A semana foi turbulenta no campo da cibersegurança brasileira. Com menos acontecimentos globais, o país foi destaque nos últimos dias em proteção digital — em especial pela descoberta de novas fraudes, além de uma brecha em nosso principal sistema de pagamentos.
Além disso, um importante evento que reúne entusiastas e especialistas já pagou mais de R$ 3,4 milhões pela descoberta de vulnerabilidades em sistemas operacionais.
As 7 principais notícias de cibersegurança da semana
1. Cuidado! Apps falsos do Imposto de Renda 2024 podem roubar seus dados pessoais
A declaração do Imposto de Renda 2024 virou tema de golpe em redes sociais. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) detectou aplicativos falsos que se passam pelo serviço da Receita Oficial e enganam o consumidor.
As ferramentas imitam o visual da declaração e o funcionamento do programa, mas têm como objetivo roubar dados pessoais e financeiros. Não foram divulgadas imagens dos apps fraudulentos e não há informações de que eles ainda estejam nas lojas digitais, mas o consumidor deve se manter atento.
Os brasileiros precisam ficar atentos e acessar o site oficial da Receita Federal, que é o o canal mais seguro para download. (Imagem: Rmcarvalho/Getty Images)
Na Google Play Store, o aplicativo da Receita Federal pode ser baixado aqui. Para aparelhos iOS, é só clicar neste link. O informe dos rendimentos relativos a 2023 pode ser enviado até 31 de maio.
2. Brasil foi o país da América Latina mais vulnerável a ciberataques em 2023
O Brasil é destaque negativo na América Latina em quantidade de ransomwares de larga escala contra corporações. Essa é uma das conclusões de um relatório da Unit 42, que faz parte da Palo Alto Networks.
Segundo o estudo, o Brasil enfrentou 61 desses ataques cibernéticos só em 2023, com bases de dados vazadas em fóruns. Já para 2024, as projeções indicam um aumento de cerca de 3,55%. O segundo país da região no ranking é o México, com 42 ataques. Você pode ler o documento completo neste link.
OS EUA respondem por quase metade dos ciberataques com dados vazados. (Imagem: Reprodução/Unit 42)Fonte: Unit 42
Os setores mais afetados foram o de alta tecnologia, educação e agricultura. Além disso, a Unit 42 detectou uma mudança de abordagem dos cibercriminosos. Eles optam cada vez pela ação “pegar e sair”, roubando informações em massa e só depois cobrando ou comercializando os dados — que podem ser porta de entrada para novos crimes.
3. Novo golpe muda dados do Pix e códigos de barra de boletos
A empresa de segurança Kaspersky encontrou um novo método de fraude envolvendo o Pix. A ação muda o QR Code ou o código de barras de boletos para redirecionar pagamentos para outras contas em vez do destinatário original.
Cuidado com os pagamentos que chegam via email. (Divulgação/Kaspersky)Fonte: Kaspersky
Os cibercriminosos exploram uma vulnerabilidade na ferramenta Reboleto, que permite a edição de dados de pagamento de um arquivo via acesso remoto. Com o software, basta encontrar mensagens de um email comprometido, buscar anexos enviados pelo perfil e fazer a edição.
Enquanto a falha não é corrigida, a recomendação é sempre bom conferir se o destinatário do pagamento é o mesmo da compra.
4. Banco Central comunica vazamento de mais de 46 mil chaves Pix
Ainda falando do popular método de pagamento, o Banco Central confirmou um vazamento de dados na última segunda-feira (18). Ao todo, foram 46.093 chaves do Pix expostas, no sexto incidente do tipo desde novembro de 2020.
O Pix é o meio de pagamento mais popular do Brasil. (Imagem: Getty Images)Fonte: GettyImages
Apenas clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e da Empresa de Pequeno Porte Limitada (Fidúcia) foram afetados. “Falhas pontuais” nos sistemas levaram ao vazamento de detalhes cadastrais, como nome do usuário, CPF, agência, número e o tipo de conta.
Informações sensíveis e que permitiriam movimentações nas contas não foram vazadas e os clientes afetados já foram notificados.
5. Pwn2Own 2024: especialistas ganham US$ 200 mil e carro da Tesla por hack
O tradicional evento de cibersegurança Pwn2Own 2024 começou na quinta-feira (21) em Vancouver, no Canadá. No primeiro dia de hacks ao vivo, foram distribuídos mais de US$ 730 mil (cerca de R$ 3,6 milhões na cotação atual) em prêmios para especialistas que encontraram falhas e invadiram sistemas populares.
A maior recompensa foi de US$ 200 mil (R$ 1 milhão) e um carro da Tesla para o grupo francês Synacktiv, que explorou uma brecha na unidade de controle eletrônico (ECU) da montadora. Essa é a segunda edição do evento em que a equipe ganha um Tesla Model 3 por apontar problemas de segurança no veículo.
Um Tesla Model 3. (Imagem: Getty Images)Fonte: GettyImages
Outros participantes demonstraram com sucesso vulnerabilidades na VMware Workstation e navegadores populares, além do Windows 11 e a distro Ubuntu.
6. GitHub lança IA que sugere correções de segurança em códigos
O repositório GitHub apresentou na quarta-feira (20) uma ferramenta de inteligência artificial (IA). Ela é a correção automática da verificação de código, que escaneia os seus projetos e sugere melhorias ou alterações.
A ideia do serviço, ainda em fase Beta, é focar na questão de cibersegurança. Fora detectar possíveis brechas, ele também explica o problema e até sugere a melhor correção para evitar vulnerabilidades.
O novo recurso na prática. (Imagem: Reprodução/GitHub)Fonte: GitHub
Segundo a companhia, o recurso cobre mais de 90% dos alertas em códigos em JavaScript, Typescript, Java e Python. Apenas usuários do GitHub Advanced Security terão acesso ao recurso por enquanto.
7. Pesquisadores descobrem forma de desbloquear portas de hotéis com cartão
Um grupo de especialistas em cibersegurança descobriu um método para desbloquear portas de quartos de hotéis. A técnica vale para cerca de 3 milhões de modelos Saflok, da fabricante Dormakaba, que usam uma tecnologia de aproximação por radiofrequência via cartão.
Após quase dois anos de experimentos, o grupo criou um método “coringa” chamado Unsaflok. Ele envolve obter um cartão de hotel, fazer a leitura dele com um aparelho RFID para extrair o código e o envio desses dados para um cartão vazio.
Feito isso, ao encostar ambos os cartões na porta, é possível abrir a trava sem problemas. A marca e hotéis com essas portas foram contatados ainda no final de 2022, mas a correção depende de atualizações em cada estabelecimento — até agora, só 36% dos possíveis alvos resolveram a brecha.
Essas foram as principais novidades em cibersegurança da semana. Se você está em busca de proteção adicional e mais conteúdo, veja como identificar se o seu celular tem um aplicativo espião instalado.