Últimas notícias

Fique informado

Phishing: o conhecido ataque continua a crescer

24 de fevereiro de 2023

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

25% de profissionais de cibersegurança são mulheres, aponta BCG

Pesquisa mostra disparidade de mulheres entre profissionais de tecnologia, o que pode ser uma oportunidade para setor de cibersegurança.

15 de dezembro de 2022

Seu orçamento de 2023 contempla treinamento para cibersegurança e jornada digital?

Entre os itens que os gestores tem atenção no orçamento para o próximo ano estão a adequação de headcount e investimentos

15 de dezembro de 2022

Os benefícios da terceirização da cibersegurança

A organização evita que falhas apareçam tanto nas suas ações habituais, como em momentos difíceis, a exemplo dos incidentes de cibersegurança

13 de dezembro de 2022

Phishing: o novo roubo do século

Em primeiro lugar, devemos estar cientes que qualquer um de nós é um possível alvo de um ataque de phishing

30 de novembro de 2022

DHL assume a liderança das marcas mais imitadas usadas por cibercriminosos em golpes de phishing

Embora o LinkedIn tenha sido a marca mais imitada no primeiro e no segundo trimestres, a empresa de logística DHL que ocupou o primeiro lugar

26 de outubro de 2022

LinkedIn se mantém na liderança das marcas mais imitadas usadas por cibercriminosos em golpes de phishing

“Os e-mails de phishing são uma ferramenta proeminente no arsenal de todos os cibercriminosos”, afirma Omer Dembinsky

21 de julho de 2022

Alerta Phishing: Segundo o FBI, o maior perigo para os varejos em 2022

O documento mostrou um crescimento dramático nos ataques globais de phishing em relação aos anos anteriores

12 de julho de 2022

O que é phishing e como você deve se proteger dele

O phishing é um crime digital quase perfeito. Por isso, as chances de cair em golpes com essa estratégia são grandes

13 de junho de 2022

Os golpes de phishing da Páscoa ajudam o malware Emotet a afirmar seu domínio

Os pesquisadores relatam que o Emotet continua seu “reinado” como o malware mais popular, impactando 10% das organizações em todo o mundo

12 de abril de 2022

Com os ataques de phishing, os programas de segurança da informação treinam sobre como evitar o comprometimento do e-mail

Com os ataques de phishing agora cada vez mais comuns, os programas corporativos de segurança da informação treinam rotineiramente sobre como evitar o comprometimento do e-mail. No entanto, a frequência dos ataques por e-mail aumentou drasticamente nos últimos dois anos.

Um total de 2,09 milhões de dólares, o que representa um aumento de 15% face ao registado no ano passado, é o custo médio de uma fuga de dados de uma empresa. Isso foi confirmado pela corporação de tecnologia IBM. No entanto, esta não é a única variação que se regista.

No relatório Perspectivas da América Latina, foi indicado que 60% das empresas aumentaram o preço de seus serviços após um vazamento de dados.

Da mesma forma, os cibercriminosos usam a modalidade de phishing. Peru, México e Brasil são as nações com maior número de ataques cibernéticos na região, segundo informações obtidas pela empresa de tecnologia.

Com o objetivo de convencer os usuários a entregar dados privados voluntariamente, o método se concentra na infiltração de dispositivos, fazendo-se passar por pessoas ou corporações confiáveis.

No Brasil, um levantamento da Device Fraud Scan 2022, mostra que em 2021, o país registrou uma média de 3,7 tentativas de fraude – incluindo o segmento de criptomoedas – por minuto entre 9h e 20h, período em que ocorrem 70% desses casos.

Esse cenário levanta a questão: como você permite que os destinatários de e-mail tenham certeza da identidade do remetente e da integridade do conteúdo do e-mail?

“Uma estratégia de confiança digital bem pensada pode injetar essa importante camada de segurança nas comunicações por e-mail, tornando mais fácil para os destinatários de e-mail diferenciar prontamente entre comunicação confiável e suspeita”, explica Dean Coclin, diretor sênior de desenvolvimento de negócios da DigiCert.

Passo 1: Estabelecendo confiança

A base da confiança na segurança de e-mail é o certificado digital S/MIME. S/MIME significa Secure/Multipurpose Internet Mail Extension, um padrão da indústria para assinatura e criptografia de e-mail suportado pela maioria dos clientes de e-mail corporativo.

Os certificados S/MIME permitem que os usuários assinem e-mails digitalmente, verificando a autenticidade do remetente e indicando que o conteúdo do e-mail não foi alterado.

Os certificados digitais S/MIME também podem ser usados para criptografar e-mails, protegendo a comunicação por e-mail contendo informações confidenciais da interceptação de dados.

Etapa 2: Gerenciando a confiança

A próxima etapa a ser considerada é o gerenciamento de certificados S/MIME dentro de uma organização.

Os líderes de TI observam que quando as medidas que melhoram a segurança são opcionais ou dependem de ações tomadas por um usuário corporativo não técnico, a adoção pode ser um desafio. As empresas podem resolver esse problema automatizando o fornecimento de certificados digitais como S/MIME.

Para conseguir isso, as empresas podem aproveitar as soluções de gerenciamento de PKI que se integram diretamente aos serviços de diretório corporativo para automatizar a instalação, renovação e revogação de certificados.

Isso reduz a carga sobre o suporte técnico de TI, garante a adesão às medidas de segurança preferidas ou à política corporativa e elimina quaisquer lacunas de provisionamento ou revogação que possam afetar a produtividade ou a segurança.

Quando o S/MIME é usado para criptografia, são necessárias medidas adicionais que se beneficiam dos recursos de automação e integração das soluções de gerenciamento de PKI.

Por exemplo, ao usar S/MIME para criptografia, os usuários precisam manter a mesma chave privada nos vários dispositivos onde recebem e-mail para descriptografar as comunicações.

Caso contrário, eles ficarão limitados a ler e-mails apenas na área de trabalho ou dispositivo onde a chave estiver presente.

Além disso, os usuários finais precisam preservar históricos importantes para recuperar registros de e-mail caso laptops ou outros hardwares quebrem ou sejam comprometidos.

As equipes de segurança de TI que gerenciam a infraestrutura de PKI devem dar suporte à custódia e recuperação de chaves para dar suporte aos usuários que precisam recuperar chaves ou atender a solicitações legais de históricos de e-mail.

As soluções de gerenciamento de PKI que podem se integrar com as soluções Unified Endpoint Management (UEM), como o Microsoft Endpoint Manager, e gerenciar automaticamente o depósito de chaves simplificam esses aspectos do gerenciamento do ciclo de vida do certificado.

“A criptografia pode ser necessária em setores onde dados confidenciais são transmitidos por e-mail, como empresas de serviços financeiros que comunicam dados financeiros pessoais ou empresas de saúde que comunicam informações pessoais de saúde. Também pode ser exigido pela política corporativa para tipos específicos de comunicações internas ou externas para proteger confidencialidade de dados ou propriedade intelectual”, explica Dean Coclin.

As melhores práticas no gerenciamento de S/MIME sugerem que, quando a criptografia for necessária, certificados separados sejam usados para assinaturas digitais e para criptografia.

Isso ocorre porque os principais requisitos de custódia de criptografia podem comprometer as características de não repúdio de um email assinado digitalmente.

As empresas também podem decidir se suas necessidades de negócios exigem criptografia no nível do usuário individual ou se é preferível criptografar as comunicações no ponto de um gateway de e-mail.

Etapa 3: Estendendo a confiança

Os arquitetos de confiança digital podem considerar a seguir se precisam proteger o e-mail dentro de uma organização ou entre organizações.

Se a comunicação por e-mail estiver dentro do domínio corporativo, os profissionais de TI podem usar certificados S/MIME privados encadeados para uma CA privada ou intermediário.

Se as empresas estiverem protegendo emails enviados fora dos limites corporativos, devem ser usados certificados S/MIME públicos que se encadeiam até uma raiz publicamente confiável, como a DigiCert.

As empresas também podem considerar a criação de uma AC intermediária dedicada pública que pode ser marcada com o nome de sua organização.

O ICA pode se conectar à raiz publicamente confiável, mas permitirá que os certificados herdem a marca ICA da organização.

E sobre DMARC e VMCs?

As empresas também podem adotar outras medidas para combater o phishing dentro de uma organização, como a implementação de Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio (DMARC).

O DMARC é um protocolo de autenticação, política e relatórios de e-mail que ajuda a prevenir organizações contra phishing.

As organizações que adotam o DMARC podem usar os Certificados de marca verificada (VMCs) para exibir um logotipo de organização verificada ao lado de e-mails.

Os VMCs validam que uma empresa implementou o DMARC e que o logotipo exibido é uma entidade de marca registrada da organização.

Mensagens de e-mail com logotipos de marcas indicam que o remetente atendeu aos fortes requisitos de segurança e autenticação do DMARC e VMCs.

A presença de um logotipo de marca aumenta a confiança do consumidor no e-mail enviado e o diferencia dos e-mails enviados sem um indicador de logotipo de marca.

Alguns clientes de e-mail, como a Apple, vão um passo além e incluem “certificado digitalmente” nos cabeçalhos de e-mail relacionados ao VMC.

Monitoramento de tráfego DNS

Por fim, as empresas podem considerar seu serviço de DNS como outro componente-chave de suas iniciativas de confiança de e-mail.

O tráfego DNS é uma rica fonte de dados que pode ser analisada usando aprendizado de máquina para mostrar o que é e o que não é normal para um domínio.

A detecção de anomalias de tráfego pode detectar e prever atividades suspeitas ou incomuns, permitindo que os profissionais de TI impeçam ataques direcionados.

Com o aumento dos ataques por e-mail, os programas de treinamento corporativo podem ser insuficientes por si só para permitir que os funcionários protejam adequadamente os dados confidenciais ou confidenciais de sua organização ou suas credenciais pessoais.

E com as estratégias de phishing cada vez mais sofisticadas, pode ser cada vez mais difícil para os consumidores saber quando estão interagindo com uma marca confiável ou um impostor de e-mail.

A implementação de uma base sólida de confiança digital na comunicação por e-mail pode ajudar a evitar credenciais, dados confidenciais ou comprometimento financeiro. É aí que a confiança digital encontra o mundo real.

Sobre a DigiCert, Inc.

A DigiCert é fornecedora líder mundial de soluções escalonáveis ​​TLS/SSL e PKI para identidade e criptografia.

As empresas mais inovadoras, incluindo 89% das empresas da Fortune 500 e 97 dos 100 maiores bancos globais, escolhem a DigiCert por sua experiência em identidade e criptografia para servidores da Web e dispositivos da Internet das Coisas.

A DigiCert oferece suporte a TLS/SSL e outros certificados digitais para implantações de PKI em qualquer escala por meio de sua plataforma de gerenciamento de ciclo de vida de certificados, CertCentral®.

A empresa é reconhecida por sua plataforma de gerenciamento de certificados de nível empresarial, suporte ao cliente rápido e experiente e soluções de segurança líderes de mercado.

Phishing: como se prevenir contra esse golpe?

Tipos de Phishing

O que é Phishing?

O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!

Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.