Vazamento de dados do Facebook Marketplace atinge milhares de pessoas

 Vazamento de dados do Facebook Marketplace atinge milhares de pessoas

Divulgação/Facebook

Os dados de pelo menos 77 mil usuários do marketplace do Facebook foram publicados em um fórum cibercriminoso. A publicação traz informações como nomes, telefones, e-mails e telefones pessoais das pessoas, além de identificadores ligados ao perfil usado na rede social, em um conjunto que pode levar a ataques contra os atingidos.

São 200 mil registros de informação no volume, em sua maioria e-mails. É daí que vem a estimativa de que pelo menos 77 mil pessoas teriam sido atingidas, já que este é o total de endereços de correio eletrônicos disponíveis no pacote, publicado de forma aberta e disponível a todos.

Segundo o responsável pela publicação, as informações surgiram primeiro em um grupo na plataforma Discord. Elas teriam sido obtidas em outubro do ano passado após o comprometimento dos sistemas de uma empresa parceira da Meta, dona do Facebook. A gigante não comentou o assunto à imprensa internacional.

Postagem em fórum cibercriminoso com os dados de pelo menos 77 mil usuários do Facebook Marketplace (Imagem: Reprodução/Bleeping Computer)

Enquanto mais detalhes sobre esse incidente não foram revelados, mas o volume ganhou credibilidade adicional por ter aparecido pelas mãos de IntelBroker, um conhecido usuários do espaço. Ele já foi responsável por vazamentos de dados internos de empresas como HPE e General Electric, além de ataques a órgãos de saúde do governo dos Estados Unidos.

O risco por trás de comprometimentos desse tipo envolve ataques de phishing ou roubo de identidade dos usuários atingidos. Enquanto a ausência de senhas no volume dificulta tentativas de invasão de conta, bandidos podem usar as informações para entrar em contato com as vítimas em nome da Meta, do Facebook ou outras companhias para envio de malware ou golpes envolvendo o roubo de informações adicionais.

Minimiza o perigo, porém, o fato de 84% dos e-mails comprometidos neste vazamento já estarem registrados na plataforma Have I Been Pwned?, que rastreia comprometimentos de dados. Ainda assim, o novo volume foi cadastrado no serviço e os usuários podem realizar consultas usando o próprio e-mail para saber se estão neste ou em outros comprometimentos de dados.

"Novo vazamento: 200 mil registros com 77 mil e-mails únicos, supostamente obtidos de um parceiro do Facebook Marketplace, foram publicados neste mês. Os dados também incluem nomes, telefones, ID de perfil no FB e localização geográfica. 84% já estavam no @haveibeenpwned."

Tais informações derivam, principalmente, de um grande vazamento de dados que atingiu o Facebook em 2021. Naquela ocasião, as informações de 533 milhões de pessoas, incluindo oito milhões de brasileiros, foram comprometidas em um episódio de raspagem de dados. O caso levou até mesmo ao pedido de indenização coletiva no valor de R$ 5 mil, que ainda tramita na justiça de nosso país.

Como se proteger após ter os dados vazados?

Como dito, o maior risco envolvido no comprometimento de informações pessoais são os ataques de phishing. Por isso, o ideal é manter o olho vivo por abordagens que cheguem por e-mail ou app de mensagens, principalmente quando vierem de desconhecidos ou trazendo links ou arquivos em anexo.

O ideal é não clicar em itens desse tipo e manter vigilância sobre as contas comprometidas. Usar senhas seguras e ativar a autenticação em duas etapas ajuda a manter a segurança dos perfis, bem como o uso de antivírus e outras soluções de segurança no computador e smartphone. Elas podem identificar páginas maliciosas e arquivos perigosos baixados pelo usuário.

Fonte: Bleeping Computer

Gmail ganha selo azul de 'verificado' para combater fraudes em e-mails

 Gmail ganha selo azul de 'verificado' para combater fraudes em e-mails

O Google anunciou nesta quarta-feira (3) um novo recurso de verificação para remetentes baseado em um padrão de segurança para certificar os e-mails de empresas. A partir de agora, os usuários do Gmail verão uma marca de seleção azul para identificar as mensagens de remetentes legítimos.

A ferramenta de verificação de remetente estará disponível, de forma gratuita, para todos os clientes do Google Workspace, bem como para clientes legados do G Suite Basic e Business, além de usuários com Contas do Google pessoais, nos próximos dias.

Este é o mais recente recurso do Gmail para combater a desinformação online. Em 2021, a empresa introduziu suporte para logotipos verificados de marcas, permitindo que os usuários vejam o logotipo da empresa no espaço do avatar em vez de apenas a inicial do nome.

Como funciona o selo azul do Gmail

Além do selo azul, Gmail passou a exibir uma mensagem garantindo que o remetente é legítimo.Fonte:  Google/Divulgação 

O selo azul do Gmail é exibido ao lado do nome do remetente em alguns e-mails e indica que a mensagem foi verificada e autenticada. Isso significa que o remetente confirmou que é o proprietário do endereço de e-mail e do logotipo da marca, e que as informações no e-mail foram verificadas para garantir que não são falsas ou fraudulentas.

Existem vários padrões que o Gmail usa para verificar a autenticidade dos e-mails, incluindo o Brand Indicators for Message Identification (BIMI), Verified Mark Certificate (VMC) e Domain-based Message Authentication, Reporting & Conformance (DMARC). Esses padrões ajudam a garantir que os e-mails não sejam spam ou phishing.

Ao ver o selo azul do Gmail, os usuários podem ter maior confiança na legitimidade do e-mail e reduzir o risco de serem vítimas de fraudes online. É importante observar que nem todos os e-mails exibem o selo azul, apenas aqueles que atendem aos critérios de verificação do serviço de correio eletrônico.

*TecMundo 

A inteligência artificial vai mostrar respostas onde antes só havia perguntas

Para Facundo Monteiro, líder de negócios de segurança cibernética da Microsoft América Latina, a IA vai moldar o futuro da cibersegurança e permitir que as empresas ajam mais rápido do que os “invasores”

(SEAN GLADWELL/Getty Images)

O último Relatório de Defesa Digital da Microsoft impressiona. Desde setembro de 2021, o número de ataques a senhas saltou de 579 para 1.287 por segundo. A unidade de Crimes Digitais da empresa derrubou nada menos do que 531 mil URLs de phishing e 5,4 mil kits de phishing entre julho de 2021 e junho de 2022, levando à identificação e ao fechamento de mais de 1,4 mil contas de e-mail maliciosas usadas para coletar credenciais roubadas.

O phishing – ataque que tenta roubar o dinheiro ou a identidade da vítima fazendo com que ela revele informações pessoais, como números de cartão de crédito ou senhas em sites que fingem ser legítimos – continua sendo a forma mais comum de ataque cibernético.

Para ter uma ideia, a partir do momento em que um e-mail comercial é comprometido, o invasor leva apenas 1 hora e 12 minutos para acessar dados privados. Não à toa, esse é o tipo de ataque que mais pesa no bolso das empresas. E não é pouco. No ano passado, o custo médio de uma violação de dados atingiu o recorde histórico de US$ 4,35 milhões.

“Diante de ataques cada vez mais numerosos e complexos, lançamos, de agosto a dezembro do ano passado, mais de 300 inovações de produtos para ajudar os nossos clientes a se anteciparem às ameaças”, diz Facundo Monteiro, líder de negócios de segurança cibernética da Microsoft América Latina.

Os esforços vêm surtindo efeito: só em 2022, a Microsoft bloqueou 2,75 milhões de registros de sites antes que pudessem ser usados ​​para crimes cibernéticos globais.

O impacto da inteligência artificial

Um dos grandes aliados da Microsoft nessa batalha para combater fraudes e invasões é o uso da inteligência artificial (IA). 

“A IA traz uma capacidade impressionante de mostrar respostas onde antes só havia perguntas, mas vai além: nos ajuda a raciocinar diante de imensos conjuntos de dados e a tomar decisões mais rápidas do que a capacidade de reação dos ‘invasores’, tendo um impacto direto na proteção dos clientes contra ameaças cibernéticas”, explica Monteiro.

Se as oportunidades que a IA traz são enormes para profissionais e empresas, as responsabilidades, para quem desenvolve essa tecnologia, são ainda maiores.

 “Infelizmente, as novas tecnologias geralmente trazem à tona o melhor e o pior das pessoas”, disse Brad Smith, vice-presidente da Microsoft.

Ciente disso, a empresa trabalha desde 2017 para construir uma infraestrutura de IA responsável. Mais recentemente, esse trabalho passou a ser feito em conjunto com especialistas da OpenAI – criadora do ChatGPT, o famoso chatbot que usa IA para responder a perguntas e interagir de forma conversacional.

Juntos, os times identificaram alguns riscos conhecidos, como a capacidade de um modelo gerar conteúdos estereotipados, ou fabricar respostas convincentes, porém incorretas.

Fazendo mais com menos

Consolidar ferramentas é mais uma forma de evitar riscos. Uma pesquisa da Microsoft descobriu que grandes organizações usam, em média, 75 soluções de segurança – o que é desvantajoso, considerando que o gerenciamento de vários fornecedores é mais oneroso, além de criar pontos cegos perigosos, já que insights de segurança valiosos ficam isolados, aumentando a vulnerabilidade de dados.

Portanto, o futuro da cibersegurança passará por empresas que saibam se proteger mais com menos; e por fornecedores que construam a inteligência artificial de forma ética e responsável, incorporando a segurança em tudo o que é projetado, desenvolvido e entregue a quem confia, a elas, o seu bem mais precioso: a sua segurança de dados.

Para empresas que queiram saber mais sobre como eliminar falhas de segurança e reduzir custos com proteção simplificada e abrangente, vale conferir o Microsoft Secure, evento online e gratuito que será promovido pela Microsoft no dia 28 de março com a presença de grandes especialistas em segurança cibernética.

*Exame

Vírus intercepta transferências via Pix de principais bancos do país

 Vírus intercepta transferências via Pix de principais bancos do país

Através das redes sociais, diversos correntistas brasileiros relataram estranhamento com transferências via Pix. Eles foram alvos de um malware bancário, que se aproveita das transferências e altera valor e destinatário. O golpe é causado pelo vírus BrasDex.

De maneira remota, o malware acessa os dispositivos e as contas bancárias dos usuários. Ele foi descoberto no final do ano passado pela ThreatFabric, empresa de cibersegurança. Ao menos 10 instituições financeiras foram afetadas.

Entre os bancos estão Nubank, Inter, Bradesco, Itaú, Banco do Brasil, Santander e Caixa Econômica. Nas últimas semanas, as tentativas de fraude com o vírus aumentaram, segundo a plataforma de prevenção à fraude AllowMe. Pelo menos mil golpes já foram realizados.

Como o vírus age

O BrasDex permite que os cibercriminosos reconheçam elementos da tela e dados digitados, conseguindo ver saldo e credenciais. Ele é instalado através de e-mails, mensagens de Whatsapp, websites obscuros que pedem a instalação de apps e SMS de phishing.

É preciso ter cuidado com links enviados por e-mail, WhatsApp e SMS para não instalar o malware.Fonte:  Getty Images/Reprodução 

"Quando o correntista programa uma transação via Pix, direcionando-a para um de seus contatos, uma nova tela parece carregar, mas trata-se, na verdade, de uma máscara branca, atrás da qual o criminoso está alterando valores e destinatários", explicou Fernando Guariento, líder de Professional Services do AllowMe.

Logo depois, a senha é digitada, pois o usuário confirma a transação. "Só quando realizada a transferência e emitido o comprovante é que ele se dá conta de que o dinheiro foi para outra pessoa, geralmente um laranja cooptado pela quadrilha", concluiu Guariento.

*TecMundo