O novo meio de pagamento Pix entra em vigor para facilitar as transações bancárias dos cidadãos como também acende a luz de oportunidades aos cibercriminosos. Não que o aplicativo seja inseguro, ao contrário, as instituições financeiras são aquelas que mais investem em segurança da informação, com proteções fortes. Infelizmente, os ataques continuarão a ser voltados ao elo mais fraco, o usuário. Por isso, a conscientização cada vez mais intensa se faz necessária. A seguir, Fernando De Falchi, gerente de Engenharia de Segurança da Check Point Brasil traz dicas valiosas para aumentar a segurança nas transações com o Pix.
Observamos que a quantidade de aplicativos tende a crescer, com renovação e inovação, criando um espectro maior da superfície de ataque. Entretanto, o cuidado e a atenção deverão se voltar ao usuário, pois o principal vetor de ataque continuará sendo o e-mail, com técnicas de engenharia social e golpes de phishing. Mas, vemos também que o SMS volta com certa força como mais um vetor de ataques.
Um dado relevante no Brasil é o de que, nos últimos seis meses, 90% dos arquivos maliciosos no país foram distribuídos via e-mail, sendo que o arquivo do tipo .doc foi o predominantemente adotado (67,6%) nos ataques.
No segmento móvel, os atacantes têm buscado novos vetores de infecção ao mudar e aprimorar suas técnicas para evitar a detecção em locais como as lojas oficiais de aplicativos. Em um ataque inovador, atacantes usaram o sistema de gerenciamento de dispositivos móveis (MDM) de uma grande corporação internacional para distribuir malware para mais de 75% de seus dispositivos móveis gerenciados.
No mês de outubro, o Hiddad foi o malware móvel classificado em primeiro lugar na lista mensal de Top Malware, seguido por xHelper e Lotoor. O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Já o xHelper é um aplicativo Android malicioso usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado. Enquanto o Lotoor é uma ferramenta de invasão que explora vulnerabilidades no sistema operacional Android para obter privilégios de root em dispositivos móveis comprometidos.
Não bastasse as ameaças móveis, a segurança aos dispositivos mereceu mais atenção nesta ano, com a pandemia do Coronavírus, em razão da migração em massa para o home office, com esses dispositivos móveis ainda mais conectados às redes corporativas. Assim, uma quebra na segurança móvel pode causar um grande impacto em toda a infraestrutura de TI de uma empresa, levando à interrupção de atividades, à perda de receitas, perda e vazamento de dados e, até mesmo, a problemas de reputação da marca.
Por todo este cenário, para quaisquer transações financeiras, incluindo o novo meio de pagamento PIX, é fundamental que o usuário crie o hábito de seguir dicas básicas de segurança para não cair nas técnicas e golpes dos atacantes, garantindo sua proteção. No computador, uma simples técnica para verificar os links e sites é colocar o cursor sobre a URL para verificar grafia e digitação do nome da organização. No dispositivo móvel ou no smartphone, evitar clicar em links recebidos, mesmo de pessoas conhecidas.
A lista de dicas para manter a segurança em suas transações com o Pix!
Manter o sistema operacional e os aplicativos atualizados: atualizar sempre para assegurar que as versões mais recentes do sistema operacional no dispositivo, bem como dos programas e aplicativos, estão instaladas. Pois, em geral, elas contêm as últimas atualizações de segurança aplicadas.
Evitar conectar-se a redes de Wi-Fi públicas: estes tipos de conexões não são protegidas e colocam em risco os dados, visto que podem ser facilmente ameaçados por meio de ataques do tipo Man-in-the-Middle. Por isso, é importante manter desligada a funcionalidade de “conexão automática” no dispositivo móvel.
Limitar os downloads de aplicativos a fontes de confiança: fazer o download e instalar qualquer tipo de programa proveniente de outras fontes pode colocar em risco a privacidade da informação corporativa, bem como a integridade do dispositivo.
SEMPRE efetuar um backup: No caso de uma quebra de segurança móvel, de um ataque de malware móvel deixar os dados inacessíveis ou, simplesmente, em razão do roubo ou perda do dispositivo, o impacto da perda de dados deve ser minimizado por meio da recuperação das informações pelo backup.
Prevenir o mobile phishing: O relatório sobre phishing de marca (Brand Phishing Report) da Check Point concluiu que os smartphones são o alvo preferencial dos cibercriminosos, pois 23% dos ataques ocorridos durante o primeiro trimestre de 2020 foram direcionados a dispositivos móveis. Evitar clicar em links duvidosos ou em arquivos que possam levar ao download de malware.
Navegar somente em sites seguros: Quando visitar um site, a partir de um dispositivo móvel, é preciso se certificar de que há um certificado de segurança SSL (procurar pelo HTTPS antes do nome do domínio), o qual codifica a comunicação entre usuários e sites. Os cibercriminosos já aproveitaram o novo meio de pagamento para criarem sites falsos de cadastramento das chaves do PIX, cujos links foram enviados por SMS, redes sociais ou por e-mail.
Verificar se as compras online de produtos são de uma fonte confiável e autêntica: Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails e, em vez disso, procurar no Google (ou no site de busca de sua preferência) a loja online desejada e clicar no link na página de resultados.
Desconfiar e ter cuidado com as ofertas “especiais”: Como “Uma cura exclusiva para o Coronavírus por US$ 150”, geralmente, não é uma oportunidade de compra confiável. Não há cura definitiva no momento (vacinas ainda estão sendo testadas) para o novo Coronavírus e, mesmo que houvesse, isto definitivamente não seria oferecido por e-mail.
Ter cuidado e analisar minuciosamente domínios semelhantes: Erros de ortografia em e-mails ou sites e remetentes de e-mail desconhecidos.
Esta lista de orientações pode parecer longa, mas trata-se de ações que aos poucos se tornarão hábitos no nosso dia a dia. Requer dedicação, atenção e atitude correta por parte do usuário para garantir sua segurança pessoal e aos seus dados pessoais.
* Fernando De Falchi, gerente de Engenharia de Segurança da Check Point Brasil.
