Segurança Digital para Profissionais de Poker

Neste artigo, vamos fazer um breve resumo sobre o Webinar de Cibersegurança a que a equipa Polarize Poker e, por sua vez, os nossos atletas e coaches tiveram acesso. Ao longo do Webinar “Segurança Digital”, o orador Tiago Martins abordou os seguintes temas: ameaças digitais comuns (credential stuffing, phishing, engenharia social e malware) e respectivas formas de prevenção. Tiago Martins é o responsável pelo departamento de IT da Polarize. É licenciado em Novas Tecnologias da Comunicação e Mestre em Engenharia Informática.

Sendo assim, vamos começar por abordar quais são as ameaças comuns e como é que os profissionais de poker podem identificá-las de forma a garantirem a sua segurança digital.

Ameaças comuns

Credential Stuffing – Uso de credenciais roubadas.

Como ocorre o ataque:

1. Primeiramente, a Vítima cria uma conta no site Inseguro.com;
2. O site Inseguro.com sofre um ataque e atacantes obtêm uma cópia da base de dados;
3. Sendo assim, os Atacantes isolam a informação dos utilizadores registados e decodificam as passwords, Nome, email, idade, morada, métodos de pagamento e outras informações pessoais;
4. Além disso, Atacantes tentam iniciar sessão em diversos outros sites, tipicamente recorrendo a meios automatizados. Por fim, utilizam a combinação email – password obtida na base de dados do site Inseguro.com.

Objetivo: Atacante espera que utilizadores reutilizem credenciais. 

Prevenção: Nunca reutilizar credenciais. Este ataque não afeta utilizadores que utilizam passwords distintas para serviços distintos. Podes gerá-las através de um Password Manager.

Phishing – Envio de mensagem fraudulenta com o intuito de enganar o alvo de modo a que este revele informação sensível.

Como ocorre o ataque:

1. Inicialmente, o atacante pretende obter credenciais do site Facebook.com, e por isso, cria uma cópia da página inicial;
2. Atacante programa página para que esta armazene os dados (credenciais) introduzidos em texto-pleno (não encriptado);
3. Atacante aloja esta página na Internet, tipicamente num domínio semelhante àquele que está a alvejar Faceboook.com em vez de Facebook.com;
4. Atacante faz esta página chegar à vitima através de spam, email, publicidade, etc;
5. Por fim, a vítima submete dados na página falsa.

Como detectar?

• O email é enviado a partir de um domínio público
• O domínio está incorretamente escrito
• O email contém anexos ou links
• O email cria um sentido de urgência
• O email contém erros ortográficos
• A oferta parece boa demais para ser verdade

Objetivo: Atacante pretende obter credenciais de determinado site. 

Prevenção: Utilizar um software Password Manager. Este não faz o auto-preenchimento quando não conhece o site. Por exemplo, tens disponível o Google Password Manager e se fores um utilizador MacOs tens disponível o KeyChain – serviço integrado no próprio sistema.

Outros tipos de phishing

• Smishing – Semelhante ao phising “tradicional” que nos chega por email, mas com a diferença que neste caso nos chega através de SMS.
  • Tipicamente contém um link que pede ao utilizador para realizar uma ação, como preencher um formulário.

• Vishing – Tentativa de fraude através de chamada telefónica. 
  • Relatos quase inexistentes em Portugal até muito recentemente. 
  • Atacante tipicamente faz-se passar por um representativo de uma marca conhecida (e.g. Microsoft) e procura: obter acesso à máquina da vítima e instalar malware; ou ludibriar a vítima para esta fazer uma compra.

• Malvertising – Atacantes pagam “spots publicitários” nos motores de busca e redes sociais para difundir o link malicioso que coleciona as credenciais. Ou seja, trata-se do mesmo princípio que o phishing “tradicional”, mas não captura a vítima através do email.

Engenharia Social – Atividades maliciosas realizadas por meio de interações humanas.

Como ocorre o ataque: 

1. Primeiramente, o Atacante envia um email à vítima informando-a de que esta ganhou um prémio – neste caso 0.06 BTC ($4,000 no ATH, $1,200 no momento). Sendo que, para resgatar este prémio, a vítima tem apenas de se registar num site, que tem o aspeto de uma Exchange “tradicional”, utilizando um código;  
2. Por conseguinte, a Vítima regista-se no site e vê que tem um saldo de 0.06 BTC – tudo parece OK até aqui; 
3. A Vítima tenta levantar este montante e é informado de que a quantia mínima para levantamento é de 0.10 BTC. A vítima tem de depositar 0.04 BTC para resgatar o prémio ganho. 
4. Por fim, a Vítima deposita e fica sem o seu dinheiro.

Como detectar?

• A oferta parece boa demais para ser verdade.
• O email cria um sentido de urgência.

Prevenção: Segregar a identidade física da identidade digital. Por exemplo, não utilizar para a Skrill o mesmo email que utilizo para o Facebook. Ou seja, utilizar autenticação multi-fator e sempre que possível através de aplicação Authenticator em vez de SMS.

Malware – Ficheiro ou código que infeta, explora, rouba ou executa qualquer comportamento que o atacante pretenda.

Como ocorre o ataque: 

1. Atacante prepara o malware assim como a distribuição do mesmo; 
2. Vítima faz download e executa malware; 
3. Atacante tem agora controlo sob o computador da vítima.

Prevenção: Não executar ficheiros provenientes de fontes desconhecidas, mesmo que não tenham extensão .exe (executáveis).

Dicas de Prevenção Gerais

• O primeiro passo é a consciencialização
• Instala um password manager e começa a utilizá-lo
• Começa a utilizar autenticação 2-fatores
• Cria um email profissional
• Não te esqueças: Tem um cuidado adicional com as tuas contas de email e do password manager, pois através destas é possível obter acesso a todas as outras.

Por fim, a segurança digital trata-se de um tema bastante atual devido aos recentes ataques que grandes empresas sofreram, nomeadamente, o Grupo Sonae e a Vodafone Portugal. Estes ataques têm tornado as empresas cada vez mais consciencializadas para estas situações e, consequentemente, levou a um maior investimento. De igual forma, a Polarize Poker alerta os seus jogadores, coaches e staff para um aumento da consciencialização deste problema global. Sendo que, o palestrante Tiago Martins alerta que “nunca estaremos 100% protegidos, no entanto se tomarmos todas as precauções enunciadas ao longo do Webinar, estaremos no caminho certo para evitar sermos atacados e, consequentemente,”roubados’‘.

Junta-te à equipa Polarize Poker – enviar candidatura!