Segurança Digital para Profissionais de Poker
22/06/2022
Neste artigo, vamos fazer um breve resumo sobre o Webinar de Cibersegurança a que a equipa Polarize Poker e, por sua vez, os nossos atletas e coaches tiveram acesso. Ao longo do Webinar “Segurança Digital”, o orador Tiago Martins abordou os seguintes temas: ameaças digitais comuns (credential stuffing, phishing, engenharia social e malware) e respectivas formas de prevenção. Tiago Martins é o responsável pelo departamento de IT da Polarize. É licenciado at Novas Tecnologias da Comunicação and Mestre em Engenharia Informática.
Sendo assim, vamos começar por abordar quais são as ameaças comuns e como é que os profissionais de poker podem identificá-las de forma a garantirem a sua segurança digital.
Ameaças comuns
Credential Stuffing – Uso de credenciais roubadas.
Como ocorre o ataque:
- Primeiramente, a Vítima cria uma conta no site Inseguro.com;
- O site Inseguro.com sofre um ataque e atacantes obtêm uma cópia da base de dados;
- Sendo assim, os Atacantes isolam a informação dos utilizadores registados e decodificam as passwords, Nome, email, idade, morada, métodos de pagamento e outras informações pessoais;
- Além disso, Atacantes tentam iniciar sessão em diversos outros sites, tipicamente recorrendo a meios automatizados. Por fim, utilizam a combinação email – password obtida na base de dados do site Inseguro.com.
Objetivo: Atacante espera que utilizadores reutilizem credenciais.
Prevenção: Nunca reutilizar credenciais. Este ataque não afeta utilizadores que utilizam passwords distintas para serviços distintos. Podes gerá-las através de um Password Manager.
Phishing – Envio de mensagem fraudulenta com o intuito de enganar o alvo de modo a que este revele informação sensível.
Como ocorre o ataque:
- Inicialmente, o atacante pretende obter credenciais do site Facebook.com, e por isso, cria uma cópia da página inicial;
- Atacante programa página para que esta armazene os dados (credenciais) introduzidos em texto-pleno (não encriptado);
- Atacante aloja esta página na Internet, tipicamente num domínio semelhante àquele que está a alvejar Faceboook.com em vez de Facebook.com;
- Atacante faz esta página chegar à vitima através de spam, email, publicidade, etc;
- Por fim, a vítima submete dados na página falsa.
Como detectar?
- O email é enviado a partir de um domínio público
- O domínio está incorretamente escrito
- O email contém anexos ou links
- O email cria um sentido de urgência
- O email contém erros ortográficos
- A oferta parece boa demais para ser verdade
Objetivo: Atacante pretende obter credenciais de determinado site.
Prevenção: Utilizar um software Password Manager. Este não faz o auto-preenchimento quando não conhece o site. Por exemplo, tens disponível o Google Password Manager e se fores um utilizador MacOs tens disponível o KeyChain – serviço integrado no próprio sistema.
Outros tipos de phishing
- Smishing – Semelhante ao phising “tradicional” que nos chega por email, mas com a diferença que neste caso nos chega através de SMS.
- Tipicamente contém um link que pede ao utilizador para realizar uma ação, como preencher um formulário.
- Vishing – Tentativa de fraude através de chamada telefónica.
- Relatos quase inexistentes em Portugal até muito recentemente.
- Atacante tipicamente faz-se passar por um representativo de uma marca conhecida (e.g. Microsoft) e procura: obter acesso à máquina da vítima e instalar malware; ou ludibriar a vítima para esta fazer uma compra.
- Malvertising – Atacantes pagam “spots publicitários” nos motores de busca e redes sociais para difundir o link malicioso que coleciona as credenciais. Ou seja, trata-se do mesmo princípio que o phishing “tradicional”, mas não captura a vítima através do email.
Engenharia Social – Atividades maliciosas realizadas por meio de interações humanas.
Como ocorre o ataque:
- Primeiramente, o Atacante envia um email à vítima informando-a de que esta ganhou um prémio – neste caso 0.06 BTC ($4,000 no ATH, $1,200 no momento). Sendo que, para resgatar este prémio, a vítima tem apenas de se registar num site, que tem o aspeto de uma Exchange “tradicional”, utilizando um código;
- Por conseguinte, a Vítima regista-se no site e vê que tem um saldo de 0.06 BTC – tudo parece OK até aqui;
- A Vítima tenta levantar este montante e é informado de que a quantia mínima para levantamento é de 0.10 BTC. A vítima tem de depositar 0.04 BTC para resgatar o prémio ganho.
- Por fim, a Vítima deposita e fica sem o seu dinheiro.
Como detectar?
- A oferta parece boa demais para ser verdade.
- O email cria um sentido de urgência.
Prevenção: Segregar a identidade física da identidade digital. Por exemplo, não utilizar para a Skrill o mesmo email que utilizo para o Facebook. Ou seja, utilizar autenticação multi-fator e sempre que possível através de aplicação Authenticator em vez de SMS.
Malware – Ficheiro ou código que infeta, explora, rouba ou executa qualquer comportamento que o atacante pretenda.
Como ocorre o ataque:
- Atacante prepara o malware assim como a distribuição do mesmo;
- Vítima faz download e executa malware;
- Atacante tem agora controlo sob o computador da vítima.
Prevenção: Não executar ficheiros provenientes de fontes desconhecidas, mesmo que não tenham extensão .exe (executáveis).
Dicas de Prevenção Gerais
- O primeiro passo é a consciencialização
- Instala um password manager e começa a utilizá-lo
- Começa a utilizar autenticação 2-fatores
- Cria um email profissional
- Não te esqueças: Tem um cuidado adicional com as tuas contas de email e do password manager, pois através destas é possível obter acesso a todas as outras.
Por fim, a segurança digital trata-se de um tema bastante atual devido aos recentes ataques que grandes empresas sofreram, nomeadamente, o Grupo Sonae e a Vodafone Portugal. Estes ataques têm tornado as empresas cada vez mais consciencializadas para estas situações e, consequentemente, levou a um maior investimento. De igual forma, a Polarize Poker alerta os seus jogadores, coaches e staff para um aumento da consciencialização deste problema global. Sendo que, o palestrante Tiago Martins alerta que “nunca estaremos 100% protegidos, no entanto se tomarmos todas as precauções enunciadas ao longo do Webinar, estaremos no caminho certo para evitar sermos atacados e, consequentemente,”roubados’‘.
Junta-te à equipa Polarize Poker – enviar candidatura!
Comments