da concorrência justa, além de, por vezes, estabelecer os requisitos técnicos para um produto, processo ou serviço, podendo assim também estabelecer procedimentos para a avaliação da conformidade ao regulamento, inclusive a certificação compulsória. Você pode realizar pesquisas selecionando o produto “Regulamentos Técnicos” e informando a(s) palavra(s) desejada(s). Clique no link https://www.target.com.br/produtossolucoes/regulamentos/regulamentos.aspx

hackerA Avast! divulgou um resumo com a ideia de oferecer uma analise do que aconteceu para aprender a se proteger e não cometer os mesmos erros de novo. Até os usuários iCloud da Apple foram alvos dos cyber criminosos. Foi divulgado um resumo das ameaças que mais se destacaram em 2014, um ano muito ativo para o cyber criminosos.

Começando pelos ataques mais recentes e, depois, uma breve olhada em outros eventos importantes do ano passado que envolveram segurança. A ideia é ver o que aconteceu para aprender a se proteger e não cometer os mesmos erros de novo. Os comentários são de Lisandro Carmona, especialista em segurança da companhia.

Espionagem patrocinada pelo governo – Ao final de 2014 ocorreu o hackeamento mais publicado e destrutivo de uma grande companhia multinacional por outro país, a Coreia do Norte. O ataque à Sony Entertainment, ainda sob a investigação do FBI, resultou no roubo de 100 terabytes de dados confidenciais dos funcionários, documentos corporativos e filmes ainda não lançados. Foi um ataque à privacidade devido ao roubo de uma quantidade enorme de dados pessoais, mas também essencialmente uma chantagem: querendo silenciar algo que supostamente o governo da Coreia do Norte não teria gostava: o lançamento de A Entrevista, um filme que descreve uma tentativa de assassinato contra Kim Jong-Un. A maioria das reclamações contra cyber crimes patrocinados por governos em 2014 foram contra hackers da Rússia e China. Independentemente se foram patrocinados por pessoas ou pelo governo, estes hackers tentaram acessar informações secretas do governo dos Estados Unidos, militares ou de grandes companhias. Recentemente, hackers chineses patrocinados pelos militares espionaram o departamento de justiça norte americano.

Vazamento de dados – Além do vazamento da Sony, outras importantes empresas sofreram com o cyber crime, incluindo Home Depot, eBay, Michaels, Staples, Sally Beauty Supply e outras. Um número significativo destes vazamentos começou há meses ou anos, mas somente foram descobertos ou tornados públicos em 2014. Quase 110 milhões de dados foram roubados da Home Depot: o maior vazamento de um atacadista americano. Entre os dados estavam 56 milhões de números de cartão de crédito e 53 milhões de endereços de e-mail. O vazamento de dados do JPMorgan Chase impactou cerca de 80 milhões de norte-americanos, bem como 7 milhões de pequenas e médias empresas. Os cyber criminosos foram capazes entrar no sistema através do roubo da senha de um funcionário, uma cópia do vazamento da Target de 2013. Este vazamento é tido como um dos maiores em uma instituição financeira. O caso ainda está sendo investigando.

Malwares financeiros e de roubo de dados – O GameOver Zeus, chamado de o pior malware já criado, infectou milhões de usuários da internet em todo o mundo e roubou milhões de dólares obtendo dados bancários de computadores infectados. O trojan bancário Tinba utiliza uma técnica de engenharia social chamada spearfishing para atingir suas vítimas. A campanha via e-mail atingiu os clientes do Bank of America, do ING Direct e do HSBC, utilizando táticas de amedrontamento para levá-los a baixar o trojan que obtinha dados pessoais.
Hackers chineses atuaram uma e outra vez, atingindo com malware bancário os clientes dos bancos sul coreanos através de uma conexão VPN. Os clientes eram enviados a uma página muito parecida onde informavam suas senhas e informações bancárias aos cyber criminosos.

Vulnerabilidades dos programas – Muitos dos vazamentos que ocorreram em 2014 foram devidos a falhas de segurança nos programas, que os hackers souberam aproveitar muito bem. Os nomes que mais ouvimos foram o Adobe Flash Player/Plugin, Apple Quicktime, Oracle Java Runtime e Adobe Acrobat Reader.

Inúmeros novos ataques – Falhas em programas trouxeram dois nomes que causaram terror nos corações dos administradores de TI: Shellshock e Heartbleed. O Heartbleed aproveita-se de uma séria falha no protocolo OpenSSL. Ele permite que os cyber criminosos roubem as chaves de criptografia, nomes e senhas, dados bancários e outros dados privados e não deixa nenhuma pista de que foram roubados. O Shellshock acabou afetando mais da metade dos sites da internet. Hackers distribuíram malware em sites legítimos para obter dados confidenciais dos computadores infectados.

Ransomware – Outro nome que foi muito falado foi um grupo de malwares chamados ransomware, como, por exemplo, o CryptoLocker, e as suas variantes Cryptowall, Prison Locker, PowerLocker e Zerolocker. O mais disseminado é o Cryptolocker, que criptografa os dados de um computador e exige da vítima um resgate em dinheiro para fornecer a chave de criptografia.
Ransomware fez o seu caminho do Windows para o Android durante o ano passado, e a Avast criou o Ransomware Remover, um aplicativo para remoção do ransomware do Android que desbloqueia os arquivos criptografados gratuitamente. Fazer regularmente backup dos arquivos importantes é vital para evitar a sua perda para um ransomware.

Ataques à privacidade – Os usuários Mac ficaram chocados, as celebridades foram atingidas mortalmente e os fãs se deliciaram com as notícias sobre o hackeamento do iCloud que tornou públicas online numerosas fotos íntimas de famosas celebridades de Hollywood. A séria falha no serviço da nuvem iCloud foi conseguida através de métodos de força bruta contra as contas do iCloud.

Engenharia social – A arte do engano é um método de grande sucesso para os cibercriminosos. O ponto mais fraco na segurança é o usuário final e os hackers tiram vantagem de nós o tempo todo utilizando estratégias de engenharia social.

Phishing – Em um ataque de phishing ou despearphishing, hackers utilizam emails para enganar as pessoas e conseguir informações privadas, clicar nos links ou baixar malware. Um dos ataques mais famosos foi a falha na Target, na qual hackers conseguiram uma senha de rede de um vendedor terceirizado da Target, entraram na rede e comprometeram as máquinas dos pontos de venda em novembro de 2013.

Fraudes nas redes sociais – As redes sociais como o Facebook oferecem um ambiente perfeito para a engenharia social. Eles podem agitar, atrair a atenção dos usuários com conteúdo chocante, encorajar as próprias pessoas a compartilhar as fraudes. Estas fraudes vêm na forma de links para falsos vídeos que mostram pesquisas e sites falsos.

Exploit Kits à venda – No ano passado, o Laboratório de Vírus da Avast observou um aumento na atividade de malware disseminado através de exploit kits. Estes kits, geralmente à venda no mercado negro online, a deep web, permitem aos cibercriminosos desenvolver ameaças personalizadas para atacar alvos específicos. O código fonte do malware Zeus foi utilizado para desenvolver o Gameover e a rede Zeus Gameover foi utilizada para baixar e instalar o Cryptolocker.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

%d bloggers like this: