00:00 Josh
A FTC estimou que os americanos perderam 12,5 mil milhões de dólares devido a fraudes em 2024. Isto significa um aumento de 25% em comparação com o ano anterior. e em 2025, o âmbito e a escala dos ataques aumentarão, mesmo utilizando sites confiáveis como o LinkedIn. Uma empresa que tenta proteger os consumidores é a Push Security. Agora estou acompanhado por Mark Orlando, diretor de tecnologia da Push. Marcos, que bom ver você. Então por que não começamos aqui, Mark, você sabe, Mark, conforme o ano chega ao fim, estamos entrando em 2026, Mark. O que é grande
00:36 Josh
tópicos de segurança cibernética, Mark, devemos estar atentos. Quais são as tendências mais importantes? Por exemplo, a escala parece ser aquela que você enfatiza.
00:51 Marcos Orlando
Olá Josh, com certeza. A escala é verdadeiramente uma das maiores mudanças que vimos não só este ano, mas ao longo dos últimos anos, à medida que a infra-estrutura por trás destes tipos de ataques se torna cada vez mais fácil de manter e operar. Penso que podemos esperar que a escala destes ataques continue a crescer exponencialmente. Também vimos estes ataques tornarem-se cada vez mais sofisticados. Você mencionou abuso
01:23 Marcos Orlando
sites e serviços legítimos como o LinkedIn, mas vemos que em todos os lugares, sejam redes sociais ou anúncios patrocinados nos resultados do Google, os invasores criaram maneiras muito criativas e sofisticadas de aplicar esses golpes e ataques a usuários desavisados.
01:36 Josh
Mark, parece que você também está destacando mais ataques ao navegador. Por que isso acontece, Marcos? Quero dizer, tecnicamente, como isso deveria ajudar o invasor?
01:50 Marcos Orlando
Claro, bem, o navegador realmente evoluiu de uma ferramenta que usamos para navegar na web para, você sabe, basicamente uma plataforma que executa software sob demanda. Quero dizer, você sabe, há realmente trabalho acontecendo agora, incluindo usuários fazendo login nas várias contas e serviços que usamos todos os dias. Então os invasores perceberam isso e se afastaram de diferentes áreas da web, como e-mail ou, você sabe, acesso à web, que é muito bem protegido no navegador, o que é um pouco
02:29 Marcos Orlando
menos protegida, esta é certamente uma área onde a maioria das organizações não tem boa visibilidade sobre o que está acontecendo e como os usuários estão interagindo com os websites. Então, os invasores perceberam isso e se concentraram em fazer mais no navegador, onde os usuários podem ser induzidos a fazer todo tipo de coisa, fornecer informações que talvez não devessem, fazer login em sites que não deveriam, e novamente fazê-lo em um local que é muito difícil de ser observado pelas equipes de segurança.
03:00 Josh
Você também está destacando aqui, Mark, o que parecem ser esses ataques de pesca no LinkedIn. explique isso, Mark, como eles funcionam?
03:13 Marcos Orlando
Brilhante. Então, acho que historicamente, quando você fala sobre pesca ou fraudes por e-mail, é exatamente isso que quero dizer. É algo que vem por e-mail. e acho que é mais ou menos isso que os usuários esperam. se eles forem enganados, será algum e-mail suspeito mal formulado contendo um anexo ou link. E cada vez mais, isso não é mais o caso. Então, você mencionou o LinkedIn, identificamos uma campanha de ataque no início deste ano onde
03:44 Marcos Orlando
uh, o diretor, na verdade o CEO, hum, de uma empresa com a qual trabalhamos foi alvo do LinkedIn. Ele recebeu uma mensagem de alguém da sua rede, um contato de primeiro nível, hum, sobre algo que era muito relevante para esta empresa e para o trabalho dele. E então, ele clicou no link, sabe, tipo ei, olha só essa informação de investimento, essa oportunidade, me diga o que você achou. Uh, havia muitos sofisticados, hmm
04:14 Marcos Orlando
uma espécie de obstáculo que ele teve que passar para confirmar se era realmente ele quem estava acessando o site do invasor. e, finalmente, o objetivo era coletar seus dados de login. Na verdade, não foi um contato confiável quem enviou esta mensagem via LinkedIn, mas sim outra pessoa que invadiu a conta do contato. Portanto, esta é uma situação em que a mensagem não é apenas muito, muito persuasiva, mas vem de uma fonte confiável, neste caso, você sabe, um contato conhecido e confiável.
04:47 Marcos Orlando
Então é muito, muito difícil escolher. e, novamente, é muito difícil para uma organização ver o que está acontecendo nas comunicações do LinkedIn e muito menos fazer algo para impedir isso.
