Dataframe, Lda

Um dos tipos mais comuns de ameaça à segurança informática que as organizações enfrentam nos dias de hoje, são os ataques de identidade que são projetados para roubar as credenciais (o conjunto utilizador e palavra-passe (password)), usadas para validar, ou autenticar alguém, ou algo; o resultado, é um roubo de identidade informática.

Uma das formas mais frequentes de ataque de identidade, é um ataque de Phishing que ocorre quando um hacker, envia um e-mail que parece vir de uma fonte credível, normalmente o e-mail deve também conter uma história credível, instruindo o utilizador a entrar e a alterar a sua palavra-passe (password); em vez de ir a um site legítimo, o utilizador é direcionado para um site “falso”, onde os utilizadores inserem o nome de utilizador e a palavra-passe (password) que são capturados pelo hacker.

A forma de acesso ilegítimo aos dados do utilizador (o conjunto utilizador e palavra-passe (password)), normalmente podem ser conseguidos, de duas formas mais frequentes, ou levando o utilizador a seguir uma ligação (link) para o site falso (enviado no e-mail), ou então levando o utilizador a abrir um ficheiro anexo ao e-mail (que pode ser um ficheiro html, pdf, doc, xls, etc) que executa código malicioso, redirecionado os dados do utilizador e capturado a identidade.

De referir que embora muitos e-mail´s de golpes de phishing sejam mal escritos (com erros de linguagem) e fáceis de identificar, quando os utilizadores estão ocupados, ou cansados, cometem erros e são mais facilmente enganados; à medida que os hackers se tornam mais sofisticados, os seus ataques de phishing, com os respetivos e-mails tornam-se mais difíceis de identificar.

O presente artigo, deve-se a um recente envio de vários e-mail´s (diferentes), supostamente da AT (Autoridade Tributária – Finanças) Portuguesa (que acontecem com uma certa frequência), aqui ficam algumas pistas para estarmos mais atentos, utilizando estes casos concretos e muito recentes:

• Na maior parte dos casos, é fácil identificar, o remetente que se constata logo que não pode ter qualquer relação com a identidade de quem reivindica o envio do e-mail (nestes casos AT (Autoridade Tributária – Finanças)) (como na figura acima).

• A AT (Autoridade Tributária – Finanças) não contacta, por e-mail \ sms, em situações importantes, é por carta (por escrito, para a morada física do contribuinte).

• Em caso de dúvida (duvidar sempre) contactar a AT (Autoridade Tributária – Finanças), ou basta entrar no site da AT, tem uma secção de dívidas, Portal das Finanças (portaldasfinancas.gov.pt), o e-mail mencionava uma dívida fiscal (isto numa das versões do e-mail).

• O e-mail era enviado (em mais do que uma versão), para mais de um utilizador (N utilizadores), tinha múltiplos destinatários, facilmente visíveis no e-mail recebido (o que não faz qualquer sentido).

• Como de costume, tinhas bastantes erros de linguagem (de Português).

• Num dos casos (figura acima) continha um anexo, HTML (com código executável; bastava gravar o ficheiro anexo, para o desktop, fazer rename como .txt e abrir com o notepad, num PC). PS1 Com efeito, NUNCA, mas NUNCA, abrir ficheiros de fontes não confirmadas (especialmente word, excel, pdf e html). PS2 Em caso de dúvida, contactar fisicamente quem enviou o ficheiro.

• No caso de um link enviado no e-mail, normalmente basta passar o rato por cima do link e verificar que não é um link do site original, ou pode sempre sob o link copiar a ligação (botão do lado direito do rato e fazer Copiar ligação, por exemplo para dentro do Notepad e verificar qual o link a seguir).

Resumindo, nunca abrir anexos, nem seguir links, de e-mail duvidosos e sem confirmação prévia de autenticidade.

MUITO IMPORTANTE: No e-mail original, podem sempre serem analisados, os headers (nos casos em que não é percetível, ou existem dúvidas do remetente), vendo as propriedades do e-mail, quem foi a verdadeira origem do e-mail, sobre o assunto pode ler o artigo seguinte GMAIL, OUTLOOK, APPLE MAIL AND MORE: HOW TO VIEW HEADERS IN EMAIL .

Sobre os referidos e-mail´s, pode também consultar, por exemplo os artigos “Atenção Problemas com os seus impostos”. Autoridade Tributária alerta para novo email de phishing” (27 Dezembro 2022), ou “Phishing attacks are increasing and getting more sophisticated. Here’s how to avoid them” (7 Janeiro 2023).

Se possuir uma solução como o Trend Micro Worry-Free Business Security, ou a versão na nuvem (cloud) Trend Micro Worry-Free Services (para proteger os seus utilizadores, se abrir o anexo, ou seguir o link, mas de referir que poderá não ser o suficiente, por isso tenha sempre o máximo cuidado); a Dataframe é Bronze Partner, da Trend Micro, estando habilitada a comercializar e a implementar a mais recentes soluções de segurança informática.

As proteções também podem ser implementadas ao nível da rede local, para isso podemos utilizar por exemplo, os Draytek Vigor Firewall Router & VPN Concentrator que possuem um serviço Draytek Web Content Filtering (da Cyren), muito económico e eficaz; para mais detalhes, veja o nosso artigo O que é a Filtragem de Conteúdo da Web (WCF – Web Content Filtering)? .

Data da última atualização: 9 de Janeiro de 2023

Autor: Paulo Gameiro – Dataframe (General Manager)


Sobre o assunto, poderá também ter interesse, nos nossos artigos seguintes:

Os tipos de ameaças informáticas mais comuns …

Ideias simples sobre Identidade (utilizadores, palavras-passe (password)) e Autenticação …

Segurança básica na Internet (regras básicas)

O que é a Filtragem de Conteúdo da Web (WCF – Web Content Filtering)?

A capacidade para proteger o património, os recursos, os ativos e os dados de uma organização, contra violações e ataques de segurança informática é um desafio permanente e de crescente dificuldade. O aumento do trabalho remoto, criou ainda mais oportunidades para os cibercriminosos explorarem, dificultando a tarefa das organizações em protegerem-se, tornando esse desafio cada vez mais complexo.

Por isso, ter um conjunto de ferramentas padrão, resilientes, robustas e de fácil operação, para poder a ajudar a mitigar e a prevenir essas ameaças, torna-se cada vez mais critico. Para isso a indústria de segurança informática, desenvolveu os conceitos de Security Incident and Event Management (SIEM), Security Orchestration Automated Response (SOAR) e eXtended Detection and Response (XDR).

Security Incident and Event Management (SIEM) – A gestão de incidentes e eventos de segurança, normalmente será materializada, por uma ferramenta que a organização usa para recolher dados de toda a organização, incluindo infraestrutura, hardware, software e outros recursos informáticos; faz depois análises, procura correlações, ou anomalias e gera alertas e incidentes de segurança informática. Pode também consultar o artigo What is SIEM? | Microsoft Security.

Security Orchestration Automated Response (SOAR) – A resposta automatizada de orquestração de segurança (SOAR), recebe alertas de várias fontes, como por exemplo um sistema SIEM (por isso, normalmente as funcionalidades de SIEM e SOAR estão integradas numa mesma plataforma). O sistema SOAR normalmente desencadeia então fluxos de trabalho e processos automatizados orientados por ação, para executar tarefas de segurança automaticamente que atenuam, ou resolvem o problema encontrado.

eXtended Detection and Response (XDR) – A deteção e resposta estendidas (XDR) é projetado para fornecer segurança inteligente, automatizada e integrada em toda o domínio da organização; pode ajudar a prevenir, detetar e responder a ameaças em identidades, dispositivos (endpoints), aplicações, e-mail, IoT, infraestrutura e plataformas de nuvem (cloud); de referir que uma ferramenta XDR usada, pode não cobrir todos os aspetos anteriormente referidos. Pode também consultar o artigo What is extended detection and response (XDR)? | Microsoft Security.

Os sistemas de Security Incident and Event Management (SIEM) e Security Incident and Event Management (SIEM), na maioria dos fabricantes estão integradas e são uma plataforma única, por exemplo a Microsoft, tem a plataforma Microsoft Azure Sentinel, neste caso uma solução nativa de nuvem (cloud).

Os sistemas eXtended Detection and Response (XDR), são por exemplo o Microsoft 365 Defender (para proteger os seus utilizadores finais), ou o Microsoft Defender for Cloud (solução para proteger infraestruturas multi nuvem (multi cloud)), ou por exemplo o Trend Micro Worry-Free Business Security, ou a versão na nuvem (cloud) Trend Micro Worry-Free Services (para proteger os seus utilizadores finais).

A Dataframe é Bronze Partner, da Trend Micro, estando habilitada a comercializar e a implementar a mais recentes soluções de segurança informática (como as referidas acima); fornecemos também todo o tipo de soluções Microsoft, tendo a Dataframe profissionais certificados, possuindo dezenas de certificações, entre elas a de Microsoft Certified: Azure Administrator Associate.

Data da última atualização: 12 de Dezembro de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

Com a crescente adoção pelas organizações, da utilização dos serviços na nuvem (cloud), é importante perceber quais as responsabilidades em termos de segurança informática, de cada uma das partes.

Nas organizações tradicionais, em que todos os sistemas informáticos, se encontram nos seus centros de dados; ou seja, em organizações que executam apenas hardware e software localmente (On-Premises Datacenter), a organização é 100% responsável pela implementação de segurança e a conformidade dos seus sistemas informáticos.

Com os serviços baseados na nuvem (cloud), a responsabilidade é partilhada entre o cliente e o fornecedor de serviços da nuvem (por exemplo, Amazon, Google, Microsoft ou outros). O modelo de responsabilidade partilhada, pretende identificar quais as tarefas de segurança que são tratadas pelo fornecedor de serviços da nuvem e quais as tarefas de segurança que são realizadas pelo cliente.

O modelo de responsabilidade partilhada, torna as responsabilidades claras; quando as organizações movem dados para a nuvem (cloud), algumas responsabilidades são transferidas para o fornecedor de serviços da nuvem e outras permanecem na organização do cliente.

As responsabilidades da cada uma das partes varia, dependendo de onde a carga de trabalho (workload) está hospedada:

● Software como Serviço (SaaS – Software as a Service)
● Plataforma como Serviço (PaaS – Platform as a Service)
● Infraestrutura como Serviço (IaaS – Infrastructure as a Service)
● Centro de Dados Local (On-Prem – On-Premises Datacenter)

A figura acima (para o caso Microsoft, como fornecedor de serviços da nuvem), ilustra as áreas de responsabilidade entre o cliente e o fornecedor de serviços da nuvem.

Centro de Dados Local (On-Prem – On-Premises Datacenter) – Para um centro de dados local, você (cliente) é responsável por tudo, desde a segurança física (acesso físico, ao centro de dados), até à encriptação dos dados sensíveis (segurança dos dados) (pode ver mais, no nosso artigo Modelo de Camadas, para a Segurança Informática).

Infraestrutura como Serviço (IaaS – Infrastructure as a Service) – De todos os serviços de nuvem (cloud), o IaaS é o que requer mais gestão por parte do cliente; com IaaS, você está usando a infraestrutura física de computação do fornecedor de serviços na nuvem e as outras responsabilidades permanecem na organização do cliente. O cliente da nuvem (cloud) não é responsável pela parte física (hardware e localização), como os computadores e a rede que o suportam, ou a segurança física do centro de dados. No entanto, o cliente da nuvem (cloud) ainda é responsável pelos componentes de software, como os sistemas operativos, o controlo da rede, aplicações e a proteção dos dados (entre outras responsabilidades). As Máquinas Virtuais na nuvem (cloud), encontram-se entre os serviços IaaS – Infrastructure as a Service (pode consultar também What is IaaS?).

Plataforma como Serviço (PaaS – Platform as a Service) – A PaaS fornece um ambiente para criar, testar e implementar aplicações de software; o objetivo é ajudá-lo a criar uma aplicação rapidamente, sem ter se preocupar em gerir a infraestrutura subjacente. Com PaaS, o fornecedor de serviços da nuvem gere o hardware (e localização) e os sistemas operativos, o cliente é responsável pelas aplicações e dados, tendo responsabilidades partilhadas nalgumas áreas. Os App Services (para mais informação pode ver, em App Service), encontram-se entre os serviços PaaS – Platform as a Service (pode consultar também What is PaaS?).

Software como Serviço (SaaS – Software as a Service) – O SaaS é alojado e gerido pelo fornecedor de serviços da nuvem, para o cliente; geralmente é licenciado por meio de uma assinatura mensal, ou anual. O SaaS requer o mínimo de gestão por parte do cliente da nuvem, o fornecedor de serviços da nuvem é responsável por gerir praticamente tudo, exceto dados (informação), dispositivos, contas e identidades. O Microsoft 365, Skype e Dynamics 365 são exemplos de SaaS – Software as a Service (pode consultar também What is SaaS?).

Para qualquer questão adicional, sobre serviços na nuvem, contacte-nos; a Dataframe tem profissionais certificados, como Microsoft Certified: Azure Administrator Associate .

Data da última atualização: 28 de Novembro de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

Presentemente as questões de segurança informática, são cada vez mais variadas, existindo diferentes tipos de ameaças, algumas visam roubar dados, algumas visam roubar identidades, algumas pretendem interromper as operações normais, outras visam extorquir dinheiro; o presente tópico, pretende analisar de forma muito abreviada, algumas das ameaças informáticas mais comuns.

Data Breach (Violação de Dados) – Uma violação de dados ocorre quando os dados são roubados, isso inclui dados pessoais; dados pessoais significam qualquer informação relacionados com um indivíduo que podem ser usados para identificá-lo de forma direta, ou indireta.
As ameaças de segurança mais comuns que podem resultar em violação de dados pessoais incluem Phishing, Spear Phishing, golpes de suporte técnico (Tech Support Scams), injeção de SQL (SQL Injection) e Malware projetado para roubar senhas, ou dados bancários. Caso pretenda saber um pouco mais sobre este assunto, poderá consultar em breve, o nosso artigo futuro Ataques de Identidade mais Comuns.

Brute Force Attacks (Ataques de Força Bruta) – Um ataque de força bruta, é um tipo de ataque de identidade em que um hacker tenta roubar uma identidade, tentando um grande número de utilizadores e senhas (password´s) conhecidas; cada senha (password), é testada automaticamente em relação a um nome de utilizador conhecido.

Ransomware – O Malware é um programa \ aplicação (código executável) projetado para se infiltrar, interromper o uso normal dos dispositivos, ou mesmo danificar um dispositivo, sem o consentimento informado do proprietário. O Ransomware é um tipo de malware que encripta as pastas e arquivos, impedindo o acesso legitimo aos arquivos; podendo também dar acesso não autorizado aos invasores, ou podendo permitir que eles usem os recursos do sistema, bloquear e impedir o seu acesso. O Ransomware muitas vezes tenta também extorquir dinheiro das vítimas, geralmente na forma de cripto moedas, em troca da chave de desencriptação. Caso pretenda saber um pouco mais sobre este assunto, poderá consultar o nosso artigo Ransomware como serviço: Como funciona e o que significa para os defensores.

Disruptive Attacks (Ataques Disruptivos) – O objetivo de um ataque de negação de serviço distribuído (DDoS – Distributed Denial of Service Attacks), é sobrecarregar os recursos das aplicações e servidores, tornando-os sem resposta, ou lentos para os utilizadores legítimos; um ataque DDoS geralmente terá como alvo qualquer ponto final (endpoint) público que possa ser acedido pela Internet (ou seja, tenha um IP público). Caso pretenda saber um pouco mais sobre este assunto, poderá consultar o nosso artigo DDoS – Distributed Denial of Service Attacks (Ataques Distribuídos de Negação de Serviço) .

Outras ameaças mais comuns incluem, por exemplo, Rootkits, Trojans, Worms e Exploits; caso pretenda saber um pouco mais sobre estes tópicos, poderá consultar o nosso artigo O que é um Vírus/Malware? .

Rootkits pretende intercetar e alterar os processos padrão, dos sistemas operativos; depois de um rootkit infetar um dispositivo, não podemos confiar em qualquer informação que o dispositivo relata sobre si mesmo.

Trojans são um tipo comum de malware que não se pode espalhar e replicar por conta própria; isso significa que eles têm que ser descarregados e instalados manualmente, ou outro malware precisa instalá-los. Os cavalos de Tróia (Trojans) costumam usar os mesmos nomes dos arquivos das aplicações originais e legítimas, por isso é fácil descarregar instalar acidentalmente um trojan pensando que ele é legítimo.

Worm é um tipo de malware que se pode copiar a si mesmo e geralmente se espalha por uma rede, explorando vulnerabilidades de segurança; ele pode-se espalhar através de anexos de e-mail, mensagens de texto, programas de partilha de arquivos, sites de redes sociais, partilhas de rede (share´s), unidades amovíveis e vulnerabilidades de software.

Exploits aproveitam as vulnerabilidades do software; uma vulnerabilidade, é uma fraqueza, ou uma falha, do seu software que o malware usa para entrar no seu dispositivo. O malware explora essas vulnerabilidades, para contornar os mecanismos de segurança normais do seu dispositivo e infetar o seu dispositivo.

Data da última atualização: 14 de Novembro de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)