Confirp Notícias

Armadilhas digitais – Sistemas capturam informações sigilosas de usuários

Recentemente houve diversos ataques de roubos de sessão, armadilhas digitais que são aqueles ataques nos quais o hacker é capaz de tomar posse de um Canal de Youtube por exemplo, mesmo sem saber a senha e ainda que o proprietário esteja utilizando tecnologias de proteção como o MFA (autenticação com multifator).

Claro que para isso foram realizadas diversas técnicas de engenharia social, que fizeram com que a vítima baixasse e instalasse um software no seu computador, copiando a sessão logada do usuário e assim tomando a posse do Canal.

Ataques do tipo Inside Information também vêm ganhando força atualmente. Neles o intuito são os desvios financeiros e os atacantes através de informações privilegiadas que foram vazadas de dentro da empresa, criam páginas e perfis falsos para agir como se fosse a própria organização, acarretando pagamentos de boletos falsos, transferência de dinheiro para contas falsas entre outras ações por parte dos clientes que se tornam vítimas.

Além desses, o sequestro de dados, o chamado Ramsonware, vem causando prejuízos milionários pelo mundo. O fator financeiro tem sido um grande incentivo no mundo cyber-criminoso, o que tem gerado um aumento exponencial das tentativas de ataque, e consequentemente tem levado a uma espécie de “profissionalização” desse crime com comercialização desse tipo de vírus até mesmo dentro de programas de afiliados na DeepWeb. Para dar caminhos para segurança das empresas a Revista Gestão In Foco conversou com Paulo Lima especialista da empresa Witec IT em infraestrutura de redes com foco em segurança da informação:

Quais são as principais armadilhas digitais existentes para as empresas atualmente?

Ataques utilizando phishing são normalmente a porta de entrada, pois são o tipo de armadilhas digitais mais comuns e no qual os usuários caem com maior frequência.

Dessa maneira, o phishing pode atuar com roubo de informações através da coleta de informação por meio de engenharia social em páginas falsas, roubo de dados como o roubo de sessão até a instalação de Keyloggers, programa utilizado para capturar toda a informação digitada no teclado pelo usuário e por consequência roubar as credenciais de acesso, além de possibilitar a instalação de malwares como os do tipo Ramsonware (sequestro de dados), podendo ter um resultado catastrófico.

Outro ponto importantíssimo são os Malwares, que são os arquivos maliciosos como Virus, Spywares, Trojans e Worms. Ter um computador infectado dentro da empresa com algum desses pode causar um prejuízo imenso, até mesmo a falência de um negócio. É preciso estar atento a todas as boas práticas de segurança para manter o ambiente corporativo protegido e saudável, esse ambiente que com o home office agora se estende também para a casa de seus colaboradores.

Como identificar e evitar cair em phishing?

O usuário precisa ficar atento a alguns indícios, como por exemplo o remetente, onde muitas vezes os atacantes criam domínios com nomes muito parecidos com os verdadeiros, alterando alguma letra ou subdomínio, além é claro de quando eles substituem o nome verdadeiro por um rótulo.

Outro ponto muito importante é checar os links que são fornecidos no corpo do e-mail. Os links na maioria das vezes direcionam para páginas falsas, sendo assim recomendamos que o usuário sempre valide o link antes de clicar. Na dúvida, busque ajuda especializada, faça uma confirmação por telefone antes de responder o e-mail, principalmente quando as informações que serão passadas pelo e-mail têm caráter muito importante e sigiloso.

Por que usar o duplo fator de autenticação em suas redes?

O Duplo Fator de Autenticação eleva a camada de segurança nos acessos, pois mesmo que exista um vazamento/roubo das credenciais dos usuários, o criminoso vai precisar de um token de validação para o acesso a conta. Isso torna muito mais difícil o comprometimento das suas redes, já que ele conta com mais uma barreira de segurança.

Quais os cuidados que devem existir dentro das empresas em relação ao tema?

As empresas precisam trabalhar a cultura de segurança da informação internamente, pois achar que somente a tecnologia vai resolver os problemas é um erro. Os usuários precisam ser conscientizados, precisam saber como atuar para não cair em armadilhas digitais, precisam estar a par dos riscos que existem na internet e como lidar com situações de risco. Obviamente que as empresas precisam também buscar tecnologias de segurança e proteção, além de monitoramento para detectar comportamentos estranhos que possam gerar alertas e atuações por parte dos especialistas. Entretanto, o principal é conscientizar os colaboradores para que tenham uma vida digital saudável, tanto dentro da corporação quanto em suas vidas pessoais.

Quais os riscos que as armadilhas digitais podem acarretar na continuidade de um negócio?

Os riscos financeiros são talvez os riscos mais fáceis de observarmos, o dano financeiro pode ser catastrófico gerando até mesmo a falência dos negócios. Contudo há que se levar em conta os danos à reputação da empresa, já que algumas vezes esse pode ser muito superior que o prejuízo financeiro. Um ataque de Ramsonware por exemplo pode vir a comprometer completamente a continuidade do negócio tendo em vista que nos dias de hoje praticamente tudo depende das informações que a empresa armazena.

Compartilhe este post:

Entre em contato!

Leia também:

Especialistas acreditam na demissao de quem recusar vacina

Mesmo após portaria, especialista acreditam que empresas podem demitir quem não se vacinar

Recentemente (em 1º de novembro de 2021) o Ministério do Trabalho e Previdência (MTP) publicou a Portaria MTP nº 620/2021, que proibiu o empregador, na contratação ou na manutenção do emprego do trabalhador, de exigir quaisquer documentos discriminatórios ou obstativos para a contratação, especialmente comprovante de vacinação. Contudo, esse tema vem causando bastante controvérsia, sendo que o Supremo Tribunal Federal (STF) já tinha dado a entender que as empresas podem demitir ou não contratar em função da não vacinação. “Tenho conversado com muitos parceiros da área trabalhista que entendem que as empresas podem demitir, inclusive por justa causa, o empregado que, de forma injustificada, não tomar vacina contra a Covid-19”, explica o diretor da Confirp Consultoria Contábil Welinton Mota. “Exigir a vacinação é algo de interesse público, coletivo, que se sobrepõe ao interesse individual. Os especialistas também entendem que a exigência da comprovação das vacinas para admissão de empregados não é considerada ato discriminatório”, analisa Welinton Mota. A ideia é compartilhada por Mourival Boaventura Ribeiro, sócio da Boaventura Ribeiro Advogados, especializada em direito trabalhista. “Referida portaria teve a façanha de desagradar a um só tempo empresas e empregados, além de ir contra a orientação dos Tribunais Regionais de Trabalho dos Estados, Tribunal Superior do Trabalho, Ministério Público do Trabalho e a depender da reação de entidades de classe e partidos políticos deve ter vida curta, trazendo apenas e tão somente enorme insegurança jurídica” Segundo Mourival, “no cenário atual, acreditamos que dificilmente a Justiça do trabalho dará guarida aos termos da portaria, haja vista que ao exigir comprovante de vacina, o empregador estará protegendo o interesse da massa de trabalhadores e o ambiente de trabalho seguro”. Recente julgamento do TRT de São Paulo decidiu que a vacinação em massa da população contra a COVID19 se constitui como medida emergencial que vem sendo adotada pelas autoridades de saúde pública de todo o mundo, no claro intuito de proteger a população em geral, evitar a propagação de novas variantes, bem como reduzir o contágio, diminuir as internações e óbitos e possibilitar o retorno da sociedade para as suas atividades, e, tal linha de entendimento não deve ser modificada com a publicação da portaria. Entenda a portaria Segundo a portaria, o empregado prejudicado pelo rompimento contratual por qualquer dos atos discriminatórios, além do direito à reparação pelo dano moral, poderá solicitar a reintegração com ressarcimento integral de todo o período de afastamento, ou ainda, a percepção, em dobro, da remuneração do período de afastamento, ambos corrigido monetariamente e acrescida dos juros legais. Contudo, Welinton Mota alerta: “O trabalhador que se sentir prejudicado e não for contratado ou for demitido por não ter se vacinado, poderá não ter a proteção da Justiça do Trabalho, onde já se consolidou o entendimento de que o interesse coletivo se sobrepõe ao interesse particular”. “Embora a portaria classifique como “prática discriminatória” a exigência do comprovante de vacinação pelas empresas e que o trabalhador que se sentir prejudicado, seja pela não contratação, seja pela rescisão motivada pela recusa em se vacinar poderá questionar o fato judicialmente, entendemos que, não havendo justificativa para a recusa em se vacinar por parte do empregado e/ou ocorrendo esta por convicção, ideologia ou crença religiosa, eventual reclamação não terá acolhida pela justiça do trabalho. Assim, a portaria vai na contramão de todos os esforços emanados por autoridades de saúde para que o maior número possível de pessoas seja imunizado”, finaliza Mourival Boaventura Ribeiro.

Ler mais

Segurança da Informação – como baratear esse investimento

Investir em “Segurança da Informação” no mundo atual não é moda, é necessidade. Esse conceito remete a um conjunto de estratégias para gerenciar processos, ferramentas e políticas necessárias para prevenir, detectar, documentar e combater ameaças aos dados digitais e não digitais de uma organização. Hoje uma empresa que não prepara pode estar sujeita a sérios problemas como rapto de suas informações, vírus, golpes digitais e até a divulgação para criminosos de dados dos clientes e pessoais. No entanto, à medida que avançam na transformação digital, informatizando seus processos e modelos de negócios, os gestores empresariais começam a sentir os riscos mais de perto. Isso porque há um verdadeiro “mercado hacker” em constante expansão, e os dados, tão valiosos, passam a ser vistos como ativos que merecem proteção. No Brasil, líder em adoção de novas tecnologias na América Latina, o desafio só aumenta. De acordo com um relatório global do Laboratório de Pesquisas sobre Ameaças da CenturyLink, o país ocupa um preocupante quarto lugar em volume de tráfego mal-intencionado na internet. O problema é que muitas das práticas para minimizar os riscos nas empresas demandam custos tecnológicos muitos altos, que dificilmente as empresas possam arcar. Para minimizar esses riscos existem alternativas fiscais. Uma delas é fazer o investimento na segurança da informação utilizando a Lei do Bem. Segundo o diretor da Gestiona Inovação Tecnológica , empresa especializada no segmento, Sidirley Fabiani, esse benefício pode ser utilizando caso a empresa seja optante pelo regime tributário do lucro real e apure lucro fiscal no ano de concepção e desenvolvimento do projeto de segurança da informação. “Além disso é preciso que a empresa participe da concepção dos projetos de segurança da informação, ou seja, não adquira uma solução de “prateleira”, basicamente, os investimentos realizados com a equipe própria (funcionários CLT) e com os serviços de pesquisa e desenvolvimento realizados por terceiros, poderão ser utilizados para reduzir a carga tributária relacionada ao IRPJ e a CSLL”, conta Sidirley Fabiani. Ele conta que com isso a empresa tem a possibilidade da exclusão adicional de 60% a 80% da soma dos dispêndios das bases de cálculo do IRPJ e da CSLL, resultando numa recuperação (ganho de caixa) entre 20,4% e 34% dos investimentos realizados. Como implantar A Lei do Bem é um incentivo automático, bastando realizar os investimentos e fazer a submissão do FormPD (Formulário eletrônico da Lei do Bem) junto ao MCTI (Ministério da Ciência, Tecnologia e Inovações), contendo o descritivo do projeto e detalhamento dos respectivos investimentos realizados no ano fiscal em questão. Para tanto, a metodologia desenvolvida pela Gestiona reúne as seguintes etapas: Workshop integrativo com conceitos, cases e orientações; Mapeamento e avaliação dos projetos; Levantamento e análise de dispêndios; Cálculo dos benefícios; Preenchimento das obrigações acessórias e prestação de contas; Estruturação de controles para ampliação e utilização segura dos benefícios. Ponto importante é que para a adesão ao programa é preciso que as empresas apresentem regularidade fiscal (emissão da CND ou CPD-EN) e tenham participado da concepção e investido nos projetos de segurança da informação. Sendo que esse é um benefício fiscal automático, seguindo os passos acima que poderá mudar os rumos da corporação. Quer saber mais sobre o tema? Entre em contato conosco.

Ler mais

Consolidada legislação referente à Contribuição para o Pis/Pasep e à Cofins

A Receita Federal publicou hoje, 14/10, no Diário Oficial da União a Instrução Normativa RFB nº 1.911, de 11 de outubro de 2019, consolidando toda a legislação da Contribuição para o PIS/Pasep, da Cofins, da Contribuição para o PIS/Pasep-Importação e da Cofins-Importação. Centenas de normas esparsas foram condensadas em um único ato de forma estruturada e sistematizada. A Instrução Normativa abarca virtualmente todo o regramento aplicável às referidas contribuições, incluindo leis e decretos. Neste sentido, ao final de cada dispositivo consta menção à lei ou ao decreto que lhe dá suporte. Além disso, são revogadas expressamente mais de 50 Instruções Normativas hoje aplicáveis ao PIS/Pasep e à Cofins. Restaram separados apenas atos que, além das contribuições, tratam conjuntamente de outros tributos. Mas, mesmo neste caso, a referência da norma a ser consultada consta da Instrução Normativa, o que simplifica o caminho para se chegar à informação desejada. Com a edição desta Instrução Normativa, a Receita Federal dá importante passo em direção ao ideal de tornar mais fácil e racional a tarefa de apurar e recolher tributos, além de promover a redução dos custos de conformidade suportados pelas empresas.

Ler mais

Imposto de Renda tem novidades para este ano

A partir do dia 3 de março, terá início o período para entrega da DIRPF – Declaração de Ajuste Anual do Imposto de Renda – Exercício 2014- Ano base 2013. Mesmo assim, para o diretor executivo da Confirp Consultoria Contábil, Richard Domingos, é interessante que as pessoas se preparem com antecedência para declarar já procurando e separando os documentos necessários.

Ler mais