Bússola — Edição #2

CyberTrends: Novas ameaças digitais usando o tema do Auxílio Emergencial do Governo Federal e encurtadores de URL.
Vuln0-Days: Atualizações dos produtos da SAP, Microsoft e Oracle.
Cyber Laws: Novidades da LGPD.

Coronavoucher:

Como já mencionamos anteriormente, qualquer assunto ligado ao tema Coronavírus é preferência entre os cibercriminosos.

Após anúncio da liberação do Auxílio Emergencial pelo Governo Federal, diversas iscas para atrair os usuários utilizando o tema, surgiram, o que foi intitulado de “Golpe do Coronavoucher”.

Tais iscas chegam por diversos canais, como WhatsApp, Telegram, SMS, e-mail, redes sociais e aplicativos falsos. Estes golpes tendem a fazer mais vítimas, pois ainda há um cronograma de pagamento do auxílio a ser cumprido e há um contingente de pessoas que ainda não o recebeu.

Diversos perfis em redes sociais também foram criados, a maioria com o objetivo “informativo”. Não foram identificadas atividades suspeitas nestes perfis, porém, já que estes não são perfis oficiais da Caixa Econômica Federal, pode-se haver algum propósito futuro, como também, a possibilidades de que os perfis estejam reunindo seguidores para vendê-los.

https://auxilio.caixa.gov.br/#/inicio e o aplicativo oficial se chama
Caixa | Auxílio Emergencial.

Uma boa prática na hora de buscar por informações legítimas, é sempre acessar o site oficial da Instituição, no caso http://www.caixa.gov.br, e lá, então, buscar pelo que procura. Muitas iscas se aproveitam de uma técnica chamada “search engine phishing”, onde os golpistas fazem seus sites falsos aparecerem no topo dos resultados das pesquisas nas ferramentas de busca, como Google, Bing, etc.

Nas lojas de aplicativos, para não cair em golpes, recomenda-se que os usuários fiquem atentos para quem desenvolveu e disponibilizou o aplicativo.

Não confie somente no nome do desenvolvedor exibido, clique e verifique outros aplicativos que também foram desenvolvidos e disponibilizados pelo mesmo desenvolvedor.

Por último, não confie em mensagens suspeitas que chegam com encurtadores de URLs. Como o nome sugere, o Encurtador de URL é usado com o propósito de reduzir um link para compartilhar em blogs, sites e redes sociais.

Isto é uma prática bem comum, principalmente em publicações, campanha de anúncios, e-mails, mensagens instantâneas, entre outros.

A partir destes serviços, é possível ter estatísticas monitorando a quantidade de acessos da URL, por exemplo. O Bitly é um dos encurtadores de URL mais conhecidos do mundo. Porém, os golpistas também gostam e se aproveitam desta prática.

Segurança não é fácil, nem para os gigantes da tecnologia.

A alemã SAP, empresa de softwares de gestão de empresa, corrigiu em abril, no seu Security Patch Day, 26 novas notas de vulnerabilidades em diversos de seus produtos. Um número surpreendente, comparado aos lançamentos feitos nas edições anteriores, desde 2018.

As vulnerabilidades são categorizadas em uma escala que possui os índices, hot news, high, medium e low, onde a categoria hot news é o nível mais alto de criticidade.

Nossa equipe de governança de ERM, gestão de risco empresarial, que apoia nossos clientes que usam SAP, produziu um artigo sobre esse assunto.

(Saiba mais aqui)

Microsoft Patch Tuesday

Toda 2ª terça-feira de cada mês, a Microsoft lança regularmente patches (correções de falhas) de software para seus produtos. Você pode acompanhar mensalmente estas correções através do nosso dashboard acessível aqui.

No Patch Tuesday de abril, foram corrigidas 113 vulnerabilidades, das quais 19 são críticas.

Três vulnerabilidades já estão sendo exploradas, ou seja, um atacante, utilizando-se de uma destas vulnerabilidades, está executando ações maliciosas, como por exemplo, a possibilidade de invadir um sistema.

Dessas três, duas já foram divulgadas anteriormente, quando eram “zero-days”, ou seja, vulnerabilidades identificadas e ainda sem correção, apenas com soluções de contorno, que a Microsoft havia divulgado no final de março. Saiba mais aqui.

Oracle Release

A Oracle, empresa multinacional de tecnologia dos Estados Unidos, famosa pelo desenvolvimento e comercialização de banco de dados, disponibilizou um conjunto de patches (correções de falhas) de segurança que corrige 405 vulnerabilidades em diversos de seus produtos. Todos as versões afetadas podem ser visualizadas aqui.

A empresa relatou que há a possibilidade de exploração remota em 286 destas vulnerabilidades, ou seja, um atacante pode executar códigos maliciosos em sua própria máquina para atacar um programa Oracle em execução em uma outra máquina.

Das nove vulnerabilidades que foram corrigidas em produtos da linha de Servidores de Banco de Dados, duas delas podem ser exploradas remotamente por atacantes e sem a necessidade de autenticação.

Caso utilize os softwares acima na sua empresa, recomendamos que aplique as correções o mais brevemente possível.

O Ministério Público Federal (MPF) publicou nota técnica em que defende que a Lei Geral de Proteção de Dados (LGPD) deve entrar em vigor em agosto de 2020, como previsto na própria Lei, e postergar para 21 de agosto de 2021 somente as sanções administrativas previstas no artigo 52, da referida Lei.

Defende, também, importância da instalação, o mais breve possível, da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, ambos órgãos que poderão contribuir para a densificação da regulação do uso de dados para fins de enfrentamento da epidemia, com observância dos princípios e regras da LGPD, contribuindo para a segurança jurídica das medidas adotadas pelo país que tenham repercussão na proteção de dados dos cidadãos.

O MPF acredita que o adiamento da entrada em vigor da LGPD, passa um recado negativo à comunidade internacional, que já está bastante avançada na aplicação da devida lei, e na grande importância desta para o momento de crise geral que atravessamos.

Leia nota completa aqui

blog.morphus

Blog de Conteúdo

blog.morphus

Blog de Conteúdo

Morphus Cybersecurity

Written by

Há 17 anos, tratando cibersegurança como ciência aplicada.

blog.morphus

Blog de Conteúdo