A cibersegurança sempre foi uma corrida armamentista entre atacantes e defensores, mas o avanço das ferramentas de IA acelerou essa disputa como nunca antes.

Tome o spearphishing como exemplo: tradicionalmente, cibercriminosos gastavam horas ou até dias coletando dados para criar e-mails convincentes e personalizados, capazes de enganar vítimas e levá-las a revelar informações sensíveis ou baixar malware. Hoje, a IA reduz esse processo a poucos minutos.

Os criminosos também utilizam técnicas avançadas de ocultação, como incorporar URLs maliciosas em QR codes ou disfarçar tentativas de phishing como convites de calendário para aumentar as taxas de sucesso.

Para enfrentar essas ameaças em constante evolução, as empresas precisam de uma estratégia que priorize a prevenção e de proteção baseada em IA, capaz de identificar tentativas de phishing que poderiam passar despercebidas por humanos.

Desde seu lançamento em 2020, o ESET Cloud Office Security vem aprimorando continuamente suas capacidades de detecção, oferecendo proteção avançada para Microsoft 365 e Google Workspace contra malware, phishing e spam. Recentemente, a ESET expandiu seus recursos para detectar táticas enganosas de phishing, incluindo QR codes maliciosos e convites de calendário. Os resultados falam por si: dezenas de milhares de ameaças foram detectadas desde então.

Principais pontos deste artigo:

• À medida que o cibercrime avança, o phishing se torna mais sofisticado, e muitas dicas tradicionais de conscientização perdem relevância, exigindo a atualização das diretrizes convencionais.

• Dados globais mostram que o phishing está entre os vetores de ataque mais comuns, com prejuízos que podem chegar a milhões de dólares, enquanto a IA agrava ainda mais o cenário, com atualmente 16% das violações de dados envolvendo atacantes que utilizam IA.

• As empresas precisam enfrentar essa ameaça com prevenção e proteção baseada em IA, analisando até mesmo aspectos dos e-mails de phishing que passam despercebidos ao olhar humano.

• A ESET vem aprimorando continuamente o ESET Cloud Office Security, protegendo Microsoft 365 e Google Workspace com novos recursos capazes de identificar ameaças até mesmo em e-mails de spearphishing cuidadosamente elaborados.

Phishing em nível avançado

Antes de explorar as técnicas de ocultação em mensagens de phishing, vale observar como essa ameaça evoluiu.

O phishing é uma das táticas de engenharia social mais antigas, baseada em impersonação e chamadas urgentes para ação que induzem os usuários a revelar dados sensíveis ou baixar malware. Mensagens como “Sua senha expirou, clique aqui para renovar” eram, no passado, fáceis de identificar, de modo que o sucesso do phishing dependia principalmente do grande volume de envios.

Por muito tempo, a conscientização, juntamente com a filtragem de spam, foi a melhor defesa. Os colaboradores eram treinados para identificar sinais de alerta, como erros gramaticais, linguagem urgente, solicitações inesperadas e críticas, endereços de remetente duvidosos ou URLs suspeitas.

No entanto, com o avanço do cibercrime, muitas dessas orientações perderam relevância, e as novas ferramentas de IA podem representar o golpe final contra essa abordagem tradicional.

Não se trata apenas de e-mails de phishing mais elaborados; a IA os tornou mais convincentes e mais fáceis de produzir em escala. Por exemplo, a IBM constatou que a IA generativa reduziu o tempo necessário para criar um e-mail de phishing convincente de 16 horas para apenas cinco minutos.

Visão do especialista:

“A IA tornou tudo mais rápido. A telemetria da ESET mostra que a maioria dos ataques cibernéticos contra empresas começa com e-mails de phishing. Tradicionalmente, o phishing engana as pessoas para que revelem dados pessoais ou façam o download de malware. O spearphishing vai além, utilizando mensagens personalizadas após os atacantes coletarem informações sobre um alvo específico. Hoje, a IA automatiza esse processo, tornando o spearphishing o padrão. Por exemplo, você publica nas redes sociais que está em uma conferência e, no dia seguinte, pode receber um e-mail fraudulento de alguém que afirma ter encontrado você lá, oferecendo fotos e querendo se conectar. Para uma pessoa sem experiência, é fácil cair nesse tipo de golpe e clicar em um link malicioso.”

- Július Selecký, Arquiteto de Soluções da ESET

E já é possível observar essas tendências nos números:

• A telemetria da ESET mostra que 34% de todo o malware detectado é distribuído por meio de phishing[MP1] .

• A maioria das violações (60%) envolve um elemento humano, de acordo com o Data Breach Investigations Report (DBIR) 2025 da Verizon.

• O phishing é o vetor de ataque mais comum (16%) e, com um custo médio de US$ 4,8 milhões por violação, também é um dos mais caros, segundo o Cost of a Data Breach Report 2025 da IBM.

• Em média, 16% das violações de dados envolveram atacantes utilizando IA, principalmente para phishing gerado por IA (37%) e ataques de impersonação com deepfake (35%), de acordo com o relatório da IBM.

Técnicas de ofuscação

Para tornar o phishing mais eficaz, cibercriminosos utilizam diversas técnicas de ofuscação, como:

Falsificação do remetente de e-mail – Os atacantes configuram o endereço “De” para parecer um remetente confiável. Muitas vezes, também manipulam o campo “Responder para”, fazendo com que as respostas sejam enviadas ao atacante, mesmo que pareça legítimo.

Ataque de homoglifos – Ataques de homoglifos, ou homográficos, exploram semelhanças entre letras e símbolos. Por exemplo, o domínio “℮s℮t.com” não é o domínio real da ESET, pois utiliza símbolos “℮” em vez da letra “e” do alfabeto.

Typosquatting – Semelhante aos ataques de homoglifos, o typosquatting também utiliza truques visuais para fazer com que links de phishing pareçam mais legítimos. Em vez de caracteres substituídos, baseia-se em pequenos erros de digitação, como usar “eseet.com” em vez de “eset.com” como domínio do remetente.

Quishing – O quishing, ou phishing via QR code, incorpora URLs maliciosas em QR codes para induzir os usuários a acessarem sites falsos com o objetivo de roubar informações sensíveis ou instalar malware. A URL não fica visível no corpo do e-mail, o que significa que o usuário só a verá após escanear o código com o smartphone, levando a ameaça para o ambiente móvel, que frequentemente é menos seguro.

Convite de calendário malicioso – Esse ataque utiliza convites de calendário falsos para entregar links de phishing, que muitas vezes são adicionados automaticamente aos calendários dos usuários, contornando a filtragem tradicional de e-mails. O Gmail e diversos outros aplicativos de calendário adicionam automaticamente convites externos como compromissos “provisórios”, sem aprovação do usuário, inserindo eventos no calendário sem a necessidade de qualquer clique.

O que as empresas podem fazer?

Diante desses ataques sofisticados, as empresas precisam adotar uma abordagem que priorize a prevenção, mitigando ameaças o mais cedo possível para evitar danos ou minimizar o impacto de incidentes.

A seguir, uma breve descrição dessa abordagem no contexto de e-mails de phishing:

Minimize a superfície de ataque – Quando um e-mail com um anexo malicioso chega, ele é primeiro processado pelo serviço de e-mail em nuvem da empresa e, somente depois, aparece na caixa de entrada do colaborador. Se o e-mail contiver um QR code ou um PDF, é provável que o usuário o abra ou utilize o smartphone para acessá-lo. Todos esses ambientes precisam ser protegidos por meio da criação de múltiplas camadas de segurança.

Reduza a complexidade – Proteger esses ambientes com diversas soluções de segurança, como segurança de aplicações em nuvem, proteção de endpoints e proteção de dispositivos móveis, exigindo logins separados, é uma tarefa complexa. Isso pode gerar lacunas de visibilidade e fadiga de alertas, resultando em perda de controle. Idealmente, as empresas devem consolidar o gerenciamento em um único painel e considerar a terceirização de atividades para um provedor de Managed Detection and Response (MDR).

Fortaleça a ciber-higiene – Muitas ameaças baseadas em e-mail podem ser evitadas com boas práticas, como atualizações regulares, gerenciamento de patches, criptografia e políticas de segurança. Para simplificar essas rotinas, as equipes de TI devem contar com soluções automatizadas.

Antecipe-se à conformidade – Os requisitos regulatórios geralmente se baseiam em medidas proativas, como treinamentos de conscientização sobre diversas ameaças cibernéticas, incluindo phishing e spearphishing, destacando seus principais sinais para reduzir possíveis erros humanos.

Uma palavra sobre conscientização

Identificar e-mails de phishing hoje em dia pode ser difícil, por isso os colaboradores precisam desenvolver uma compreensão aprofundada de como determinados ataques cibernéticos funcionam.

Veja algumas dicas para identificar e-mails de spearphishing:

• Verifique cuidadosamente o endereço do remetente: Fique atento a homoglifos. Desconfie se o nome exibido não corresponder ao endereço real no campo “De”.
• Observe a linguagem ou o tom incomum: E-mails de spearphishing frequentemente imitam alguém que você conhece e são bem escritos, mas podem apresentar construções estranhas, um senso de urgência incomum ou solicitações fora do padrão do remetente.
• Inspecione os links antes de clicar: Passe o cursor sobre os links para verificar a URL real e, ao usar um leitor de QR code, sempre que possível, confira o endereço antes de acessá-lo. Fique atento a erros de digitação ou domínios que não correspondem à organização legítima.
• Verifique os anexos: Anexos maliciosos frequentemente utilizam extensões incomuns, como .exe ou .zip. Não se deixe enganar pelo nome do arquivo ou pelo ícone. Por exemplo, um anexo malicioso pode parecer um PDF ao usar o ícone e a sigla “PDF” no nome, mas a extensão real pode ser diferente.
• Confirme solicitações: Se o e-mail solicitar informações sensíveis ou transferência de valores, valide o pedido por outro canal, como uma ligação telefônica ou chat oficial.

A segurança com IA da ESET entra em ação

O ESET Cloud Office Security é uma solução baseada em IA que utiliza uma combinação de filtragem de spam, varredura antimalware, proteção anti-phishing e defesa avançada contra ameaças com sandbox em nuvem para proteger as comunicações, a colaboração e o armazenamento em nuvem das empresas.

Descrição: Diagrama de visão geral do ESET Cloud Office Security.

Diante da evolução dos ataques de phishing, em 2024, a ESET reforçou a proteção de aplicações em nuvem com o Anti-spoofing, um recurso que identifica e impede que atacantes se passem por fontes confiáveis, e a proteção contra homoglifos, que detecta domínios de e-mail maliciosos que tentam se passar por legítimos por meio da substituição de letras por caracteres semelhantes ou de outros alfabetos.

Recentemente, o ESET Cloud Office Security recebeu dois novos recursos voltados a outros tipos de técnicas de ofuscação em e-mails de phishing:

Detecção de QR codes maliciosos – Esse recurso reconhece possíveis ataques de quishing ao identificar QR codes em e-mails, extrair os links incorporados e analisá-los com os mecanismos anti-phishing, antimalware e antispam da ESET. Isso ajuda a bloquear URLs maliciosas antes que os usuários possam acessá-las.

Proteção contra convites de calendário maliciosos – Analisa convites de calendário e e-mails relacionados em busca de spam, links de phishing, malware, anexos suspeitos e QR codes incorporados. Caso uma ameaça seja detectada, tanto o e-mail quanto o evento de calendário são removidos automaticamente, impedindo que solicitações falsas de reunião cheguem aos usuários.

Para reduzir a complexidade, o ESET Cloud Office Security pode ser integrado ao Microsoft 365 ou ao Google Workspace em poucos minutos, permitindo proteção imediata. A solução oferece suporte à gestão multi-tenant para dezenas de milhares de usuários, garantindo que novos colaboradores sejam protegidos automaticamente, sem necessidade de configuração manual. E-mails suspeitos podem ser colocados em quarentena, gerenciados e investigados com facilidade por meio de um painel intuitivo.

Incorpore o vídeo: Your Cloud Workspace, Fully Protected - YouTube

Os cibercriminosos aperfeiçoam suas ferramentas, faça o mesmo

Um único e-mail de phishing pode comprometer uma empresa de qualquer porte e, com os cibercriminosos aprimorando constantemente suas ferramentas e táticas, essa ameaça é mais séria do que nunca.

Embora as empresas não possam impedir que criminosos utilizem IA para coletar informações e conduzir campanhas de spearphishing, elas podem implementar múltiplas camadas de defesa para detectar e bloquear tentativas de phishing. O treinamento de conscientização continua sendo importante, mas a proteção automatizada baseada em IA é essencial para identificar ameaças que simplesmente passam despercebidas ao olhar humano.

O ESET Cloud Office Security oferece proteção robusta contra vetores de ataque originados de e-mails e plataformas de colaboração, interrompendo ataques de phishing antes que causem qualquer dano.

Experimente agora o ESET Cloud Office Security gratuitamente por 30 dias!

Perguntas frequentes:

O que é phishing e por que é perigoso?

Phishing é uma tática de engenharia social que utiliza impersonação e chamadas urgentes para ação para enganar usuários e levá-los a revelar dados sensíveis ou baixar malware.

Como o phishing evoluiu ao longo do tempo?

O phishing costumava depender de volume e de truques evidentes, como erros gramaticais ou URLs suspeitas. Hoje, os atacantes utilizam IA para criar mensagens convincentes de forma rápida e em escala. Segundo a IBM, a IA pode reduzir o tempo de criação de um e-mail de phishing de 16 horas para apenas 5 minutos.

Quão comuns são os ataques de phishing?

O phishing provavelmente é o vetor de ataque mais comum. A telemetria da ESET mostra que 28,2% de todo o malware detectado é distribuído por meio de phishing.

Quais técnicas de ofuscação os atacantes utilizam?

Falsificação do remetente de e-mail: Campos “De” e “Responder para” falsificados.

Ataques de homoglifos: Uso de caracteres visualmente semelhantes, como “℮s℮t.com” em vez de “eset.com”.

• Typosquatting: Pequenos erros de digitação, como “eseet.com”.
• Quishing: QR codes maliciosos que ocultam URLs.
• Convites de calendário maliciosos: Convites falsos que contornam filtros de e-mail e são adicionados automaticamente aos calendários.

Como as empresas podem se proteger?

Adotar uma abordagem que priorize a prevenção, envolvendo a redução da superfície de ataque, a diminuição da complexidade, o fortalecimento da ciber-higiene e a antecipação de requisitos de conformidade.

Como o ESET Cloud Office Security ajuda?

O ESET Cloud Office Security oferece proteção baseada em IA para Microsoft 365 e Google Workspace, combinando filtragem de spam, antimalware, proteção anti-phishing e sandbox em nuvem. A ESET atualiza continuamente a proteção de aplicações em nuvem para identificar até mesmo as tentativas de phishing mais sofisticadas.

Segundo relatos de usuários, a atualização de setembro de 2021 (KB5005565) do Windows 10 acabou gerando um erro em impressoras conectadas em rede. Confira!

Disponibilizada nesta semana, a atualização de setembro de 2021 (KB5005565) do Windows 10 acabou trazendo para diversos usuários um bug que causa problemas de impressão em rede. A instalação do Patch Tuesday de setembro acabou causando conflitos no servidor de impressão, segundo o relato de leitores do Oficina da Net.

A atualização KB5005565 começou a ser disponibilizada na noite de terça-feira, trazendo correções relacionadas ao Bluetooth, ao áudio, à segurança e melhorias gerais. Dentre as soluções trazidas pela Microsoft, houve uma correção relacionada ao PrintNightmare, identificada como CVE-2021-36958. Essa vulnerabilidade é relacionada às impressoras e visa consertar uma falha que permite que invasores a utilizem para obter privilégios de sistema.

Últimas correções aplicadas pela atualização KB5005565 causaram bug em impressoras conectadas em rede

Infelizmente, as últimas correções voltadas para a vulnerabilidade em impressoras, conforme citado acima, acabaram causando um bug em muitos computadores que impede as impressoras de se conectarem ao servidor para imprimir.

Fonte: https://www.oficinadanet.com.br/windows/38184-atualizacao-kb5005565-setembro-windows-10-bug-impressoras

A Staft Informática oferece uma maneira ágil e funcional para reduzir seus custos,
através da locação de impressoras multifuncionais. Incluindo manutenções, equipamentos atualizados, suporte técnico, Cartuchos e Tonner´s.

Consulte-nos e vamos definir juntos qual a melhor opção para seu negócio!!!

RICOH SP 3710SF

PRINCIPAIS CARACTERÍSTICAS
Produção de até 34 ppm, cópia, digitalização, fax;
Resolução máxima de impressão de 1200 x 1200 dpi;
capacidade de papel de até 550 páginas;
Estenda o tempo de atividade, maximize seu orçamento com maiores rendimentos de impressão e menos aborrecimentos

Recursos
Atenda a todas as demandas e a todos os orçamentos

Faça o melhor uso do seu orçamento para compartilhar suas melhores ideias. Use impressora Multifuncional a laser (MFP) RICOH SP 3710SF preto e branco de baixo custo e acessível para imprimir, copiar, digitalizar e enviar fax com facilidade a partir da área de trabalho. Adote a versatilidade com várias opções de conectividade, adicione uma impressão remota e conveniente, manipule uma ampla variedade de mídias e reduza os custos de impressão com cartucho de impressão de alto rendimento

Valorize a velocidade de seus fluxos de trabalho

Compartilhe mensagens rapidamente. Imprima em preto e branco e em até 34 páginas por minuto (ppm). Use o alimentador Re-circulador Automático de Originais de 35 folhas para transformar originais em cópias simples ou em frente e verso, ou em arquivos digitais que podem ser compartilhados via digitalização para Email e outras opções instantaneamente. Use o fax sem papel para reduzir custos de papel e de transmissão.

Mais um grande empreendimento gastronômico, aconchegante e descontraído em Porto Alegre.

A abertura do Urban Bar, localizado na Rua Jaime Telles, 215 Bairro Petrópólis, Porto Alegre/RS,  ocorreu no dia 05/11/2020, com público restrito e todas as medidas previstas para a atual situação em que vivemos, da pandemia Covid19.

Com uma carta variada de cervejas, drinks e gastronomia, o Urban Bar será, com certeza, referência em Gastro Pub na cidade de Porto Alegre para reunir os amigos, celebrar um momento especial e apreciar um local de qualidade e com excelente atendimento.

A Staft Automação, localizada no bairro Petrópolis e com muitos anos de experiência e know-how no setor, tem orgulho de fazer parte dessa parceria de sucesso. O restaurante utiliza equipamentos de Automação Comercial, proporcionando recursos modernos e de mobilidade, integrando soluções de hardware e software, disponibilizando ao estabelecimento maior funcionalidade, agilidade e qualidade no atendimento aos seus clientes.

O Firewall Staft Series protege sua rede com recursos de ponta, como prevenção de intrusões em linha, rede privada virtual, autenticação de dois fatores, portal cativo e proxy de filtragem. Garante um desempenho de rede estável, minimizando sua interrupção. Mantenha sua rede segura e os bons pacotes fluindo.

Confira mais um resumo de notícias. Mas, desta vez, iremos fazer algo diferente. Como o ano esta terminando, que tal relembrar as notícias que marcaram o mundo da segurança digital em 2019? Além disso, o vídeo conta com um pouco mais de 1 minuto (como normalmente apresentamos), mas vale a pena conferir:

https://youtu.be/p_AdQrzvQ08

(link seguro)

A enorme quantidade de vazamento de dados tem preocupado a todos. Visando extinguir ou minimizar ao máximo a chance dessa falha acontecer, a lei aborda uma série de pontos que mudaram em definitivo (e para melhor) a forma como pessoas e empresas encaram os dados.

Quem nunca recebeu uma ligação de alguma empresa ofertando um produto e se perguntou “Como raios eles descobriram meu telefone?”. Pois é…

A Lei Geral de Proteção de Dados (LGPD) visa punir severamente quem lidar de forma inadequada com dados pessoais. Para que você possa entender melhor sobre o assunto, confira 6 aspectos sobre a nova lei.

#1 Os dados

É fundamental entender qual a interpretação correta de dados pessoais prevista na LGPD, que trata os dados pessoais de duas formas principais:

Dados pessoais: São considerados dados pessoais todos os dados que permitam identificação direta ou indireta de uma pessoa. Os mais comumente vistos são RG, CPF, passaporte, carteira de habilitação, mas será necessário se preocupar com outros tipos de dados que antes não eram considerados tão importantes, como endereço, telefone, e-mail, IP e até mesmo cookies.

Dados sensíveis: Os dados sensíveis são tratados com ainda mais cautela pois abrem margem para discriminação. O artigo quinto da LGPD prevê que sejam considerados dados pessoais sensíveis os dados que façam referência a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

#2 Quem manipulará os dados

Agora que temos uma visão dos dados pessoais abordados é necessário entender os papeis previstos na lei para cada um dos envolvidos ao longo do processo de manipulação dos dados.

Titular – Proprietário dos dados pessoais que serão tratados ao longo de todo o processo.

Controlador – Pessoa física ou jurídica responsável por estipular como os dados pessoais serão tratados.

Operador – Pessoa física ou jurídica que realiza o tratamento dos dados pessoais em nome do controlador.

Encarregado – Pessoa indicada pelo controlador para mediar a comunicação entre controlador, titular e a Autoridade Nacional de Proteção de Dados.

“Certo, entendi as especificações de cada um deles, mas como isso fica na prática? Quem é controlador e quem é operador?”.

Me fiz essa pergunta antes de estudar os pormenores da lei, e se você, assim como eu, também se perguntou isso, aqui vão alguns exemplos que podem ajudar a esclarecer isso.

Serão considerados controladores todas as pessoas ou empresas a quem a coleta de dados será destinada, por exemplo: bancos, fabricantes de softwares, lojas de roupas, supermercados, entre outros. Todos eles manterão os dados dos titulares sob sua custódia e têm o poder de decisão sobre o que será feito com estes dados.

Os operadores são os responsáveis por receber ou coletar os dados dos titulares e direcioná-los aos operadores. As empresas de call-center ou contact-center são ótimos exemplos de operadores, pois tem a finalidade de receber os dados dos titulares e direcioná-los aos bancos, ou supermercados, por exemplo.

#3 O tratamento dos dados

O primeiro ponto a ser levado em consideração sobre a manipulação dos dados pessoais é que, para que possam ser coletados, é necessário o consentimento expresso do titular. O consentimento se aplica sempre a uma finalidade, impossibilitando o uso de uma aprovação genérica. Caso seja necessário usar os dados do titular para outros fins é necessário que haja uma nova aprovação do titular.

A grande maioria das bases já possuem dados de diversos titulares. Os dados previamente existentes também deverão receber autorização dos titulares para serem mantidos, tratados e processados.

Para assegurar que os dados sejam tratados adequadamente será necessário que cada empresa conte com o auxílio de um Data Protection Officer (da sigla em inglês DPO). Este deverá estipular quais serão as formas mais adequadas para o tratamento dos dados desde o momento em que são recebidos até seu armazenamento ou eventual descarte. Também deverá ter autonomia para exercer mudanças, caso necessárias, e intermediará o contato da autoridade responsável por fiscalizar a proteção dos dados pessoais e a empresa.

Os dados também poderão ser tratados para os seguintes fins:

• Cumprimento de obrigação legal ou regulatória do controlador.
• Execução de políticas públicas pela administração pública.
• Realização de estudos por órgãos de pesquisa.
• Quando necessário para execução de contrato ou procedimentos preliminares a um contrato do qual seja parte o titular, a pedido do titular.
• O exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
• Proteção da vida ou da incolumidade física do titular ou de terceiro.
• Tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, salvo quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de seus dados pessoais.
• Para proteção do crédito.

#4 Direitos do titular

Uma série de direitos são previstos na LGPD, propiciando que todo o processo seja sempre o mais transparente possível e permita que o titular possa escolher caso deseje que seus dados não sejam mais possuídos por determinado controlador ou operador.

Abaixo estão listados todos os direitos do titular previstos na lei:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador.
• Eliminação dos dados pessoais tratados com o consentimento do titular*.
• Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

*Há exceções em que os dados não serão eliminados, como por exemplo para o cumprimento de obrigações regulatórias pelo controlador.

#5 Sanções previstas

Caberá sempre ao controlador o ônus da prova de que o consentimento do titular foi coletado em conformidade com a lei, bem como o zelo adequado com os dados. Todas as medidas de proteção e tratamento deverão ser tomadas a fim de evitar que os dados pessoais sejam comprometidos, sejam elas processuais ou que envolvam ativos tecnológicos, tudo deverá ser pensado para proteger ao máximo as informações.

Em caso de comprometimento das informações, as punições irão variar de acordo com cada infração, podendo ser:

• Advertência com prazo estipulado para adoção de medidas corretivas.
• Multa de até 2% do lucro do faturamento do último exercício limitada a R$50 milhões.
• Multa diária.
• Divulgação pública da infração após a devida apuração e comprovação do incidente.
• Bloqueio dos dados pessoais referentes a infração até sua regularização.
• Eliminação dos dados pessoais referentes a infração.

#6 Como as empresas podem se preparar para atender a lei

Todas as empresas que tratam dados de titulares devem se mobilizar para que, caso ainda não tenha um ambiente em conformidade com as exigências da lei, possa adequá-lo em até 1 ano. Em fevereiro de 2020 a lei passa a vigorar.

Trazemos abaixo algumas sugestões de pontos a serem considerados para proteção do ambiente que receberá os dados dos titulares:

• Avaliação do ambiente – Este é um ótimo ponto inicial, pois avaliar o ambiente permitirá ter o conhecimento de quais caminhos o dado fará, quem lidará com o dado e onde ele permanecerá em descanso, tornando a tarefa de protegê-lo bem menos complexa.
• Softwares atualizados – Manter softwares atualizados e com a última versão dos patches de segurança instalados é essencial, não apenas para o sistema operacional mas também para as eventuais aplicações e serviços instalados no ambiente. Não é possível focar apenas nos equipamentos que irão tratar os dados, independente da forma desse tratamento. Em caso de comprometimento do ambiente, ter tudo atualizado diminui muito as chances do criminoso achar alguma brecha que o permita acessar os dados.
• Data Loss Prevention – Esta solução de segurança permite que regras sejam criadas visando impedir que dados saiam do ambiente sem o consentimento dos responsáveis. Caso não seja possível espalhar versões de DLP por estações de trabalho e servidores, a avaliação do ambiente mostrará quais os principais pontos devem ser analisados por ele. Vale lembrar que boa parte dos vazamentos de dados ocorre por funcionários insatisfeitos ou por descuidos.
• Manter os hosts seguros – As estações de trabalho costumam ser as principais portas de entrada para malwares, sendo necessário sempre torná-las o mais seguras possível. Optar por soluções mais robustas que contenham recursos além do antivírus. Estas soluções devem estar presentes em todos os hosts da rede, estações de trabalho, servidores e dispositivos móveis.
• Revisão de permissões de acesso – É uma boa prática conceder os acessos visando manter os usuários com o mínimo possível para que consigam exercer suas funções cotidianas, e apesar deste ponto ser muitas vezes menosprezado pelas empresas, ele é de suma importância. Vamos supor que o ambiente foi protegido e as regras antivazamento e proteções estão voltadas para todos os equipamentos das áreas responsáveis por manipular os dados, mas um erro de concessão de acesso foi cometido e toda a equipe de estagiários ou funcionários terceiros tem os mesmos privilégios de acesso que as equipes que tem autorização para manipular os dados. Não há cenário tecnológico em que isso não seja considerado uma catástrofe, além de aumentar drasticamente as chances de vazamento dos dados.
• Segregação de redes – Como em geral as estações de trabalho são os pontos de entrada utilizados por cibercriminosos para comprometer uma rede, é importante mantê-las separadas dos servidores e demais dispositivos. Essa separação não deve ser apenas física, o ideal é que elas estejam em redes distintas, a comunicação entre elas seja protegida por firewall e com regras restritas para a comunicação.
• Conscientização dos usuários – Manter todos os usuários da rede, sem exceção, bem instruídos sobre os riscos que eles e a empresa correm, ensiná-los o mínimo de segurança da informação para que eles possam saber o que fazer ao lidarem com e-mails, anexos ou links suspeitos. Deixando-os à vontade para reportarem qualquer acontecimento atípico no ambiente para as equipes responsáveis.
• Backups periódicos – Caso o ambiente tenha sido comprometido e os atacantes não tenham conseguido seu objetivo principal, por exemplo ter acesso aos dados, é possível que eles procurem causar algum dano ao ambiente, tornando certos equipamentos inacessíveis. Ter um backup recente dos dados fará com que quase não haja danos reais ao ambiente. A execução do backup em uma periodicidade aceitável para o negócio é tão importante quanto a validação do arquivo após a execução do processo. Afinal o backup só e útil se ele estiver disponível e íntegro.

Daniel Cunha Barbosa 21 Feb 2019 - 02:43PM

Após ser aprovado pelo Senado Federal, o texto da PEC que inclui a proteção de dados pessoais entre os direitos fundamentais do cidadão segue para votação na Câmara dos Deputados.

Francisco Camurça 3 Jul 2019 - 10:40AMCompartilhar

Nesta última terça-feira (02), o Senado Federal aprovou a Proposta de Emenda Constitucional (PEC) que inclui a proteção de dados pessoais, inclusive dos meios digitais, na lista de direitos e garantias individuais da Constituição Federal. A PEC 17/2019, que foi aprovada com 64 votos no primeiro turno e 62 no segundo, busca assegurar a privacidade desses dados de forma constitucional com o intuito de resguardar a inviolabilidade das informações dos cidadãos que navegam na Internet.

Caso a PEC seja aprovada, o Brasil se aproximará das melhores legislações internacionais sobre o tema. Atualmente, o país já conta com normas infraconstitucionais, como o Marco Civil da Internet (Lei 12.965, de 2014), da sua regulamentação (Decreto 8.771, de 2016) e da Lei Geral de Proteção de Dados (Lei 13.709, de 2018), que são consideradas como grandes avanços no país em termos de proteção de dados dos brasileiros. Segundo o portal de notícias G1, o autor da proposta, Eduardo Gomes, destaque que “convictos de que o Brasil necessita muito mais do que uma lei ordinária sobre o assunto, apesar da envergadura jurídica da Lei Geral de Proteção de Dados (LGPD), propomos a presente mudança à Constituição Federal”.

O Pesquisador de Segurança da ESET, Daniel Cunha Barbosa, destaca que a medida significa um tempo de mudança. “É incrível ver o senado fazendo movimentos para que a segurança dos dados pessoais faça parte da nossa Constituição. Isso trará ainda mais força e robustez para a segurança da informação de um modo geral, mas principalmente para o tema confidencialidade. Todos nós que nos preocupamos em fazer um mundo melhor e mais seguro comemoramos estes avanços”, comenta.

Golpe no Whatsapp promete produtos da Adidas e faz mais de 21.000 vítimas em apenas 3 diasA campanha, que se faz passar pela Adidas, oferece tênis e camisetas grátis em comemoração ao aniversário da marca. Entenda por que casos como este são cada vez mais comuns.

Daniel Cunha Barbosa 13 Nov 2019 - 01:50PMCompartilhar

Já falamos diversas vezes sobre as falsas campanhas que circulam no WhatsApp, que vão desde a falsa possibilidade de mudar a cor do seu aplicativo até ofertas de emprego no SAMU. A quantidade de campanhas de phishing através de aplicativos de troca de mensagens, como o WhatsApp, é uma vertente que tende a receber cada vez mais campanhas maliciosas com o passar do tempo. Prova disso é esta falsa campanha que se faz passar pela Adidas e que, em apenas 3 dias de funcionamento, já afetou mais de 21.000 usuários, segundo o site HypeStat.

Antes de falarmos mais sobre esta campanha, explicaremos por que desse tipo de ameaça é cada vez mais comum.

Por que vemos tanto esse tipo de ataque

Antes de entrar um pouco mais na parte mecânica de como este golpe funciona, quero fazer um comparativo para que as pessoas mais leigas em tecnologia possam entender o golpe. Imagine que você é dono de uma empresa de bolos e pretende que a maior quantidade possível de pessoas compre o seu produto. Para isso, você tem duas estratégias de venda: anunciar os seus bolos no jornal (circulação diária) ou na rádio da cidade (divulgação de hora em hora). Para escolher em qual meio deve anunciar, você deu uma olhada em uma simples pesquisa:

• 3 de cada 10 habitantes da cidade leem o jornal
• 9 de cada 10 habitantes da cidade ouvem a rádio

Como queremos que a maior quantidade possível de pessoas compre os seus bolos, a escolha mais lógica seria anunciar na rádio, não é mesmo?

É exatamente isso que os cibercriminosos fazem, eles sabem que a quantidade de pessoas com acesso ao WhatsApp é muito grande, e, consequentemente, mais pessoas terão a chance de clicar no link malicioso criado por eles. Provavelmente, caso algum dia outro aplicativo (que não o WhatsApp) se torne também popular, os criminosos começarão a usar este outro aplicativo.

A ameaça

Agora que esclarecemos os motivos pelos quais está sendo cada vez mais comuns ataques através de aplicativos de troca de mensagens, vamos falar sobre a ameaça.

A propagação

Diversas campanhas maliciosas que circulam pelo celular via SMS, WhatsApp, entre outros, são distribuídas a princípio para uma vasta lista de contatos. Os criminosos obtêm estes números de telefone de diversas formas, através de bases de dados encontradas na Internet, por meio de pesquisas dentro de sites mal configurados ou até mesmo por outras campanhas maliciosas que induzem os usuários a preencherem formulários com seus dados pessoais.

As perguntas

Não é raro que este tipo de ataque tenha uma espécie de quis, perguntas em diferentes páginas para que o usuário responda antes de prosseguir. Quase todas as páginas são destinadas a gerar algum tipo de lucro para os cibercriminosos e a resposta das perguntas exibidas não costumam fazer diferença para a continuidade do processo.

Imagem 1: Golpe que circula pelo Whatsapp.

Abaixo vemos uma página de perguntas e o código exibido para os botões das opções que o usuário pode escolher. Percebam que os dois botões têm exatamente a mesma função, tornando a resposta do usuário irrelevante para o processo.

Imagem 2: Código exibido para os botões das opções.

A monetização

No caso desta campanha, as vítimas respondem perguntas em três diferentes páginas e em cada uma delas há uma publicidade, a mudança das páginas gera um pequeno retorno financeiro imediato ao criminoso.

Ainda segundo o portal HypeStat, a estimativa de retorno financeiro mensal para o site desta campanha maliciosa é de aproximadamente 111 dólares.

Imagem 3: Estimativa de retorno financeiro mensal para o site da campanha maliciosa.

O ciclo

Esta campanha é como diversas outras que analisamos em publicações anteriores: após a resposta de todas as perguntas, as vítimas são instruídas a compartilhar o link da falsa campanha com mais 15 contatos.

Após o compartilhamento, as vítimas terão apenas que escolher o brinde que supostamente receberão e tudo estará concluído. No entanto, ao tentar concluir o processo selecionando o botão “ESCOLHER TAMANHOS”, os usuários recebem a mensagem de que terão que enviar a campanha falsa para mais contatos e, desta forma, poder prosseguir.

Observação: Caso o botão “ESCOLHER TAMANHOS” seja selecionado antes do compartilhamento, com pelo menos 15 usuários, a vítima seria redirecionada para diversas páginas de publicidade, entre elas uma página de download de extensão de browser chamada Incognito Searches, que muda o mecanismo de busca padrão do browser, solicita o download de conteúdo e exibe publicidade indesejada.

Com a necessidade de reenvio da campanha para mais pessoas, o ciclo da ameaça nunca se interrompe. Por isso, é necessário que todos fiquem cada vez mais atentos para este e outros tipos de golpe que, mesmo sem ter um malware (até o momento de análise desta campanha) presente em seu conteúdo, pode trazer uma série de dores de cabeça às vítimas.

Dicas para estar protegido

Separamos algumas dicas para que você se proteja dos criminosos:

• Pesquise e desconfie: Procure sobre quaisquer campanhas promocionais diretamente no site da empresa que a está ofertando e mantenha-se sempre atento sobre promoções que pareçam boas demais para serem verdade. Em geral, elas não são verdade mesmo.
• Cuide dos seus dados: Apesar de não ter sido o caso desta campanha, diversas delas solicitam que as vítimas preencham formulários com seus dados cadastrais. Nunca preencha dados em sites que tenham sido sugeridos em outras plataformas, seja por e-mail, WhatsApp, SMS ou de qualquer outra forma. Sempre acesse o site oficial da empresa ou serviço.
• Proteja seu smartphone: Muitas pessoas hoje em dia cuidam da segurança apenas dos computadores e notebooks e se esquecem que quase tudo é feito através dos smartphones. Pagamento de contas, acesso a e-mails, aplicativos de transporte, tudo gira em torno deste dispositivo que está sempre conosco. Por isso, é essencial que os dispositivos estejam sempre protegidos com softwares de segurança capazes de deter ameaças dos mais diversos tipos.
• Atualize: Diversos recursos de segurança são fornecidos com atualizações de software em geral, seja o próprio Windows, Android ou iOS, ou os aplicativos internos instalados posteriormente. Mantenha todos sempre atualizados.Daniel Cunha Barbosa 13 Nov 2019 - 01:50PM

• Copyright © ESET, All Rights Reserved

GERENCIADORES DE FILA - SOLUÇÕES JETWAY X STAFT AUTOMAÇÃO

Com design moderno e elegante o PE-700 traz a facilidade de ter um display identificando o número dos pagers, botão para desligar a chamada e recursos que possibilita a configuração dos leds, intensidade de vibração e toque. O PE-700 é uma solução de longo alcance voltado para ambientes como: restaurantes, bares, cafeterias e praças de alimentação mas que pode ser utilizada em todo local que exista fila de espera. a utilização dessa solução trará maior conforto no atendimento além da satisfação e agilidade no atendimento ao público. A solução é composta por pagers, teclado e base carregadora.

A solução “gerenciador de filas” PE-500 pode ser aplicado em toda e qualquer fila como restaurantes, estacionamentos, praças de alimentação, clínicas, laboratórios médicos,  hospitais, bares, cafeteiras, frutarias, pizzarias, sorveterias entre outros seguimentos. O PE-500 é fácil e prático, traz um ótimo custo benefício à satisfação e qualidade ao atender o seu cliente. A solução é composta por pagers, teclado e base carregadora.

Chamadores de Garçom e Displays 5s - Staft Automação - Distribuição no RS

O Smart Call, também conhecido como Chama Garçom, é um sistema de pronto atendimento projetado para oferecer comodidade para seus clientes e aumentar suas vendas. Ao desejar ser atendido, o cliente aperta a Campainha, que envia um sinal digital para o Display e/ou Dispositivo de Pulso onde é interpretado e exibe o número do local da chamada (mesa, check-out, etc.)

Cada Display exibe simultaneamente até 3 números e cada Dispositivo de Pulso exibe até 5 números conforme a ordem de chamada. Vários Displays e Dispositivos de Pulso podem ser instalados no mesmo local (por zona) sem causar qualquer interferência.

Expedidora de Comandas conjugada com a catraca
EXPEDIDORA CAPACIDADE DE +/- 170 COMANDAS
NA COLUNA E ENVIAMOS UMA COLUNA ADICIONAL
COMO CORTESIA PARA DEIXAR CARREGADA NO CAIXA.

Dispensadora de Comandas Plásticas
(3,5mm – capacidade da coluna 2 x 170 comandas),
conjugada com Catraca Braço Fixo, com display frontal
(possibilitando a colocação de uma promoção do dia
ou uma informação importante, logo na
entrada do estabelecimento) e com DUAS
colunas de Comandas (possibilitando a troca de
uma coluna cheia por uma vazia - sistema patenteado).

Com a revitalização do nova Orla do Guaíba, Porto Alegre ganhou um novo e  espetacular ponto turístico para seus moradores e visitantes. Entre as novas opções turísticas, destaca-se o restaurante panorâmico, construído sobre  as águas do Guaíba, em formato de redoma, todo em vidro. O restaurante Orla 360 Poa GastroBar oferece  um clima de happy hour misturado com o famoso pôr do sol do Guaíba no horizonte.  O restaurante utiliza equipamentos de Automação Comercial da empresa Porto Alegrense STAFT AUTOMAÇÃO, localizada no bairro Petrópolis e com muitos anos de experiência e know-how no setor.  - Montamos uma Automação Completa e com recursos modernos e de mobilidade. Trabalhamos em  parceria com a empresa Automatize Sistemas, também de Porto Alegre, integrando sua solução de software, disponibilizando ao estabelecimento maior funcionalidade, agilidade e qualidade no atendimento aos clientes. - comenta o diretor da Staft Automação - Fabricio Tavares.