Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Filter by Categories
A PROEXT
Acesso Rápido RE
Acesso Rápido RU
Ações de Extensão
Almoço
Alojamento e Convivência
ASSUNTOS ADMINSTRATIVOS
ASSUNTOS ESTUDANTIS
ASSUNTOS FINANCEIROS
Atualizações do Diário Oficial
Auditórias Anuais
Banco de Legislação - Financeiro
BIEXT
Bolsas Assuntos Estudantis
Caderno Extensão
Calendário
Câmara de Extensão
Cantinas
Cardápio do Restaurante Universitário
Carga Horária Diretrizes Curriculares
Centro de Memória
Clipping
COAP
Como Chegar
Como Chegar
Como Chegar
Como Chegar
Como Chegar Graduação
Composição Câmara de Graduação
Comunicados Oficiais
Comunicados Oficiais
Comunicados Oficiais
Comunicados Oficiais
Comunicados Oficiais
Comunicados Oficiais
Comunicados Oficiais
Concursos
Contrato de Obras
Coordenações de Curso
CORIN
CPPD
Cursos
Cursos de Pós-Graduação
DAC
DCF
DEL
Deliberações - CPPD
Deliberações CEPE Calendários
Deliberações COAP
Desenvolvimento Institucional
Desjejum
DGCC
Diretrizes Curriculares Nacionais
Diretrizes Gerais
DLI
Documentos Fórum das Coordenações
DPPEx
DRCI
Dúvidas Financeiro
Dúvidas Frequentes RE
Dúvidas Frequentes RU
Dúvidas Monitoria Graduação
Editais
Editais
Editais
Editais
Editais
Editais - Fluxo contínuo
Editais Corin
Editais em Aberto
Editais em Andamento
Editais Fechado
Empresas Juniores
Equipamentos Multiusuários
Equipe
Equipe
Equipe
Equipe
Equipe
Equipe
Equipe e Contatos
Espaços Físicos Comerciais
Eventos
Eventos Servidor
EXTENSÃO
Extratos de Convênio
Fale Conosco
Fale Conosco
Fale Conosco
Fale Conosco
Fale Conosco
Fale Conosco
Fale Conosco Imprensa
Fale Conosco PROPLADI
Fapur
Finanças DCF
Formulário Cursos
Formulários - CPPD
Formulários Acadêmicos
Formulários Câmara de Graduação
Formulários COAP
Formulários Cursos Extensão
Formulários DCF
Formulários DP
Formulários Equipe de Trabalho Extensão
Formulários Eventos Extensão
Formulários Monitoria Graduação
Formulários NAAP
Formulários PICDT
Formulários Prefeitura
Formulários Prestação de Contas
Formulários Prestação de Serviços Extensão
Formulários Programas Extensão
Formulários Projetos Extensão
Formulários Publicação Extensão
Formulários STA
Glossário
GRADUAÇÃO
Grupo de Estudo
Grupos PET
Ineagro
Informações para cadastro
informes Mobilidade Acadêmica Intra-campi
Informes Parfor
Informes PET
Iniciação Científica
INSTITUCIONAL
Jantar
Jornal da Graduação
Laboratórios
Lato Sensu
Legislação NULEP
Legislação Ouvidoria
Lei Orçamentária Anual
Leis - CPPD
Links
Links
Links Extensão
Links PARFOR
Links Pós-Graduação
Links úteis
Links úteis NULEP
Links Úteis Servidor
Logotipos
Manuais NULEP
Mão de Obra Terceirizada
Militantes
MOBILIDADE INTRA-CAMPI
MOBILIDADE NACIONAL
Mobilidades Estudantil
Normas
Normas Curso
Normas de Extensão
Normas Financeiro
Notícia
Notícia Destaque
Noticia Pós-Graduação
Notícias
Notícias
Notícias
Notícias Assuntos Estudantis
Notícias CPPD
Notícias da Extensão
Notícias de Cantinas e Espaços Físicos
Notícias Graduação
Notícias Institucionais
Notícias Orçamento e Finanças
Notícias Prefeitura
Notícias Rural Semanal
Notícias Terceirizados
Outros Contratos
Ouvidora
Ouvidoria
PARFOR
PET
Planejamento Institucional
Portal do Serividor
Portarias
Portarias Financeiro
PÓS-GRADUAÇÃO
Práticas Específicas
Pré-Enem Nova Iguaçu
Pré-Enem Seropédica
Prefeitura
Prestação de Contas
Principais Orientações - Coaaf
Principais Orientações - Coapen
Principais Orientações - Cocad
Principais Orientações - Copag
Pró-Reitor Adjunto de Assuntos Adminstrativos
Pró-reitor Adjunto de Assuntos Financeiros
Pró-Reitor Adjunto PROPLADI
Pró-Reitor de Assuntos Administrativos
Pró-reitor de Assuntos Financeiros
Pró-Reitor PROPLADI
Pró-Reitor(a) Adjunto de Assuntos Estudantis
Pró-Reitor(a) Adjunto de Extensão
Pró-Reitor(a) Adjunto de Graduação
Pró-reitor(a) Adjunto de Pesquisa e Pós Graduação
Pró-Reitor(a) de Assuntos Estudantis
Pró-Reitor(a) de Extensão
Pró-Reitor(a) de Graduação
Pró-Reitor(a) de Pesquisa e Pós Graduação
Processo Seletivo Mobilidade Acadêmica Intra Campi
Processo Seletivo Mobilidade Acadêmica Nacional
Processo Seletivo PARFOR
Processo Seletivo PET
PROEXT
Programas
Programas
Projetos encerrados
Projetos vigentes
PROPLADI
Publicações
Publicações Graduação
Quadro de Vagas
Regional ou Cultural
Regulamentos e Regimentos
Reingresso
Reingresso Interno
Reingresso Interno Modalidade
Reingresso Processo Anterior
Reitor
Relatórios DCF
Relatórios de Gestão
Religioso ou Ecumênico
Reopção Cursos
Revista Extensão
Rural Semanal
Secretaria Administrativa
Secretaria de Registros Acadêmicos - Solicitações
Secretaria Ouvidoria
Sem categoria
SEMEX
Serviços gerais
Stricto Sensu
Terceirizados
Termo de Colaboração
Termo de Fomento
Transferência Externa
Transferência Interna
Transparência e Prestação de Contas
Treinamentos e Palestras Financeiro
UFRRJ Ciência
Vice-Reitor
Vídeos Imprensa
Portal UFRRJ > INSTITUCIONAL > Notícia Destaque > Gestor de Segurança da Informação da UFRRJ dá dicas contra fraudes virtuais

Gestor de Segurança da Informação da UFRRJ dá dicas contra fraudes virtuais

Não dê clique para golpe

 

“Quando a esmola é demais, o santo desconfia”. Este provérbio popular vem de longe e ainda se mostra útil em muitas situações do cotidiano. Serve também para este nosso mundo cada vez mais conectado e sujeito à ação de aproveitadores que surfam nas ondas virtuais. Um exemplo recente: em junho, o site Café História noticiou uma fraude que está se tornando comum nos meios acadêmicos, especialmente depois do aumento das atividades remotas. Trata-se do “phishing” (ou “phishing scam”): um golpe praticado por um falsário que se faz passar por uma empresa ou pessoa conhecida a fim de conseguir dados da vítima.

 

Para saber como devemos lidar com este e outros tipos de ataques virtuais, conversamos com o técnico-administrativo Aroldo do Santos Brum, analista de Tecnologia da Informação (TI) e gestor de Segurança da Informação e Comunicações da UFRRJ desde 2012. E o principal conselho que ele nos deixou segue de perto aquele velho provérbio do “santo desconfiado”: “Qualquer oferta vantajosa demais, busque confirmar diretamente a instituição ou pessoa citada – sem usar os meios de contato exibidos na mensagem falsa, é claro. E, na dúvida, não siga em frente, não execute a ação sugerida na mensagem (clicar no link, compartilhar, ver o vídeo, instalar o app etc.) ”, disse Brum.

 

Não é novidade

 

A matéria veiculada no Café História reportou um caso ocorrido em 4 de junho, no Departamento de História da Universidade de Brasília (UnB), quando docentes receberam um e-mail em nome de uma colega aposentada que os convidava a prestar serviços profissionais remunerados. Na verdade, um golpista se fez passar pela professora, adicionando detalhes que davam mais veracidade à mensagem, como foto, assinatura, logo da instituição e link para o currículo Lattes. Entretanto, um pequeno erro na escrita do sobrenome da docente revelou a fraude aos destinatários mais atentos. Além deste caso, o Café História citou outros ocorridos em universidades federais, entre elas a de Minas Gerais (UFMG), que registrou um caso em fevereiro deste ano, e a de Lavras (Ufla), que alertou sua comunidade em nota publicada em junho de 2020.

 

Brum lembrou que a Rural já passou por um caso de “phishing” em outubro de 2016, levando a Coordenadoria de Tecnologia de Informação e Comunicação (Cotic/UFRRJ) a emitir um alerta aos usuários no Portal da Universidade. O analista de TI detalha a farsa elaborada pelo estelionatário cibernético:

 

“Um golpista enviou um e-mail se passando por um professor da UFRRJ, em suposta parceria com uma colega da Universidade Federal do Paraná (UFPR). Era oferecida uma oportunidade de trabalho temporário, com vaga garantida para quem fosse indicado por ele. Mas para participar do processo seletivo a pessoa deveria pagar uma quantia de R$ 175, e enviar o comprovante com seus dados pessoais e de contato. O impostor, ao receber esse primeiro valor, entrava em contato com a vítima por telefone, fingindo novamente ser o professor. Ele então dizia que seu carro enguiçou a caminho do local de realização das supostas atividades, mas que teria esquecido o cartão de crédito em casa. Aí ele pedia que a pessoa fizesse uma transferência bancária para o ‘mecânico’ – dessa vez pedindo um valor maior, obviamente”.

 

Aroldo Brum ainda relatou o episódio em que uma conta de e-mail teve credenciais de acesso comprometidas – “Provavelmente por ataque de ‘phishing scam’”, afirmou. “O atacante utilizou de automatização externa para usar essa conta e enviar mensagens de spam para vários destinatários no exterior. Isso ocasionou o bloqueio temporário do recebimento de e-mails @ufrrj.br”, explicou.

 

Protocolos e ferramentas de segurança

 

Segundo Aroldo Brum, o recebimento de e-mails de “phishing scam” é comum, e medidas de contenção já são programadas por meio de dispositivos automáticos que bloqueiam grande parte das tentativas. O webmail da UFRRJ, por exemplo, consegue deter mais de 60% das tentativas de entrega de mensagens, que são reconhecidas pelas ferramentas de segurança como prejudiciais ao usurário – spam, phishing, vírus etc.

 

“Também adicionamos procedimentos operacionais para diminuir a chance de sucesso desses golpes, quando os mesmos conseguem romper essa contenção automatizada e chegam às contas de e-mail institucionais. Atualmente, notificamos os provedores envolvidos através do apoio do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (Cais/RNP), que na maioria dos casos ‘tira do ar’ a estrutura usada pelos atacantes em poucas horas”, disse o técnico.

 

A interação com os usuários também é importante nessa batalha contra os gatunos da rede. Nesse sentido, a Cotic mantém um canal de contato pelo e-mail abuse@ufrrj.br, para que sejam enviadas notificações de suspeita de golpe. “Assim que tomamos conhecimento, acionamos o apoio do Cais/RNP e demais órgãos pertinentes, para que possamos mitigar o risco de concretização desses golpes ou, no mínimo, interromper a continuidade dos mesmos”, ressaltou o analista. “Quando a tentativa ocorre em larga escala, publicamos nota no Portal da UFRRJ e demais meios de comunicação com a comunidade universitária. Ainda temos de obrigatoriamente avisar o Departamento de Polícia Federal se o caso envolver crime eletrônico contra a instituição”.

 

Investimento e treinamento

 

Servidor da Universidade desde 2011, Aroldo Brum avalia que seu setor tem experimentado avanços, especialmente a partir do investimento em equipamentos de segurança de rede, além do aperfeiçoamento da capacidade de proteção e de detecção de riscos. Para desenvolver ainda mais a estratégia de defesa, Brum salienta que é fundamental a qualificação da equipe: “Com equipamentos tão especializados e complexos, o treinamento adequado possibilitaria um melhor entendimento para usar todas as funcionalidades, permitindo uma implantação mais ágil e segura das diversas possibilidades de automatização na identificação e tratamento de ameaças”.

 

Atualmente, o gestor de Segurança da Informação da Rural conta com apoio de dois bolsistas, que o auxiliam nas tarefas de monitoramento e atendimento de incidentes. De acordo com Brum, sua seção também elabora tutoriais para a equipe técnica da Cotic e trabalha na pesquisa de novos recursos de proteção. “Temos nos preparado para avançar em materiais e ações para conscientização da comunidade universitária”, completou.

 

Setor público

 

Entre as principais ameaças virtuais sofridas por instituições públicas, Aroldo Brum cita: o comprometimento de dados de acesso às redes e sistemas por usuários que compartilham indevidamente essas informações; o “ransomware”, que é a infecção de dispositivos para sequestro de dados; o uso de “botnets” (máquinas infectadas, controladas remotamente); e equipamentos de rede wireless instalados por usuários sem a participação dos técnicos de TI, expondo a rede interna institucional a acessos indevidos.

 

Com tantas ameaças, será que o setor público está bem preparado?

 

“Tenho visto uma melhoria com a adoção de soluções de e-mail mais modernas, em convênio com empresas como a Google e a Microsoft, por exemplo, que possuem mecanismos de proteção mais eficientes que aqueles de que dispomos atualmente. O que pode ser ainda mais trabalhado é a conscientização dos usuários. Pois, seja qual for o meio utilizado para envio do ‘phishing scam’ (WhatsApp, mensagem de texto, e-mail ou ligações), a falta de conhecimento ou de atenção do destinatário é fator determinante para o sucesso ou não do golpe”, alertou Brum.

 

Fique ligado

 

Então, parece que o usuário tem um papel determinante em sua defesa contra os golpes virtuais. Na linha do “seguro morreu de velho”, vale a pena seguir algumas recomendações de um profissional com tantos anos de combate nas trincheiras da segurança de rede:

 

“Manter os sistemas operacionais dos dispositivos atualizados, não instalar aplicativos de origem não oficial e ter alguma solução antivírus pode ajudar bastante. Porém, o entendimento de que esses golpes costumam aproveitar gatilhos emocionais da busca por vantagens, curiosidade ou comoção sobre algum assunto em evidência (para atrair a atenção do usuário e convencê-lo a clicar e espalhar a mensagem falsa), já nos deixa em estado de alerta quando nos deparamos com esse tipo de mensagem”, aconselha Brum.

 

Mas ele tem mais a dizer:

 

“Também ressaltamos a importância de não compartilhar as credenciais de acesso ao e-mail da Rural e de nenhum outro sistema. Devemos sempre nos lembrar de que essas credenciais são pessoais e intransferíveis. Equipamentos de rede – como roteadores sem fio e switches – devem ser instalados com a participação da equipe técnica da Cotic, para estar em conformidade com a proteção que nossos aparelhos podem fornecer. E não devemos utilizar softwares piratas, pois geralmente os mesmos trazem códigos maliciosos que colocam o dispositivo sob controle de atacantes que terão acesso aos dados ou utilizarão os recursos de armazenamento/processamento/rede para finalidades criminosas”.

 

Para quem quiser se aprofundar – e não dar mais cliques para os golpes – a RNP criou um Catálogo de Fraudes com mais de 12 mil amostras, incluindo conselhos para o usuário se proteger. Acesse-o em: https://www.rnp.br/sistema-rnp/cais/catalogo-de-fraudes

 

Na UFRRJ, a comunidade acadêmica pode contar com suporte técnico pelo e-mail cotic@ufrrj.br. Para tratar de incidentes de segurança da informação, o canal é o abuse@ufrrj.br.

 

Por João Henrique Oliveira (Coordenadoria de Comunicação Social/UFRRJ)


Postado em 07/07/2021 - 14:17 -

Notícias Relacionadas

Orientações à comunidade universitária sobre o e-mail institucional (@ufrrj.br)
Serviços acessados pela RNP estão em manutenção até 29/7
Recomendações para evitar a invasão de salas no ensino remoto
Plataforma Microsoft Teams disponível para uso da UFRRJ
Sistema SIG restabelecido

Últimas Notícias

Skip to content