Os procedimentos básicos de segurança envolvem uma combinação de vigilância humana (fator humano) e medidas técnicas. Eles se resumem em proteger suas credenciais, manter seu equipamento atualizado e adotar uma postura cética e cautelosa ao navegar na internet.
A segurança digital começa com senhas fortes. Uma senha forte é a sua primeira linha de defesa contra invasores.
Uma senha forte deve ter:
Comprimento: Pelo menos 12 caracteres, sendo que 14 ou mais é o ideal.
Composição: Uma combinação de letras maiúsculas, minúsculas, números e símbolos.
Exclusividade: Não deve ser uma palavra encontrada em dicionários, nem dados pessoais (nomes, datas comemorativas, números de documentos, placas de carro, telefone).
Dica Didática: Considere usar uma frase memorável. Lembre-se que espaços contam como caracteres.
Exclusividade Acima de Tudo: Use uma senha exclusiva para cada site. A reutilização de senhas é uma das piores práticas de segurança. Se uma conta for comprometida, os criminosos tentarão usar as mesmas credenciais em centenas de outros sites (bancos, mídias sociais) em um golpe conhecido como ataque de preenchimento de credenciais (credential stuffing attack).
Gerenciadores de Senhas: A UFRJ, Microsoft e especialistas recomendam o uso de gerenciadores de senhas. Essas ferramentas são ótimas para aumentar a segurança digital, pois armazenam as senhas de forma organizada e criptografada, e podem gerar senhas realmente seguras e únicas.
Armazenamento Seguro: Não compartilhe sua senha com ninguém. Não a envie por e-mail ou mensagem de chat. Se precisar anotá-la, mantenha-a em segurança, longe do dispositivo que ela protege.
Frequência de Troca: Mantenha sua senha segura fazendo a troca no mínimo a cada 90 dias.
A Autenticação de Dois Fatores (2FA) ou Autenticação Multifator (MFA) é o próximo passo fundamental após o gerenciamento de senhas.
2FA é um processo de autenticação que requer que o usuário prove sua identidade usando dois fatores de autenticação diferentes antes de receber acesso. Essa opção fornece uma camada extra de segurança, dificultando o acesso de um atacante mesmo que ele possua o nome de usuário e a senha.
Para que seja considerada 2FA, os métodos de verificação devem pertencer a classes diferentes:
Conhecimento: Informação que apenas o usuário sabe (ex: senha, resposta a pergunta de segurança).
Posse: Depende da posse física de um objeto (ex: smartphone que recebe código, chave de hardware).
Dados Biométricos: Traços biológicos exclusivos (ex: impressão digital, identificação facial, leitura de retina).
Localização: Restrição de acesso a usuários em uma região geográfica específica (via GPS).
EXCEÇÃO/COBRANÇA EM CONCURSOS: Exigir uma senha e uma pergunta de segurança não se qualifica como 2FA, pois ambos pertencem ao fator Conhecimento.
Embora a 2FA baseada em SMS seja muito mais segura do que a autenticação de fator único (apenas senha), ela está entre os métodos 2FA menos seguros. O protocolo SMS não é criptografado e as mensagens podem ser interceptadas por invasores.
Alternativa Mais Segura (Priorizar): O ideal é usar senhas de uso único por tempo limitado (TOTP - Time-based One-Time Password) geradas por meio de um aplicativo seguro (como Google Authenticator ou similar). Esses códigos têm uma vida útil extremamente curta (geralmente menos de um minuto), tornando-os muito mais desafiadores para um atacante interceptar e descriptografar antes que expirem.
A segurança física dos seus dispositivos é tão importante quanto a segurança técnica.
Bloqueio Imediato: Nunca deixe dispositivos sem supervisão. Se precisar se afastar, mesmo que por um breve período, bloqueie seu laptop, telefone ou tablet. Para computadores desktop, bloqueie a tela ou desligue o sistema quando não estiver em uso.
Proteção Móvel: Bloqueie seu dispositivo com senha ou biometria e nunca o deixe desprotegido em público.
Criptografia de Dados: Se você mantém dados protegidos em um pendrive ou disco rígido externo, certifique-se de que eles também estejam criptografados e bloqueados.
Interfaces de Comunicação: Deixe as interfaces de comunicação (Bluetooth, NFC e Wi-Fi) desabilitadas, habilitando-as somente quando estritamente necessário.
Em Caso de Perda ou Furto: Altere imediatamente as senhas que possam estar armazenadas no aparelho (redes sociais, e-mail, aplicativos de compras). Consulte o fabricante para realizar o bloqueio remoto por meio de serviços de geolocalização.
Instalar atualizações de software para seu sistema operacional e programas é fundamental. A maioria dos usuários tem resistência em manter seu SO atualizado, mas essa prática compromete a segurança e a privacidade.
Correção de Falhas de Segurança: Este é o principal motivo. Atualizações são lançadas para corrigir falhas e brechas de segurança. Ataques cibernéticos e hackers exploram ativamente as vulnerabilidades que já existem nos sistemas.
Proteção contra Zero Day: As atualizações protegem contra ameaças digitais emergentes e ataques Zero Day (vulnerabilidades descobertas e exploradas antes que o fabricante lance a correção).
Melhoria e Desempenho: Atualizações também corrigem bugs indevidos e visam otimizar e revigorar o desempenho do dispositivo.
EXEMPLO CLÁSSICO E COBRADO: O ataque de Ransomware WannaCry em maio de 2017 infectou mais de 300 mil computadores globalmente ao explorar a falha "EternalBlue" no Windows. Este ataque poderia ter sido evitado, pois a Microsoft havia lançado um patch de atualização que corrigiu a falha dois meses antes (em março de 2017), mas os usuários não o aplicaram.
Ative as atualizações automáticas para o seu sistema operacional.
Use navegadores da web (como Chrome ou Firefox) que recebem atualizações de segurança automáticas e frequentes.
Certifique-se de manter os plug-ins do navegador (Flash, Java, etc.) atualizados.
O uso de mecanismos de segurança atualizados é crucial. Firewall e Antivírus são soluções complementares que formam uma camada de proteção robusta.
Definição: Um firewall é um sistema de segurança (pode ser físico, software ou híbrido) que funciona como um porteiro digital, responsável por controlar o tráfego de dados entre uma rede confiável (sua casa ou empresa) e outras redes (como a internet).
Função: Ele decide o que pode ou não entrar e sair da sua rede com base em regras pré-definidas. Protege a rede contra acessos não autorizados e monitora tentativas de invasão. A maioria dos sistemas operacionais já possui um software de firewall por padrão; certifique-se de mantê-lo ativo.
Limitação: Firewalls não detectam nem removem vírus ou malwares; eles evitam conexões e acessos perigosos.
Definição: É um software criado para detectar, bloquear e eliminar softwares maliciosos (malwares), como vírus, ransomwares, spywares e trojans que já estejam presentes ou tentem se instalar no seu dispositivo.
Função: Realiza varreduras, detecta e isola arquivos suspeitos, remove malwares identificados e protege contra phishing e links perigosos.
Local de Ação: O Antivírus atua dentro do dispositivo (notebook, PC, smartphone).
DIFERENÇA CRÍTICA (COBRANÇA EM CONCURSOS): O Firewall atua como barreira inicial, filtrando conexões e acessos à rede. O Antivírus entra em ação depois, cuidando do que já passou pelo firewall ou chegou ao dispositivo por outros meios (e-mails, pendrives, downloads).
O fator humano é o elo mais fraco da cadeia de segurança. Evitar clicar em conteúdo suspeito é um procedimento básico de segurança.
Evite Sites e Software Desconhecidos: Evite navegar em sites desconhecidos ou baixar software de fontes não confiáveis. Esses sites podem hospedar malware que é instalado automaticamente, comprometendo seu computador.
Fontes Oficiais: Ao instalar um aplicativo em seu telefone, baixe-o apenas através de lojas oficiais como a Google Play ou a App Store. Evite fontes desconhecidas, pois cibercriminosos criam aplicativos maliciosos que se passam por oficiais.
Links e Anexos: Se anexos ou links de e-mail forem inesperados ou suspeitos por qualquer motivo, não clique neles.
A conexão com a internet é um vetor de ataque comum. A segurança da sua rede Wi-Fi é crucial.
Para tornar seu Wi-Fi doméstico mais seguro, siga 4 passos:
Altere Palavras-Chave: Mude as palavras-passe de acesso à rede e ao equipamento (o router).
Altere o Nome: Altere o nome da sua rede (SSID). Escolha um nome que não denuncie que a rede pertence a você.
Configuração Criptográfica: Opte pelo protocolo de segurança WPA2 (Wi-Fi Protected Access 2). O WPA2 é o mais aconselhável, pois oferece o maior nível de eficácia na cifragem das comunicações em comparação com protocolos mais antigos como WEP e WPA.
Rede para Convidados: Crie uma rede separada para convidados (rede guest). Isso garante que eles não usem a rede principal, mantendo-a mais segura.
Redes Wi-Fi públicas (em bares, restaurantes) não oferecem a mesma segurança que uma rede privada. Pessoas mal-intencionadas podem usar essas redes para capturar seus dados (ataques de gêmeo maligno).
Regra de Ouro: Não acesse redes Wi-Fi públicas ou use-as com extrema cautela.
Transações Confidenciais: Evite inserir dados de login ou informações confidenciais (como transações bancárias) em redes públicas ou máquinas de terceiros.
Soluções Avançadas (Exceções): Se precisar usar uma rede insegura, tente se conectar através de uma VPN (Rede Virtual Privada). Para atividades de trabalho, consulte sua equipe de TI para viabilizar uma conexão VPN corporativa.
Gerenciar a privacidade de suas informações é crucial, pois até dados aparentemente inofensivos podem ser usados contra você.
Redes Sociais: Evite compartilhar informações pessoais e relacionadas ao trabalho em redes sociais. Detalhes sobre suas responsabilidades, rotinas e informações de contato podem ser coletados por golpistas para construir mensagens de phishing altamente convincentes (engenharia social).
Permissões de Aplicativos: Esteja atento às permissões que você concede aos aplicativos que instala ou aos serviços nos quais cria uma conta.
Phishing é um tipo de ciberataque que persiste há décadas, mas os criminosos estão cada vez mais sofisticados.
Phishing é um esquema de engenharia social que "atrai" a confiança das pessoas para persuadi-las a tomar uma ação que dá a um golpista acesso ao seu dispositivo, contas ou informações pessoais. O golpista se passa por uma pessoa ou organização em quem você confia.
O cenário comum envolve um e-mail de alerta que parece vir de uma fonte confiável (seu banco, por exemplo). Ao clicar no link, você é levado para uma página falsa (que se parece com a legítima), onde lhe é solicitado confirmar seu login e senha. Após inserir as credenciais, você é, em geral, redirecionado para a instituição verdadeira, não percebendo imediatamente que suas informações foram roubadas.
O Elemento Humano: A confiança e a urgência são o que tornam o phishing tão enganador. Se o criminoso consegue convencê-lo a confiar nele e agir sem pensar, você se torna um alvo fácil.
Os ataques de phishing podem ser amplos ou bastante direcionados:
Phishing de Spam: Ampla rede, mensagens enviadas em grande quantidade para pegar qualquer pessoa desavisada.
Phishing Direcionado (Spear Phishing): O ataque é personalizado para funcionários de empresas específicas ou alvos considerados valiosos/vulneráveis. Esses golpes personalizados levam tempo para serem elaborados, com o criminoso coletando dados sobre a vítima antes do ataque.
Whaling (Caça a Baleias): Variante do spear phishing que mira alvos de alto nível (executivos ou autoridades).
Smishing e Vishing: Ataques por SMS (Smishing) ou chamadas de voz (Vishing), utilizando urgência para que a vítima clique em um link ou retorne uma ligação.
Phishing em Mecanismos de Busca (SEO Spam): Golpistas usam métodos para fazer com que uma página fraudulenta apareça nos resultados de busca antes da legítima.
Pharming (Envenenamento de Cache DNS): Usa malware ou uma vulnerabilidade local para redirecionar o tráfego de sites seguros para sites de phishing. Digitar o URL correto manualmente ainda levará a vítima ao site malicioso.
A identificação resume-se a apontar qualquer coisa inconsistente ou incomum:
Exclua sem Abrir: A melhor maneira é bloquear ou excluir o e-mail imediatamente. Se o seu cliente de e-mail permite scripts, pode ocorrer uma infecção simplesmente abrindo uma mensagem suspeita.
Verifique a URL: Se receber um e-mail com um link, passe o mouse sobre ele (sem clicar) para ver o endereço de destino. O link deve iniciar com https:// (embora o cadeado de segurança não seja mais garantia total).
Desconfie da Urgência: Golpistas usam urgência para pressioná-lo a agir sem pensar. A maioria das empresas respeitáveis não solicitará informações de identificação pessoal ou detalhes da conta por e-mail.
Verifique a Identidade: Se a mensagem for suspeita, clique no nome do remetente para verificar o endereço de e-mail real.
Ação Segura: Se receber um alerta do seu banco ou outra instituição, nunca clique no link do e-mail. Em vez disso, abra o navegador e digite o endereço (URL) do site diretamente para verificar se o site é verdadeiro.
Denuncie: Em caso de incidente, denuncie e, se você forneceu informações sensíveis, redefina suas credenciais e entre em contato imediatamente com seu banco.
O backup das informações valiosas é o bem mais precioso em casos de perda, roubo ou ataque de malware (como ransomware).
Faça Backup Regularmente: O procedimento básico é realizar o backup dos dados regularmente.
Métodos: Você pode fazer backup manual de dados pessoais para discos rígidos externos ou usar soluções de armazenamento em nuvem de sua preferência (como a nuvem institucional da UFRJ para documentos específicos).
Backup é Redundância: Backup é a cópia de segurança dos dados de um dispositivo ou local para outro, tornando o dado redundante.
DÚVIDA CRÍTICA (COBRANÇA EM CONCURSOS): RAID (Redundant Array of Independent Disks) e NAS (Network Attached Storage) são ferramentas de armazenamento e disponibilidade, mas um NAS, por si só, não é um backup. É preciso ter uma cópia fora do local (offsite), pois incidentes como incêndios ou calamidades podem destruir tanto o NAS quanto o computador/servidor principal.
Para cumprir os procedimentos básicos de segurança, adote as seguintes regras:
Use Senhas Fortes e Exclusivas e utilize um gerenciador de senhas.
Habilite 2FA/MFA sempre que possível, preferindo TOTP em vez de SMS.
Mantenha o Sistema Operacional e Aplicativos Atualizados para corrigir vulnerabilidades de segurança.
Use Firewall e Antivírus/Antimalware de forma complementar.
Seja Cético: Nunca clique em links ou anexos inesperados. Digite URLs diretamente no navegador para sites bancários/confidenciais.
Proteção Física: Nunca deixe dispositivos sem supervisão e utilize bloqueio de tela (senha/biometria).
Cuidado com Wi-Fi Público: Evite redes públicas ou use uma VPN. Configure sua rede doméstica com WPA2 e crie uma rede guest.
Faça Backup Regularmente para discos externos ou nuvem, garantindo a redundância dos dados.