Dicas Gerais de Segurança Opinião do Especialista

7 Maneiras Fáceis para Evitar ser Hackeado (Paulo Pagliusi)

Publicado por Paulo Pagliusi

Aqui estão algumas dicas que irão mitigar o risco de ter seus dados pessoais roubados.

1. Desconfie de e-mails!

Uma enorme quantia de ataques cibernéticos é lançada por meio de simples campanhas de e-mail maliciosos. E-mail é uma maravilhosa plataforma de comunicação, pois você pode enviar qualquer coisa a qualquer um, mas isso significa que também pode ser um enorme risco de segurança. Phishing, por exemplo, envia e-mails aparentemente inócuos que irão levar as vítimas a visitarem sites falsos, pedindo para atualizar suas informações pessoais. A melhor maneira de evitar ser enganado por e-mails falsos é apenas se certificar de que o remetente é quem você pensa que é. Verifique o endereço do e-mail para ver se ele combina com o site de onde você pensa que ele se origina. Para ser mais cauteloso, você pode verificar o endereço IP do remetente. Você pode fazer isso procurando as informações de origem do e-mail e localizando o endereço IP que se segue à linha “Recebido: de”. Você, então, pode procurar no Google o endereço IP para identificar a origem do e-mail. Aqui está uma boa cartilha para se encontrar endereços IP em e-mails.

2. Verifique os locais dos links!

Mensagens de desconhecidos costumam conter links para sites desconhecidos. Navegar em um site misterioso pode trazer consequências indesejadas. Por um lado, ele pode imitar um site que você conhece e confia, o que o ajuda a se tornar vítima de uma tentativa de phishing. Por outro lado, ele pode ser um site inseguro, infectado com software malicioso. Se você está tentado a clicar em um desses links, é melhor você saber exatamente para onde ele o está levando. A melhor maneira é copiar e colar o link no local um novo navegador, para ver que site está do outro lado do link. Se for um link encurtado, você pode usar ferramentas como o URL X-ray, a fim de descobrir o verdadeiro destino de um link antes de você clicar nele. Além disso, os sites criptografados são normalmente os mais seguros para se visitar. Você sabe que eles são seguros quando você vê HTTPS na URL e o ícone de um cadeado verde e fechado no seu navegador.

3. Nunca abra anexos (a menos que você tenha certeza da origem)!

Uma boa regra a seguir é nunca abrir anexos, a menos que você esteja com 120% de certeza de onde eles vieram. Uma das maneiras mais fáceis para os hackers baixarem códigos maliciosos nos computadores das vítimas é através do envio de e-mails com arquivos contendo vírus ou trojans. Uma forma frequente das empresas serem hackeadas é por meio de um funcionário desavisado que baixa (faz download de) software malicioso que se infiltra em toda a rede corporativa. Os tipos de arquivos mais perigosos são Word, PDFs e com extensão executável, como os .EXEs.

4. Use a autenticação de dois fatores!

Com as maiores empresas sendo hackeadas, a probabilidade de que sua senha seja vazada aumenta. Uma vez que os hackers tenham obtido senhas, eles tentam descobrir que contas pessoais na Internet eles podem acessar com os dados que roubaram. A autenticação de dois fatores – que exige que os usuários não só digitem uma senha, mas também confirmem entrando com outro item, como um código transmitido por mensagem (SMS) a um telefone – é uma boa maneira de se parar os atacantes que roubam suas senhas. Mais empresas estão tornando-se padrão para iniciar a sessão. Uma plataforma para comunicação de equipes, chamada Slack, por exemplo, instituiu a autenticação em duas etapas, uma vez que sofreu uma recente violação de dados. Isso significa que, se os hackers roubarem dados de algum usuário da plataforma Slack, ainda assim muito provavelmente não serão capazes de entrar em uma conta de usuário, a menos que eles tenham acesso a outro item pessoal que pertença ao usuário, como um telefone. Se a autenticação de dois fatores for uma opção disponível para proteger suas contas na Internet, é sábio escolhê-la.

5. Utilize senhas poderosas!

Esta pode ser a dica mais óbvia, mas ainda assim é negligenciada. Uma senha forte inclui letras maiúsculas, minúsculas, números, pontuação e linguagem sem nexo. Não faça na senha nenhuma referência pessoal, e não armazene uma lista de senhas salvas em um arquivo. Mais importante ainda, não use a mesma senha para várias contas. Há algumas grandes ferramentas, como o LastPass e 1Password, que armazenam senhas de forma segura. Além disso, é crucial alterar suas senhas com frequência – especialmente as de contas vulneráveis, como as de e-mail e bancárias.

6. Tenha cuidado com a nuvem!

Aqui está uma boa regra de ouro – se você não quer que as pessoas acessem sua informação, não a compartilhe. Isso inclui o armazenamento em nuvem. Não importa o quão segura uma plataforma diz que é, você deve ter em mente que você está dando sua informação a alguém para cuidar. Embora esteja no melhor dos interesses da empresa que a recebe mantê-la segura, muitos especialistas em privacidade sustentam que, para qualquer coisa que você colocar on-line, existe a chance dela ser publicada online. Isto significa que você não deva armazenar qualquer coisa na nuvem? Não necessariamente, mesmo porque tudo está caminhando para a nuvem. Até a década de 2020, o termo computação em nuvem pode ficar redundante, pois tudo deverá estar mesmo na nuvem. É apenas útil manter-se a par de onde os arquivos sensíveis estão indo. E é muito importante conhecer as práticas de seu provedor de armazenamento em nuvem. Por exemplo, se ele segue as boas práticas recomendadas pela Cloud Security Alliance – CSA. Além disso, certifique-se de que, se você excluir arquivos em seu computador ou smartphone, eles também sejam excluídos em todos os backups que você tenha feito na nuvem.

7. Em Wi-Fi pública? Não compartilhe dados pessoais!

Pensando em comprar o bilhete de avião ou verificar sua conta bancária ao sentar-se em uma cafeteria? Você pode querer pensar duas vezes sobre isto, se não tiver ideia do quanto essa conexão é segura. O mesmo vale para locais como hotéis e centros de conferência. Pesquisadores de segurança recentemente descobriram uma vulnerabilidade que torna o tráfego WiFi em alguns dos maiores hotéis do mundo vulnerável a ataques. Não há nenhuma maneira de um indivíduo saber se isto está acontecendo, por isso é melhor ser bastante criterioso com o local de onde você está navegando. Se você precisa mesmo acessar informações privadas enquanto estiver navegando nestas redes, seria bom usar ferramentas como redes privadas virtuais (VPNs), que criptografam o tráfego para que a rede Wi-Fi não possa enxergar onde você está navegando. Ou, ainda melhor, basta configurar um hotspot usando seu smartphone com rede de dados móveis. 

Sobre o autor

Paulo Pagliusi

Paulo Pagliusi, Ph.D., CISM

Diretor da Consultoria em Gestão de Riscos Cibernéticos da Deloitte, considerado um dos Consultores mais renomados do País em gestão estratégica de Riscos Cibernéticos, Paulo Pagliusi é um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos.

Consultor Ph.D. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC - RJ, Paulo Pagliusi é também CEO da Pagliusi Cibersecurity, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obteve a certificação internacional CISM (Certified Information Security Manager).

Atua há mais de 20 anos com segurança da informação, como coordenador e consultor em projetos, cursos e eventos, em organizações como: ITI e GSI - Presidência da República, Ministério da Defesa, Marinha, Petrobras, FINEP, AGU, Receita Federal, SERPRO, IRB-Brasil Resseguros, Fundação Atech e Ezute, nos temas de: governança de segurança da informação, gestão de riscos e auditoria de TI, estratégia e gestão de riscos cibernéticos, privacidade & proteção de dados, consciência situacional cibernética para Conselhos, resiliência de sistemas de informação, cloud computing e fraudes na Internet.

Vencedor do 8º Concurso Inovação na Gestão Pública Federal, recebedor do 5ª Prêmio “A Nata dos Profissionais de Segurança da Informação”, e dos Prêmios “Personalidade Brasileira Dos 500 Anos” e “Destaque Profissional 500 Anos de Brasil”. Com nome citado na RFC (Request for Comments) 5106 (2008), da IETF (Internet Engineering Task Force), é autor de vários artigos especializados e também do livro: Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Alemanha, 2013. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana. É um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.

Comente