Ep. 04 Segurança Cibernética - Cenário nacional e dicas de prevenção

Salve, pessoal!

Nos primeiros posts, vimos alguns detalhes sobre como o Risco Cibernético pode ter impacto relevante na sua IF e demos um rápido overview sobre como as fraudes ocorrem.

Agora vamos ao que provavelmente mais interessa: Como se prevenir.

Antes de passar ao core do post, é preciso fazer mais uma rápida contextualização. Por diversos motivos relacionados principalmente ao custo Brasil, os bancos nacionais investiram pesadamente em Internet Banking no início dos anos 2000.

Isso conferiu ao Brasil uma larga dianteira em comparação ao restante do mundo quando analisados os aspectos capilaridade e diversidade. Durante os últimos dez anos, fomos reconhecidos como uma referência no desenvolvimento e implementação de produtos de banco eletrônico. Alguém que já tenha morado nos EUA ou Europa sabe que até hoje existem alguns serviços bancários que são feitos apenas presencialmente ou pelos correios.

Esse movimento fomentou a criação de uma "Jaboticaba Cibernética" conhecida como malwares bancários. O brasileiro, famoso por sua criatividade, passou a inventar e se utilizar das mais criativas ferramentas fraudulentas, cada qual com seu período de glória. Não e incomum que em congressos internacionais o Brasil seja citado como um caso a parte.

A existência desse ecossistema de "vírus" brasileiros é bastante relevante sob a ótica da eficácia das ferramentas de prevenção. Ao observarmos alguns resultados de "consultorias independentes" que avaliam os resultados dos softwares anti-vírus, podemos ser traídos pela falsa sensação de que eles são suficientes para nossa proteção. Veja o exemplo abaixo:


Disponível em: 
https://www.av-comparatives.org/tests/real-world-protection-test-july-november-2018/

O eixo X do gráfico contém alguns produtos de antivírus, enquanto o eixo Y expressa a eficácia média (%) de bloqueio em um teste com 1000 samples de "vírus". As linhas pretas em cada barra expressam os limites mínimos e máximos atingidos em cada período de tempo (mês entre julho e novembro) do experimento.

Olhando esses dados, somos tentados a acreditar que os três ou quatro melhores produtos garantem nossa segurança em níveis bastante razoáveis. Ocorre que esses testes são realizados usando amostras globais, capturadas "in the wild" em diferentes pontos da internet.

Quando realizamos o mesmo teste considerando o cenário brasileiro, os resultados podem ser bastante diferentes. Estudos realizados com samples exclusivamente brasileiros normalmente apontam para taxas de eficácia bastante menores, algo em torno de 80-90% de eficácia entre os melhores posicionados.

Infelizmente, estudos como esses são difíceis de serem encontrados. Quando publicados, são duramente questionados em relação à metodologia, aos samples utilizados e mesmo questões éticas e comerciais são levantadas pela poderosa indústria de softwares de segurança. Isso nos leva àquela antiga questão do poeta romano Juvenal:

Quis custodiet ipsos custodes?

Quem guardará os guardiões? Se temos acesso apenas aos estudos realizados por organizações acreditadas pela bilionária indústria dos antivírus, como garantir a isenção dos resultados? Acredito mais no senso comum: dez em cada dez profissionais de segurança de TI possuem ressalvas quanto à eficácia dos AV's.

Toda essa introdução foi para desmistificar a ideia de que ter um antivírus gratuito instalado no computador ou celular é suficiente para dormir tranquilo. Acredite, não é. Perceba que não estou aqui contraindicando seu uso, apenas frisando que, de per se, a ferramenta não passa nem perto de ser suficiente para o cenário nacional.

Bem, o que podemos então fazer?? aqui vão algumas sugestões bastante diretas de boas práticas, listadas na minha sequência de importância:


-----------------------------

1. Mantenha tudo atualizado, sempre.

Windows, Mac OS, Linux, Android.... Seja lá qual for o seu Sistema operacional, mantenha-o up to date. Sim, é um saco baixar 500MB de atualização toda vez que reiniciamos o windows, mas é melhor fazer. O mesmo vale pra Java, para os mil produtos da Adobe, Office, navegadores, etc.

Melhor mesmo seria NUNCA usar windows para movimentações financeiras, mas esse é assunto para outro post.

2. Só tenha aquilo que é indispensável

Cada pequeno software ou aplicativo que você instala é uma potencial porta de entrada. Mantenha  no celular, computador ou tablet apenas aquilo que de fato você usa. 

3. Senha é escova de dentes 

Jamais empreste pra ninguém e troque-a a cada 3-6 meses. (precisa dizer que não é pra deixar anotada debaixo do teclado nem salvá-las em um aquivo chamado senhas.txt?)

4. Cuidado onde você anda

Assim como na vida real, a chance de você se meter em problemas aumenta quando você está no lugar errado, na hora errada. P2P, torrent, deep web, sites para baixar produtos piratas, etc. são análogos às "quebradas" da cidade onde não devemos transitar.

5. Não use redes corporativas

O pessoal de TI da sua empresa provavelmente sabe mais da sua vida do que você imagina. Ler os e-mails corporativos e vasculhar seu histórico de navegação da internet faz parte das obrigações dessa equipe. Recuperação de senha da corretora usando o endereço corporativo é um bom exemplo de comportamento extremamente inseguro e que acontece toda hora.  Salvar planilhas, saldos, extratos e comprovantes financeiros no servidor de arquivos também e lugar-comum.

6. Não use redes públicas, NUNCA

Wifi de aeroporto, free internet zone de cafeteria, shopping, etc?? Furada total. Esquece tráfego criptografado, aquela história do cadeado no navegador... Tudo isso é vulnerável a alguma forma de ataque. Se der, acesse assuntos financeiros apenas em casa. Falando em casa...

7. Cuide do seu wifi doméstico

Especialmente se você mora em prédio ou qualquer área densamente povoada, cuide do seu roteador. Limite os dispositivos que podem se conectar à rede, esconda o SSID, use senhas fortes, criptografia forte, desligue o modem/roteador quando estiver fora,  etc. Existem dezenas de tutoriais na internet.

8. Cuide da sua discrição

Nada detém um atacante motivado. Caso você se mostre um alvo compensatório, eventualmente pode atrair a sanha de um "profissional" capacitado. Nesse esteio, evite comentar detalhes sobre sua vida financeira com quem não tem necessidade de conhecer e resista à tentação de postar nas redes sociais aqueles símbolos de status  que te identificam como "o cara da grana". (Aliás, delete hoje mesmo todas as suas redes sociais).

-----------------------------

Essas recomendações devem ser suficientes para mitigar os riscos e torná-lo um pouco mais blindado contra esses tipos de ataque. Obviamente, existem níveis diferentes de necessidades de segurança e as medidas devem ser implantadas de acordo com cada caso.

Se você já é FIRE e identifica alta criticidade na segurança da sua vida financeira-digital, recomendo níveis mais altos de precaução, envolvendo máquinas virtuais, firewalls pessoais, dispositivos dedicados ao Internet banking, etc. Como esse é um assunto pra lá de complexo, deixo os comentário à disposição para quem quiser se aprofundar em algum tema.

Ab's!

AdV


Comentários

Postar um comentário

Postagens mais visitadas deste blog

Ep. 02 Segurança Cibernética - Como ocorrem as fraudes?

Dando sequência a nossa série, passo a explicar como acontecem as fraudes eletrônicas, citando alguns exemplos. É importante ter em mente que existem diferentes níveis de ataque, começando por ataques genéricos, distribuídos quase que a esmo pela internet e culminando em campanhas focadas em grupos ou mesmo em indivíduos. Como o assunto é árido, bastante técnico e complexo, vou tentar simplificar as coisas o máximo que puder. Começarei dos Golpes mais óbvios e genéricos e irei avançando pelo critério da complexidade. 1. " Phishing Scam " A palavra phishing surgiu da contração das palavras " password phishing ", numa tradução livre, "pesca de senhas". Esse tipo de ataque é baseado no que se convencionou chamar de  Engenharia Social , técnica que explora as fragilidades do ser humano (vaidade, ganância, curiosidade, etc.) para a obtenção de informações. O exemplo mais clássico são aqueles e-mails que você recebe avisando que a "sua
Leia mais

Geoarbitragem - Proposta de um método objetivo

Imagem
Grandes amigos, bom dia! Geoarbitrage (geoarbitragem em pt-BR) é um conceito usado para descrever situações onde o aspecto geográfico assume papel preponderante na tomada de uma dada decisão. O termo foi abordado pelo Tim Ferris em seu clássico "Trabalhe 4 horas por semana" e passou a ser buzzword na época em que o estilo de vida "nômade digital" virou moda. No contexto financeiro e de qualidade de vida, a geoarbitragem é uma habilidade que precisa ser desenvolvida por quem almeja atingir algum estágio de liberdade financeira, notadamente para quem já está chegando na fase de desaceleração. Tenho alguma experiência nisso. Por conta da carreira, já precisei mudar de cidade dentro do Brasil quase uma dezena de vezes e, pelo menos para mim, os meses que antecedem as decisões sobre " se " e " para onde " mudar são sempre períodos de grande agitação. Quem já foi confrontado com esse dilema sabe bem como fica nossa cabeça. Ao longo dos d
Leia mais