Skip to main content

Boas práticas de segurança

 

1.O que você precisa saber para não cair em Phishing?

É de conhecimento geral que a Segurança da Informação (SI) deixou de ser um assunto exclusivo do setor de TI, a responsabilidade pelos dados de uma empresa e a disponibilidade de sistemas é de todos os colaboradores.

Existem diversas boas práticas que podem ser adotadas para mitigar riscos na SI, um deles é a conscientização sobre ataques Phishing.

O fraudador tenta “pescar” senhas, números de documentos, dados de acesso, endereços e com o objetivo de obter vantagens financeiras.

Para não sermos “fisgados” existem alguns cuidados que devemos tomar ao receber um e-mail.

  • Não confie apenas no nome do remetente: Sempre verifique se o e-mail do remetente está correto, analisando principalmente o sufixo do e-mail “empresa.com.br”;
  • Erros gramaticais no corpo do e-mail: São um forte indício de e-mails maliciosos;
  • Em e-mails com links incorporados: Apenas passe o mouse em cima para verificar se a URL do link parecer estranha, não clique;
  • Não abra anexos: De e-mails suspeitos.

2. Engenharia Social – O que é e como se proteger?

Quando falamos em segurança da informação, não se trata apenas de sistemas seguros, controle de senhas, ou antivírus. O usuário é sempre o elo mais fraco na cadeia de vulnerabilidades que podem ser exploradas por um cyber criminoso.

A engenharia social é a arte de explorar este ponto manipulando o psicológico do usuário, normalmente o induzindo a abrir brechas em sistemas de segurança, entregar informações confidenciais, entre outros objetivos.

Existem vários cuidados que devemos ter para nos prevenir deste tipo de ataque.

  • Cuidado com o Descarte de Lixo / Conteúdo nas Mídias Sociais: Informações descartadas, ou postadas nas mídias sociais são muitas vezes o bastante para um criminoso dar início ao processo de engenharia social;
  • Abordagem (Pessoal, Telefone ou E-mail): Sempre tomar cuidado com pessoas solicitando dados pessoais ou da empresa, o criminoso pode se passar por fornecedor, cliente ou até mesmo familiares ou conhecidos;

Antes disso verifique se essa pessoa é mesmo quem ela diz ser.

Se possui autorização para fazer uma requisição de informações.

Se é de fato um colaborador atual, se precisa ser realizado um escalonamento interno, ou abertura de chamado sobre a requisição.

  • Cuidado com solicitações urgentes: Os criminosos querem sempre que você haja primeiro e pense depois induzindo-o ao erro;
  • Seja cético e menos ingênuo/confiante: Com relação a solicitações e ofertas que recebe. Se algo parece ser bom demais para ser verdade, é porque provavelmente é.

3. Riscos na utilização de redes Wi-fi públicas

A disponibilização do Wi-Fi em locais públicos é comum no dia a dia, estamos acostumados com este serviço de Internet gratuito na maioria dos locais, seja através de uma rede aberta ou solicitando a senha para se conectar. A prática se torna ainda mais comum em nosso cenário atual, trabalhando em home office.

Um tipo comum de ataque é o Man-in-the-middle, que significa “homem no meio”. O atacante cria um Wi-Fi público e consegue interceptar todo tráfego de rede de suas vítimas. Além de redes públicas falsas, as redes Wi-Fi verdadeiras caso não sejam seguras o suficiente também abrem brecha para este e outros tipos de ataque.

Evite conectar-se em redes abertas, principalmente à trabalho onde o risco de exposição de dados é maior. Caso decida conectar-se, é aconselhável usar a internet apenas para visitar sites que não necessitem de credenciais como portais de notícias por exemplo.

Não acesse seu internet banking, e-mail, redes sociais, ou outras aplicações que necessitem de credenciais e procure configurar o seu dispositivo para que não conecte-se automaticamente em redes abertas disponíveis.

Utilize múltiplo fator de autenticação sempre que disponível nas plataformas de serviços que acessar.

O Multifator de autenticação, ou MFA, reduz a probabilidade de ter sua conta ou sistema invadido, pois para autenticar são necessários dois ou mais elementos de autenticação. Geralmente incluindo usuário e senha com o fator adicional de:

  • Chamada de voz;
  • SMS (mensagem de texto);
  • Token físico ou virtual;
  • Biometria;
  • Perguntas de autenticação;
  • Autenticador da aplicação;
  • Verificação de login.

Hoje em dia a maioria das plataformas de serviços oferecem esse recurso, sempre que disponível recomendamos a sua utilização.

ciberseguranca, cybersecurity, phishing