top of page

Se eu ganha-se uma grana pra cada pessoa que me pediu ajuda quando o celular foi roubado ou clonaram Whatsapp/Insta....heheh. Bom brincadeiras a parte, esse é um tema bem legal e por mais clichê que pareça, cada vez mais em alta... (talvez nunca saia da alta).

Nesse breve artigo, vou ser claro e objetivo do que fazer antes do seu celular ser roubado (espero que no seu caso seja antes) ou depois.

Primeiramente vale lembrar que NADA em segurança da informação é bala de prata para resolver as coisas, o que isso significa? significa que usamos recomendações e boas práticas que grandes nomes e entidades internacionais que estudaram a fundo, extraíram de estudos de caso e chegaram em um consenso, pois "nenhum sistema é 100% seguro" então usamos recomendações que tornariam seu celular o mais seguro possível (não blindado a prova de ataques).

 

Vou dividir as dicas em dois momentos, o antes e depois...


Antes que seu celular seja roubado:

1. Use uma senha ou PIN forte para proteger seu dispositivo. Configure o PIN no chip da operadora, LINK para fazer isso -> Como ativar o PIN do chip da operadora no Android ou iOS – Tecnoblog (isso evita que o meliante tire o chip e insira em outro celular para receber códigos de troca de senha da suas redes, o que provavelmente ele vai tentar). Evite usar senhas simples ou fáceis de adivinhar, como sua data de nascimento ou número de telefone.


2. Ative a autenticação de dois fatores para todas as suas contas. Isso tornará mais difícil para qualquer pessoa acessar suas contas, mesmo que tenham sua senha.


3. Configure um aplicativo de segurança móvel confiável que possa ajudá-lo a rastrear seu dispositivo se ele for perdido ou roubado. Algumas opções populares e já pré instaladas de fabrica são Find My Device para Android e Find My iPhone para iOS.


4. Faça backup regularmente de seus dados na nuvem ou em um disco rígido externo. Dessa forma, você não perderá todos os seus dados importantes se o dispositivo for perdido ou roubado.


5. Evite armazenar informações confidenciais, como senhas, detalhes de cartão de crédito ou números de previdência social em seu dispositivo. Se você precisar armazená-los, use um aplicativo gerenciador de senhas para protegê-los.


5. Oculte as informações de notificações (SMS, Mensagens etc...)


Depois que seu celular é roubado:

1. Mude imediatamente as senhas de todas as suas contas. Isso inclui seu e-mail, mídia social e contas bancárias. Para as redes sociais e e-mail, faça a desconexão (deslogar/logoff etc) de todos os dispositivos.


2. Use o recurso de rastreamento em seu aplicativo de segurança móvel para localizar seu dispositivo. Se você não conseguir recuperá-lo, poderá apagar remotamente todos os dados do seu dispositivo para evitar que caiam em mãos erradas.


3. Entre em contato com sua operadora para relatar o roubo e peça para desativar seu cartão SIM. Isso impedirá que o ladrão faça chamadas ou acesse seus dados móveis.


4. Alerte amigos e familiares próximos! Os criminosos podem usar seu telefone roubado para enviar mensagens ou e-mails falsos para induzi-lo a fornecer suas informações pessoais e principalmente pode usar para persuadir seus amigos e familiares.


5. Monitore suas contas bancárias e relatórios de crédito para qualquer atividade incomum. Se você notar algo suspeito, denuncie imediatamente ao banco ou à administradora do cartão de crédito.


Seguindo essas dicas de segurança, você pode minimizar os danos caso seu celular seja perdido ou roubado. Lembre-se de estar sempre vigilante e proativo na proteção de sua segurança digital.




A algum tempo eu venho pensando sobre a ideia de criar um guia de referência para realização de testes de invasão, isso não é novidade na área de segurança ofensiva, existem dezenas de guias no github ou em fóruns e blogs de segurança, principalmente para aqueles que desejam tirar certificações, como a OSCP, além de guias aleatórios de outros pentesters e bughunters no geral, porém acredito que conhecimento nunca é demais... e por mais "batido" que possa parecer para alguns profissionais mais sêniors, acredito que este guia possa ajudar aqueles que estão começando e estão querendo um norte para ter uma visão do todo...


Lecionei no mês de fevereiro e março uma disciplina de Hacking ético (vulgo nome comercial/marketeiro para ensinar técnicas de invasão...heheh) em uma faculdade de pós graduação, o grande desafio foi criar o conteúdo do zero, principalmente a organização cronológica e o tempo necessário para "tentar" passar tudo em poucas horas (foi a primeira experiência deste tipo) eu quis sair da mesmice, mostrando relatórios reais que realizei e ensinando técnicas e dicas que utilizo diariamente, sempre ressaltando o lema "técnicas regem o ferramental" heheh. Este foi o ponta pé que eu precisava para finalizar meu guia que já tenho a um tempo, porque não da pra lembrar tudo de cabeça né?, que não é nada mais que um compilado que gosto de chamar de tips and tricks de diversos cursos e pesquisas que realizei durante os últimos anos, lembrando que este guia não é imutável e muito menos completo...está em constante evolução. Espero que gostem.







As equipes de segurança que tentam defender suas organizações precisam se adaptar rapidamente a novos desafios. Os chavões e as melhores práticas de ontem tornaram-se mitos de hoje.


  • Seus dados estão seguros atrás do firewall corporativo

O modelo híbrido tirou as empresas de sua zona de conforto. "Com todos trabalhando em casa, a rede corporativa não é mais o perímetro de segurança", diz Giaquinto. "Agora eles têm que se concentrar novamente na aplicação de técnicas de confiança zero e entender que a identidade - independentemente da localização - é o novo perímetro de segurança."


  • Seus dados são mais seguros na nuvem

Cerca de metade de todos os dados corporativos são armazenados na nuvem, e as empresas podem estar confiando demais na forma como são protegidos. "Certamente esses dados são tão preciosos para os provedores de serviços em nuvem quanto para as empresas que produzem e dependem dele, certo? Errado", diz Simon Jelley, gerente geral de proteção, endpoint e executivo de backup da Veritas Technologies.

Na verdade, muitos chegam ao ponto de ter modelos de responsabilidade compartilhada em seus termos e condições, o que deixam claro que os dados de um cliente são sua responsabilidade de proteger, diz Jelley.

Vejo constantemente essa inversão de responsabilidade, isso reflete nos principais ataques web, buckets públicos e APIs estão constantemente sobre ataque, ataque estes que muitas vezes obtém sucesso justamente por acreditar nesta "segurança".


  • Tudo pode ser automatizado

A automação de processos relacionados à segurança pode parecer atraente para uma organização porque pode economizar tempo e dinheiro. Ainda assim, deve ser usado com moderação. "Confiar cegamente na automação pode realmente criar lacunas na qualidade e precisão de uma avaliação de segurança", diz Steven Walbroehl, co-fundador da Halborn e CISO. "Isso leva a vulnerabilidades negligenciadas e cria riscos imprevistos à segurança."

Walbroehl argumenta que certas tarefas complexas são melhor deixadas aos humanos porque exigem intuição e instinto, que as máquinas não têm. "Ainda não vi uma ferramenta automatizada que possa simular o processo de pensamento realizado por um testador de penetração qualificado tentando hackear ou explorar etapas na lógica de negócios ou autenticação sofisticada", diz ele.


  • A contratação de mais pessoas resolverá o problema da segurança cibernética

Em vez de procurar pessoas para contratar, as empresas devem priorizar a retenção de seus profissionais de segurança cibernética. Eles devem investir e oferecer-lhes a chance de ganhar novas habilidades.

"É melhor ter um grupo menor de profissionais de TI altamente treinados para manter uma organização a salvo de ameaças e ataques cibernéticos, em vez de um grupo maior que não esteja equipado com as habilidades certas", diz McShane. "Embora a contratação de novos membros da equipe possa ser benéfica, o tempo e o dinheiro gastos por uma empresa na contratação de novos funcionários podem ser usados de forma mais eficaz para reforçar sua infraestrutura de segurança."


  • Comprar mais ferramentas pode reforçar a proteção contra segurança cibernética

Uma das maiores armadilhas em que as empresas caem é a suposição de que precisam de mais ferramentas e plataformas para se proteger. Uma vez que eles têm essas ferramentas, eles pensam que estão seguros.

As organizações são atraídas a comprar produtos "apontados como a solução de bala de prata", diz Ian McShane, CTO de campo do Arctic Wolf. "Isso definitivamente não é a chave para o sucesso."

Comprar mais ferramentas não necessariamente melhora a segurança porque muitas vezes eles não têm um problema de ferramentas, mas um operacional.



bottom of page