Entrevista especial com Yago Morgan, especialista em segurança digital
22 de agosto de 2024Yago é advogado, especialista em Direito Empresarial pelo IBMEC em parceria com a Loyola University. Membro do IAPP – Internacional Association of Privacy Professionals, possui vasta experiências em projetos de governança de dados, tendo atuado como DPO de empresas como a R2 Produções e na administração pública na Universidade Municipal de São Caetano do Sul. É Lead Implementer da ISO 27001 pela ABNT e possui MBA em Cobersegurança pela FIAP.
- Quais são os principais riscos de segurança digital que as pessoas geralmente subestimam?
São diversos os riscos, de forma que não há como cravar um único. O risco de prejuízo financeiro é o mais perceptível e possivelmente o que causa maior impacto. Isso porque, mesmo que sejam analisados demais riscos, como risco reputacional, risco de negócio, ou outros, em alguma medida vamos convergir em algum momento para prejuízo financeiro.
2. Muitas vezes, focamos nos ataques mais conhecidos, mas há ameaças sutis que podem ser igualmente perigosas. Como os cibercriminosos exploram a engenharia social para obter acesso a informações pessoais?
Por meio da engenharia social, criminosos utilizam informações sobre a vida íntima da vítima para transparecer, no momento do golpe, ser uma pessoa conhecida, e assim estabelecer um vínculo de confiança com a vítima, até chegar ao ponto de concretizar o crime.
Um exemplo do uso de engenharia social para prática de golpes, é quando o criminoso entre em contato com vítima se passando por uma instituição bancária, durante o contato o criminoso utiliza elementos que vão criar na cabeça da vítima o sentimento de estar falando com aquela instituição financeira, por exemplo, utilização mesma padrão de linguagem e a confirmação de alguns dados. Usualmente, o criminoso na própria ligação busca extrair da vítimas novas informações que vão enriquecer a narrativa do golpe, e aprofundar o vínculo de forma que a vítima perca o discernimento sobre estar falando com aquela instituição bancária, ou com a organização criminosa.
3. A engenharia social é uma tática comum. Como podemos nos proteger contra ela?
Conscientização é o tópico central quando falamos de engenharia social. Instruir a população sobre como identificar indícios de uma possível fraude. Empresas e governo devem empreender esforços massivos para conscientizar a população em relação a essas práticas e como evitá-las.
Um ato simples como explicar que Bancos, por exemplo, não fazem ligação de seus call centers para tratar sobre problemas de cartão de crédito como transações negadas, ou mesmo, informando que o Banco não solicita o recolhimento de cartões cancelados em sua residência, já trás um impacto positivo no combate a essas fraudes.
4. Quais são os perigos de compartilhar informações pessoais em redes sociais e aplicativos de mensagens?
O compartilhamento de informações pessoais em redes sociais, de maneira indiscriminada, pode vir a alimentar criminosos com informações que podem ser utilizadas para prática de fraudes, com o uso de técnicas de engenharia social.
Para que se tenha mais claro, imagine que um criminoso que tenha informações sobre quem são seus familiares (pai, mãe, irmãos), podem vir a usar isso na tentativa de golpes, onde ao utilizar dessas informações seja criado um vínculo de confiança entre o golpista e a vítima.
5. As redes sociais são um terreno fértil para vazamento de dados. Como equilibrar a conveniência com a privacidade?
O ponto mais importante no equilíbrio entre conveniência e privacidade, é a transparência. A partir do momento que o usuário tem transparência em relação a quais dados e como esses dados são utilizados pelas gestoras das redes sociais, é o próprio usuário quem decide se aquela conveniência é o bastante, em troca de seus dados.
Para isso, as instituições devem escrever suas políticas com linguagem mais simples, acessível, utilizar de recursos gráficos, dentre outras técnicas, para assegurar que o usuário de fato tenha conhecimento sobre esse conteúdo, e que o consentimento para utilização dos dados é realmente um consentimento esclarecido.
6. Por que a segurança de dispositivos IoT (Internet das Coisas) é tão crítica?
Segurança de uma maneira geral é um assunto crítico. Os dispositivos IoT não são mais vulneráveis dos outros tipos de devices, mas em alguma medida tem um potencial lesivo maior. Ou seja, em eventuais cenários de incidentes de segurança, pode ser que o usuário sofra danos em uma escala maior quando comparado com algumas outras tecnologias.
De maneira geral é importante se atentar aos dados que são coletados para utilização desse tipo de tecnologia, e também se preocupar com as conexões de rede onde tais dispositivos estão instalados. Isto porque, o uso de redes não seguras, ainda que domésticas, na conexão com este tipo de dispositivo pode vir a tornar o ambiente vulnerável a ataques externos.
7. Os dispositivos conectados estão em toda parte, mas muitos são vulneráveis. Como podemos proteger nossas casas inteligentes?
a) escolher dispositivos de fabricantes confiáveis, já testados e amplamente reconhecidos pelo mercado;
b) Usar senhas fortes e únicas;
c) Adotar padrões de rede que tornem o ambiente seguro. A segmentação da rede doméstica, criando um ambiente exclusivo para conexão desses devices, é uma boa prática que deve ser adotada.
d) Revise e gerencie permissões, limite o acesso a informações e funcionalidades apenas ao que for absolutamente necessário;
e) Conscientize os membros da casa sobre como manter uma navegação segura, como proteger suas credenciais de acesso (logins e senhas); e,
f) desconecte dispositivos não utilizados, e mantenha todos os dispositivos sempre na versão mais atualizada de seus softwares.
Ao seguir essas práticas, você pode fortalecer significativamente a segurança da sua casa inteligente e proteger seus dados e privacidade contra possíveis ameaças.
8. Quais são os riscos de usar redes Wi-Fi públicas e como podemos minimizá-los?
Usar redes Wi-Fi públicas pode expor os usuários a diversos riscos de segurança como:
a) Redes Wi-Fi falsas: Atacantes podem configurar redes Wi-Fi com nomes similares às redes legítimas para enganar os usuários e roubar seus dados;
b) Distribuição de Malware: Redes públicas podem ser usadas para injetar malware em dispositivos conectados, especialmente se esses dispositivos não estiverem adequadamente protegidos;
c) Acesso a Dispositivos Pessoais: Conectar-se a uma rede pública pode expor seu dispositivo a outros usuários na mesma rede, que podem tentar acessar arquivos e informações pessoais.
Como minimizar os riscos:
a) Use uma VPN (Rede Privada Virtual): Uma VPN criptografa todo o tráfego entre seu dispositivo e a internet, protegendo seus dados contra a interceptação. É uma das maneiras mais eficazes de se proteger em redes públicas;
b) Evite Transações Sensíveis: Evite acessar contas bancárias, fazer compras online ou realizar outras atividades sensíveis enquanto estiver conectado a uma rede pública;
c) Esqueça a Rede Após o Uso: Após usar uma rede pública, “esqueça” a rede em seu dispositivo para evitar conexões automáticas no futuro;
d) Use Autenticação Multifator (MFA): Ative a autenticação multifator em contas importantes para adicionar uma camada extra de segurança, mesmo que suas credenciais sejam comprometidas.
9. Redes Wi-Fi em cafés e aeroportos são convenientes, mas também são alvos fáceis para ataques. O que fazer?
Evite utilizar redes públicas. Não sendo possível, quando estiver navegando por meio de redes públicas evite utilizar aplicativos bancários, ou acessar sistemas que tenham informações sensíveis suas ou de sua empresa.
Práticas como manter seus softwares atualizados, com as configurações de segurança ativas, uso de antimalwares, utilização de softwares autênticos, são boas práticas que vão tornar sua navegação mais segura em qualquer ambiente.
10. Como a conscientização sobre phishing pode evitar que caiamos em armadilhas online?
É a mesma lógica que foi explicada quando falamos sobre engenharia social. Quanto mais cientes estão os usuários sobre como identificar esse tipo de golpe, menores as chances desses usuários se tornarem vítimas.
11. O phishing continua sendo uma ameaça significativa. Como identificar e evitar e-mails e mensagens falsas?
O phishing ainda é uma ameaça presente no cotidiano, mas já não é tão utilizada como em outros tempos. Isso tem haver com a eficiência desse tipo de abordagem, que já não trás tantos resultados para as organizações criminosas, quanto às práticas mais recentes que envolvem engenharia social, que por serem mais personalizadas, são práticas que deixam as vítimas mais vulneráveis e consequentemente tornam-se mais rentáveis para essas organizações criminosas.
YM Security