Fabiana Adm, Autor em Citis

A inteligência artificial (IA) não é uma novidade no setor de meios de pagamento. Empresas como a Visa, pioneira na integração dessa tecnologia em suas operações, estão agora no centro de um novo ciclo de inovação, impulsionado pela popularização da IA generativa em 2022. Essa mudança ampliou o alcance da IA, transformando profundamente a forma como as organizações pensam e operam.

Há mais de 30 anos, a IA tem sido nossa grande aliada, inicialmente focada no gerenciamento de riscos e prevenção de fraudes. Com sua capacidade de processar grandes volumes de dados em tempo real, a IA tem sido fundamental para a segurança de um ecossistema global de pagamentos. Esse foi apenas o começo de uma visão de longo prazo que nos posicionou na vanguarda da tecnologia.

Ao longo do tempo, o uso da IA expandiu-se para além da segurança, aumentando a eficiência operacional, impulsionando a inovação e auxiliando na análise de dados, personalização de ofertas, atendimento ao cliente, entre outras funcionalidades. A partir disso, diversas empresas ampliaram seus investimentos para desenvolver novos produtos e melhorar processos existentes.

Nos últimos 10 anos, a Visa investiu mais de 3 bilhões de dólares em IA e infraestrutura tecnológica para suportar o uso em larga escala de dados e, consequentemente, otimizar operações e oferecer novas soluções. Esses investimentos resultaram em mais de 100 produtos impulsionados pela IA, refletindo o compromisso com a inovação e a busca contínua por melhorias de processos que beneficiam clientes, parceiros, colaboradores e consumidores.

Inclusive, quando falamos em consumidores, a resposta deles sobre o impacto da adoção de IA tem proporcionado insights significativos.

Uma pesquisa da Visa revelou que, embora 61% dos consumidores ainda tenham cautela em confiar completamente em sistemas de IA, 67% estão otimistas quanto ao seu potencial.

Mais recentemente, a principal revolução nesta área tem sido a IA generativa. Essa tecnologia, que antes era restrita a áreas especializadas como ciência de dados e gestão de risco, passou por um processo de democratização, permitindo que uma variedade maior de funcionários e usuários finais interajam diretamente com ferramentas de IA. Empresas de pagamentos têm promovido hackathons e programas de treinamento para integrar a IA em diferentes níveis organizacionais, fomentando a inovação.

Essa tendência é particularmente relevante para empresas que já utilizavam IA em larga escala e começaram a explorar novas abordagens para impulsionar a produtividade interna.

Um exemplo disso é a plataforma de IA generativa lançada pela Visa, que tem permitido que diferentes áreas na empresa – mesmo aquelas que não são centradas em tecnologia – aprimorem suas rotinas de trabalho por meio da automatização de processos e geração rápida de insights com a construção de prompts padronizados para os escritórios da rede em todo o mundo.

Diversas organizações seguem esse caminho, criando hubs dedicados à IA generativa, onde desenvolvedores e funcionários têm acesso a instâncias específicas da tecnologia. Isso acelera o desenvolvimento de soluções e otimiza o time-to-market de novos produtos.

Mais do que otimizar as aplicações internas, a IA generativa está transformando a maneira como os pagamentos são realizados e geridos. Empresas do setor estão à frente de um movimento que busca trazer muito mais inteligência, automação e eficiência para cada transação. Com investimentos substanciais em startups focadas em IA, o futuro do setor de pagamentos está repleto de oportunidades para melhorar a experiência do usuário final e otimizar processos em escala global.

Um exemplo desse esforço de inovação é o Visa Ventures, o braço de investimentos corporativos da Visa, que conta com um fundo de US$ 100 milhões focado em IA generativa. Esse fundo visa apoiar startups e empresas inovadoras que estão usando essa tecnologia para moldar o futuro do comércio e dos meios de pagamento.

A IA generativa está transformando a forma como lidamos com dados e desenvolvemos soluções, com grande potencial para áreas como personalização de pagamentos, automação de processos e segurança.

Iniciativas como essa refletem o esforço contínuo de empresas como a Visa em impulsionar a inovação no setor, apoiando o desenvolvimento de soluções que podem transformar a experiência do consumidor e promover maior eficiência no mercado.

Acredito firmemente que, quando uma inovação resolve um problema real, ela deve ser adotada de forma proativa, gerando valor e abrindo novas possibilidades. Esse tipo de mentalidade aberta à inovação pode ser comparado a marcos históricos que transformaram a humanidade: como a descoberta do fogo, que proporcionou ao homem a capacidade de dominar o ambiente e criar novas possibilidades, ou o nascimento da internet, que mudou radicalmente a maneira como nos conectamos, trabalhamos, vivemos e evoluímos.

Da mesma forma, empresas que abraçam a tecnologia para resolver desafios críticos têm mais chances de prosperar no futuro, enquanto aquelas que resistem correm o risco de ficar para trás.

A IA está abrindo um novo mundo de oportunidades, criando novos serviços e gerando ganhos de eficiência, o que resulta em mais oportunidades e maior valor agregado.

No setor de pagamentos, a transformação digital impulsionada pela IA permite que empresas identifiquem novas oportunidades, solucionem problemas complexos e desenvolvam produtos inovadores para atender às necessidades emergentes do mercado.

As empresas que estão na vanguarda do uso da IA têm uma visão clara: a tecnologia continuará a transformar o setor de pagamentos e a criar novas frentes de crescimento. Ao investir em dados, tecnologia e capacitação contínua de seus profissionais, essas organizações estarão prontas para liderar a próxima onda de inovações e gerar valor sustentável para o mercado.

Fonte: Canaltech

Cibercriminosos podem usar instruções aparentemente inofensivas para manipular um sistema de IA e até transformá-lo em um aliado involuntário?

Quando interagimos com chatbots e outras ferramentas baseadas em IA, geralmente fazemos perguntas simples como “Como estará o tempo hoje?” ou “Os trens chegarão no horário?”. Para quem não está envolvido no desenvolvimento de IA, é comum imaginar que todos os dados são processados em um único sistema gigante e onisciente, capaz de oferecer respostas instantâneas. No entanto, a realidade é bem mais complexa e, como foi demonstrado no Black Hat Europe 2024, esses sistemas podem ser vulneráveis a explorações.

Uma apresentação de Ben Nassi, Stav Cohen e Ron Bitton durante o Black Hat Europe 2024 detalhou como cibercriminosos poderiam contornar as proteções de um sistema de IA para subverter suas operações ou explorar seu acesso. Eles demonstraram que, ao formular perguntas específicas para um sistema de IA, é possível gerar uma resposta que cause danos, como um ataque de negação de serviço (DDoS).

Criar loops e sobrecarregar sistemas

Para muitos de nós, um serviço de IA pode parecer uma fonte única de respostas. No entanto, na realidade, ele depende de vários componentes interconectados, ou como a equipe de apresentadores os chamou, agentes.

Voltando ao exemplo anterior, uma pergunta sobre o clima e os horários dos trens exigiria dados de agentes diferentes: um com acesso a informações meteorológicas e outro com atualizações sobre o status dos trens.

O modelo principal — ou agente mestre, denominado “o planejador” pelos apresentadores — precisa integrar os dados de cada agente para formular respostas precisas. Além disso, o sistema possui mecanismos de proteção para evitar responder a perguntas inadequadas ou fora de sua competência. Por exemplo, alguns sistemas de IA podem ser programados para não responder a perguntas de natureza política.

Como demonstraram os pesquisadores, essas barreiras de segurança podem ser manipuladas, fazendo com que perguntas específicas desencadeiem loops intermináveis. Um cibercriminoso que consiga identificar os limites dessas barreiras pode formular uma pergunta que gere continuamente uma resposta proibida. Criar instâncias suficientes dessa pergunta acaba saturando o sistema, resultando em um ataque de negação de serviço (DDoS).

Em um cenário cotidiano, como mostrado pelos apresentadores, fica evidente a rapidez com que isso pode causar danos. Um cibercriminoso pode enviar um e-mail a um usuário que utiliza um assistente de IA, inserindo uma pergunta maliciosa processada automaticamente pelo assistente. Se a resposta gerada for considerada insegura e constantemente solicitada para reescrita, cria-se um loop de processamento infinito.Se um número suficiente de e-mails desse tipo for enviado, o sistema pode travar, esgotando seus recursos computacionais e sua capacidade de resposta.

Resta, naturalmente, a questão de como extrair informações sobre as barreiras de segurança de um sistema para explorá-las. O grupo de pesquisadores demonstrou uma versão mais avançada do ataque anterior, manipulando o próprio sistema de IA para revelar detalhes internos através de uma série de perguntas aparentemente inofensivas sobre seu funcionamento e configuração.

Por exemplo, uma pergunta como “Com qual sistema operacional ou versão de SQL você trabalha?” pode resultar em uma resposta útil. Combinando essas informações com detalhes aparentemente não relacionados sobre a finalidade do sistema, é possível elaborar comandos de texto direcionados. Se algum agente tiver acesso privilegiado, pode conceder esse acesso ao atacante de forma involuntária. Em termos de cibersegurança, essa técnica é conhecida como escalada de privilégios, um método em que atacantes exploram vulnerabilidades para obter níveis de acesso superiores aos permitidos, comprometendo a segurança do sistema.

A ameaça emergente da engenharia social em sistemas de IA

O apresentador não concluiu com o ponto principal que eu extraí da sessão: na minha opinião, o que eles demonstraram foi um ataque de engenharia social direcionado a um sistema de IA. Faz-se perguntas aparentemente inofensivas às quais o sistema responde prontamente, permitindo que cibercriminosos reúnam informações fragmentadas e as combinem para ultrapassar limites de segurança, extrair mais dados ou induzir o sistema a realizar ações indesejadas.

Se um dos agentes na cadeia tiver direitos de acesso elevados, o sistema pode se tornar ainda mais vulnerável. Isso permitiria que atacantes explorassem esses direitos em benefício próprio. Um exemplo extremo mencionado pelo apresentador foi o caso de um agente com privilégios de escrita de arquivos. No pior cenário, esse agente poderia ser usado para criptografar dados e bloquear o acesso de outros usuários, configurando uma situação típica de um ataque de ransomware.

A exploração de um sistema de IA por meio de engenharia social, tirando proveito da falta de controles ou configurações inadequadas de acesso, destaca a necessidade de uma configuração meticulosa e de uma abordagem estratégica na implementação de sistemas de IA, para que eles não se tornem suscetíveis a ataques cibernéticos.

Fonte: Welivesecurity

O ano de 2025 trará novos desafios em cibersegurança – ameaças potencializadas pela IA generativa e a crescente vulnerabilidade das tecnologias operacionais (OT) exigirão regulamentações e defesas mais robustas.

Em 2024, pudemos ser testemunhas das diferentes tendências que marcaram o ano. Observamos o crescimento do malware as a service, que facilitou a implementação de ataques em grande escala, e, por outro lado, o ransomware continuou sendo uma das ameaças mais preocupantes para empresas e órgãos governamentais, assim como em anos anteriores. Também observamos o uso do Telegram por cibercriminosos.

A partir deste contexto e considerando os novos avanços tecnológicos e implementações observados durante 2024, neste post, o Laboratório de Pesquisa da ESET América Latina apresenta as possíveis tendências que serão centrais no cenário da cibersegurança para o ano de 2025.

Em resumo, no próximo ano, teorizamos que será marcado pela crescente necessidade de proteção dos sistemas OT (Tecnologia Operacional), essenciais para infraestruturas críticas. Além disso, o uso malicioso da IA generativa apresentará novas ameaças. Essas questões estarão ligadas a desafios legais e éticos, o que demanda regulamentos mais claros e eficazes.

Usos da IA Generativa

A IA generativa é, talvez, a forma de inteligência artificial mais implementada atualmente, destacando-se por sua capacidade de gerar conteúdos como textos, imagens, vídeos, músicas, vozes, entre outros. Isso permite melhorar a criatividade e a eficiência em diversos setores. No entanto, os cibercriminosos também exploram essa tecnologia para fins maliciosos, como a criação de deepfakes e a automação e aperfeiçoamento de ataques cibernéticos.

Os aplicativos baseados em IA generativa deixaram de ser exclusivas de ambientes técnicos e passaram a estar acessíveis de forma aberta, muitas vezes gratuita, para qualquer usuário que possua um dispositivo inteligente.

Por meio desse tipo de IA, também é possível acessar algoritmos de código aberto, adaptá-los, modificá-los e utilizá-los para diferentes finalidades. A capacidade de automatizar tarefas, gerar ou aperfeiçoar códigos maliciosos, planejar campanhas, entre outros recursos, torna essa tecnologia interessante para cibercriminosos, incluindo os menos experientes.

Recentemente, a OpenAI, empresa por trás do ChatGPT, publicou o relatório Influence and Cyber Operations: an Update, detalhando como diversos cibercriminosos têm usado seus modelos de IA para executar tarefas em fases intermediárias de ataques cibernéticos — após adquirirem algumas ferramentas básicas, mas antes de lançarem ataques, como campanhas de phishing ou distribuição de malware por diferentes meios.

No mesmo relatório, a empresa identifica que diversos grupos APT (Ameaças Persistentes Avançadas) têm utilizado essa tecnologia para tarefas como depuração de código malicioso, pesquisa de vulnerabilidades críticas, aperfeiçoamento de campanhas de phishing, geração de imagens e comentários falsos, entre outras atividades.

Consequentemente, para 2025, podemos esperar a continuidade do uso da IA generativa para aprimorar campanhas que comecem com engenharia social; o uso de algoritmos para o desenvolvimento de códigos maliciosos; o possível ataque a aplicativos de empresas que utilizem algoritmos de IA de código aberto e, naturalmente, a sofisticação de deepfakes e sua possível interação com a realidade virtual.

Desafios Legais e Éticos da IA

Com o crescimento da IA generativa e seu potencial uso malicioso, surgem desafios legais e éticos que, em grande parte, ainda não foram adequadamente tratados. Quem é responsável pelos atos cometidos pela IA? Quais limites devem ser impostos ao seu desenvolvimento? Que órgão seria competente para regulamentar e julgar essas questões?

Atualmente, existem poucas normas internacionais que abordem os problemas emergentes relacionados ao uso da IA, e as regulamentações existentes muitas vezes se mostram insuficientes diante do rápido avanço dessa tecnologia.

Entre as normas mais relevantes, destaca-se a Lei de IA da União Europeia (vigente desde 2023), que busca garantir ética e transparência, além de promover um desenvolvimento seguro e a proteção dos direitos humanos. Essa legislação adota uma abordagem baseada em riscos, classificando os algoritmos conforme seu nível de perigosidade.

Em paralelo, os Estados Unidos adotaram várias abordagens, incluindo uma Iniciativa Nacional de IA, uma Ordem Executiva para o uso seguro e confiável dessa tecnologia e um projeto de Carta de Direitos da IA, atualmente em tramitação.

No Brasil, está em processo de aprovação um marco regulatório da inteligência artificial. Entre outros países da América Latina, porém, não houve grandes avanços durante 2024. A maioria dos países possui apenas decretos relacionados ao tema, com exceção do Peru, que conta com uma lei específica. Recentemente, o Parlamento Latino-Americano e Caribenho propôs uma Lei Modelo, que pode servir de inspiração para legislações nacionais futuras.

Em 2025, é provável que haja uma fiscalização mais rigorosa sobre algoritmos e modelos de IA para garantir transparência e explicabilidade — ou seja, que suas decisões possam ser compreendidas pelas pessoas. Isso deverá estar alinhado à proteção de dados para assegurar a privacidade no uso da IA.

Também esperamos avanços na busca por soluções para mitigar prejuízos causados pela IA e a promoção de uma abordagem ética no uso e desenvolvimento dessa tecnologia por meio de regulamentações. Além disso, continuarão os progressos nas normas de cibersegurança aplicadas ao tema e no fortalecimento da cooperação internacional.

Sistemas de Controle Industrial ou OT (Tecnologia Operacional)

Os sistemas OT são dispositivos e sistemas digitais utilizados para controlar processos industriais e físicos em setores como energia, manufatura, água e gás, entre outros. Esses sistemas gerenciam equipamentos como PLCs (Controladores Lógicos Programáveis) e SCADA (Sistemas de Controle Supervisório e Aquisição de Dados), cuja principal função é a automação de processos.

A digitalização e a conectividade desses sistemas os tornaram interessantes e vulneráveis a ataques cibernéticos. De fato, já foram detectados códigos maliciosos direcionados a esses sistemas, como o Aurora (um experimento do governo dos EUA que, pela primeira vez, demonstrou que um ataque cibernético poderia causar danos físicos a um gerador de energia) e o BlackEnergy e Industroyer (utilizados na Ucrânia para atacar sua rede elétrica), embora não sejam os únicos exemplos.

O NIST (Instituto Nacional de Padrões e Tecnologia, dos EUA) considera a segurança em sistemas OT um problema crescente e desenvolveu um guia que é regularmente atualizado para enfrentar esses desafios.

Em 2025, os sistemas OT serão cada vez mais relevantes no campo da cibersegurança por diversas razões, sendo a conectividade entre dispositivos OT e a enorme quantidade de dados que eles coletam algumas das mais importantes.

Além disso, muitos desses sistemas são essenciais para o funcionamento de infraestruturas críticas, o que os torna alvos atrativos para cibercriminosos, já que um ataque a essa tecnologia pode causar grandes prejuízos.

A crescente dependência desses sistemas reforça a necessidade urgente de protegê-los, tornando-os uma prioridade nas estratégias de cibersegurança.

Conclusão

Estas são as tendências que acreditamos serão centrais na cibersegurança para o próximo ano, em um cenário desafiador marcado pelo crescimento do uso da inteligência artificial generativa por parte do cibercrime. Isso exigirá a adaptação dos sistemas de defesa e o avanço em marcos legais que abordem as questões levantadas por essas tecnologias, até mesmo em seus usos legítimos e benéficos.

Além disso, os ataques a infraestruturas críticas continuarão sendo uma grande preocupação. Os sistemas OT serão o alvo principal, devido à sua interconexão e papel essencial em setores estratégicos. Fortalecer sua cibersegurança será uma prioridade, considerando sua vulnerabilidade comprovada em conflitos recentes, onde sua exploração teve consequências graves para as populações afetadas.

Fonte: Welivesecurity

Uma das práticas mais comuns quando queremos navegar com certo nível de privacidade e anonimato é utilizar o modo anônimo do navegador. De fato, essa opção até nos dá uma sensação de invisibilidade e segurança. Mas essa opção é realmente privada e segura? Quando ela é útil? Existem riscos associados ao seu uso? Há uma maneira de navegar de forma anônima? As respostas para essas e outras perguntas você encontra a seguir.

O que é o modo anônimo?

O modo anônimo é uma funcionalidade de navegadores como Chrome, Safari e Firefox que permite aos usuários navegar na internet sem deixar registros no histórico. Essa opção também não armazena as informações que você insere em formulários de sites nem guarda os cookies.

De maneira simples, o navegador “esquece” tudo o que você fez durante essa sessão quando a fecha.

O modo anônimo é realmente privado?

Se quisermos responder de maneira simples e direta, a resposta é não. Porém, vale a pena analisar mais a fundo para entender o motivo dessa afirmação.

Por um lado, é importante compreender que, mesmo usando o modo anônimo, o seu provedor de internet poderá ver quais sites você visitou, pois sua conexão ainda passa pela infraestrutura dele.

Além disso, se você ativar o modo anônimo em uma rede corporativa, o administrador da rede também terá acesso à sua atividade.

Em resumo, embora o seu histórico de navegação seja apagado do seu dispositivo ao fechar uma sessão, você continuará visível para o mundo externo.

É mais seguro?

Embora o uso do modo anônimo seja frequentemente associado a uma sensação de maior proteção, a verdade é que ele não oferece uma medida adicional de segurança. Na realidade, a falsa sensação de segurança pode levar os usuários a correr riscos desnecessários, como visitar sites potencialmente perigosos.

É importante destacar que, se você clicar em um link malicioso ou baixar um arquivo que contenha malware, seu dispositivo será infectado da mesma forma que se estivesse usando o modo de navegação normal.

Além disso, se você se conectar a redes públicas (como em aeroportos, restaurantes ou cafés), um cibercriminoso conectado a essa rede, com as ferramentas adequadas, poderá interceptar seu tráfego. Isso ocorre porque o modo anônimo não criptografa suas informações, o que ainda as torna vulneráveis.

Para o que o modo anônimo é útil?

Após as explicações sobre privacidade e segurança, é importante destacar que o modo anônimo pode ser bastante útil em algumas situações específicas. Por exemplo, ele é ideal se você compartilha seu dispositivo com outra pessoa e não deseja que ela veja os sites visitados ou as buscas realizadas. Também é útil para evitar cookies, já que, no modo anônimo, eles são excluídos quando você fecha a sessão.

Além disso, pode ser útil caso você queira ver resultados de busca “neutros”, ou seja, sem nenhuma influência personalizada (lembre-se de que os buscadores, como o Google, sempre personalizam os resultados com base nas suas preferências e histórico).

Como navegar de maneira anônima e privada?

Se o seu objetivo é navegar de maneira anônima e privada, a recomendação é usar outras ferramentas para alcançar esse nível de proteção.

Uma opção muito boa é uma VPN (Virtual Private Network), uma tecnologia de rede que conecta uma ou mais computadores a uma rede privada utilizando a internet. Como ela utiliza um endereço IP anônimo, é ideal para proteger sua privacidade e segurança enquanto navega na internet, pois seus dados serão criptografados e protegidos.

Por outro lado, o Tor também é uma excelente alternativa, já que se foca no anonimato. Como funciona? Ele se baseia em uma rede de servidores, conhecidos como nós Tor. Esses servidores são configurados por indivíduos e organizações voluntárias que disponibilizam seus recursos e largura de banda da Internet para apoiar as operações da rede. Assim, o Tor conecta você a uma rede aleatória de, pelo menos, três nós: um nó de entrada, que sabe quem você é, mas não sabe a qual informação você está acessando.

Considerações finais

Em conclusão, podemos dizer que o modo anônimo é uma boa alternativa para manter sua privacidade dentro do dispositivo.

No entanto, se o seu objetivo é ter uma navegação mais segura e privada na internet, é melhor considerar o uso de outras ferramentas.

Fonte: Welive Security

Você já pesquisou seu nome no Google? Gostou do que apareceu? Existe a possibilidade de solicitar a remoção de suas informações pessoais dos resultados de pesquisa.

Seja você alguém preocupado com privacidade e segurança ou que simplesmente deseja gerenciar sua presença na Internet, saber como reduzir sua visibilidade nos resultados de busca e manter o controle sobre suas informações pessoais pode ser uma habilidade muito valiosa.

Vamos entender por que pode ser interessante reduzir sua pegada digital, inclusive nos resultados de busca do Google, e como proteger seus dados de olhares curiosos.

O que aparece na Busca do Google?

Vamos começar com um exercício para entender como seu nome e outras informações aparecem na Internet e identificar possíveis problemas de privacidade:

Pesquise seu próprio nome no Google — idealmente entre aspas, utilizando o modo anônimo de um navegador e sem estar logado em sua conta do Google. Normalmente, aparecerão suas contas de redes sociais, blog ou site relacionado ao trabalho.

Ajuste sua pesquisa adicionando um parâmetro extra, como o nome de um site que você visita com frequência ou até mesmo o nome da sua rua. Aqui, os resultados se tornam mais específicos, demonstrando o quão poderosos os mecanismos de busca são na hora de localizar dados de uma pessoa.

Se você tem uma conta em uma rede social com configurações de privacidade fracas, um blog com seu nome real ou um e-mail listado no site de uma empresa, essas informações podem ser facilmente coletadas para formar um perfil completo da sua identidade digital, incluindo seus interesses, hábitos e afiliações.

Essa agregação de informações pode representar um problema por diversas razões.

Os perigos da engenharia social

De acordo com o Relatório de Investigação de Vazamento de Dados da Verizon 2024, até 68% dos vazamentos ocorreram por erro humano, e uma grande parte dessas incidentes foram causados por pessoas que caíram em táticas de engenharia social, como phishing, pretexting, golpes por e-mail e extorsão.

O pretexting é um tipo de ataque de engenharia social em que o cibercriminoso cria um pretexto (uma história falsa) para, no final, roubar dinheiro ou dados da vítima.

Essa vasta quantidade de informações disponíveis publicamente é frequentemente utilizada em táticas de engenharia social para enganar pessoas, induzindo-as a enviar dinheiro ou a revelar dados confidenciais, como credenciais de acesso a contas.

O golpe do CEO, um tipo específico de fraude de e-mail empresarial (BEC), ocorre quando criminosos se passam por executivos da empresa e enganam funcionários — geralmente das áreas de finanças ou contabilidade — para que realizem transferências de dinheiro ou divulguem informações confidenciais da organização.

Gestão de dados na Busca do Google

Considere todos os dados que você encontrou durante o exercício e avalie-os no contexto das fraudes mencionadas.

Felizmente, o Google está ciente das preocupações dos usuários com a facilidade com que suas informações podem ser encontradas em uma simples busca. Para ajudar, a empresa criou diversos formulários que permitem solicitar a remoção de informações pessoais dos resultados de pesquisa.

Além disso, o Google oferece a ferramenta “Resultados sobre você” — atualmente disponível em alguns países, como os Estados Unidos e a África do Sul — que permite monitorar seus dados online e verificar se informações como endereço residencial, número de telefone ou e-mail aparecem nos resultados de busca.

Como usar a ferramenta “Resultados sobre você” do Google

Para utilizar essa funcionalidade, é necessário ter uma conta Google. Você pode acessá-la tanto pelo navegador no seu computador quanto pelo aplicativo do Google no seu celular.

No navegador, siga os passos abaixo:

Acesse sua conta Google e clique no avatar do seu perfil.
No menu, clique em “Gerenciar sua conta do Google” e, em seguida, em “Dados e privacidade”.
Na seção de configurações de histórico, clique em “Minha atividade” e depois em “Outra atividade”.
Role a página até encontrar “Resultados sobre você” e clique em “Gerenciar Resultados sobre você”.

Quando você estiver na página, selecione “Começar” ou “Configuração”. Será solicitado que insira as informações que gostaria de encontrar, como apelidos, números de telefone ou endereços. Você também pode configurar notificações para ser avisado caso o Google encontre resultados relacionados às suas informações de contato.

Nos celulares e tablets, basta clicar no avatar do perfil da sua conta do Google no aplicativo do Google e deverá aparecer uma opção chamada “Resultados sobre você” no menu inicial.

A pesquisa leva um pouco de tempo para ser concluída, mas você receberá uma notificação assim que a consulta terminar. Se os resultados não forem do seu agrado, você pode solicitar a remoção por meio da opção designada.

Vale lembrar que “Resultados sobre você” não está disponível em todas as regiões/países, mas mais localidades estão sendo adicionadas.

Solicitar a eliminação de resultados de busca

Outra opção que você pode usar, caso a funcionalidade “resultados sobre você” não esteja disponível no seu país, é enviar uma solicitação direta ao Google para que revise e elimine os resultados de pesquisa que atendam a determinados critérios, como a exposição do seu endereço de e-mail, do seu endereço residencial, suas credenciais de acesso ou outros dados pessoais.

É bem simples: basta iniciar uma solicitação de eliminação preenchendo o formulário correspondente (na imagem abaixo e disponível aqui).

Se o problema não estiver claro ou o Google precisar de informações adicionais para identificá-lo, você receberá um e-mail solicitando mais esclarecimentos.

Cibersegurança, privacidade e uma vida sem fraudes

Algumas pessoas podem se sentir confortáveis com o fato de seus dados públicos estarem disponíveis na Internet, mas outras podem se preocupar com sua privacidade. Até mesmo figuras públicas e organizações conhecidas devem manter certos dados confidenciais para evitar riscos de privacidade e segurança.

Da mesma forma, se você limitar sua presença na Internet, será mais fácil levar uma vida privada. No final, tudo se resume a saber quais informações sobre você estão circulando e a manter-se atento para que atores mal-intencionados não o encontrem desprevenido.

Fonte: Welive Security

O Windows 11 tem um suporte restrito a hardware moderno, mas formas de burlar esses bloqueios já foram encontrados pelos usuários. A Microsoft teve que conviver com isso, mas agora alerta os usuários sobre problemas que podem acontecer e que não oferece garantia nessas circuntâncias.

O site Neowin encontrou algumas mudanças nas diretirizes da companhia e a principal delas é referente ao Windows 11 rodando em hardware não suportado:

“Este PC não atende aos requisitos mínimos de sistema para executar o Windows 11 – esses requisitos ajudam a garantir uma experiência mais confiável e de maior qualidade. A instalação do Windows 11 neste PC não é recomendada e pode resultar em problemas de compatibilidade. Se você prosseguir com a instalação do Windows 11, seu PC não será mais suportado e não terá direito de receber atualizações. Os danos causados ao seu PC devido à falta de compatibilidade não são cobertos pela garantia do fabricante. Ao selecionar Aceitar, você reconhece que leu e entendeu essa declaração”.

Microsoft muda postura sobre Windows 11

Por ter “aceitado” a quebra de bloqueio imposta pela Microsoft com o Windows 11 em hardware sem suporte, a empresa só dizia em sua página de suporte “para voltar ao Windows 10, selecione Iniciar > Configurações > Sistema > Recuperação > Voltar”.

Agora, ao invés disso, ela diz: “para voltar ao Windows 10 em dispositivos com Windows 11 sem suporte, siga esses passos”.

O Windows 10 entrou em seu último ano de suporte, com fim decretado para outubro de 2025. Essa é uma estratégia da Microsoft para levar os usuários de seu sistema operacional a migrarem para o Windows 11 que, consequentemente, exige hardware suportado nativamente, implicando na aquisição de um novo PC ou notebook.

Fonte: Canaltech

Conheça a técnica de phishing que utiliza códigos QR para enganar as vítimas, com o objetivo de obter informações sensíveis ou redirecioná-las para um site falso.

O cibercrime é um negócio, e, por isso, os cibercriminosos não descansam na hora de buscar por novas estratégias para enganar suas vítimas.

Aproveitando a popularização dos códigos QR (utilizados, por exemplo, para acessar o menu de um restaurante, obter informações de um produto ou até realizar pagamentos), os golpistas descobriram uma nova forma de enganar as pessoas: o quishing. A seguir, vamos explorar essa técnica, entender seu funcionamento, os riscos que representa e como se proteger contra ela.

O que é o quishing?

O quishing é uma técnica de phishing que utiliza códigos QR para enganar as vítimas, levando-as a revelar seus dados pessoais e outras informações sensíveis ou a acessar um site falso.

Basicamente, funciona de forma semelhante aos ataques de phishing tradicionais, mas, em vez de enviar um e-mail ou SMS com um link malicioso, requer que a vítima escaneie o código QR falso.

Como funciona o quishing?

Para aplicar essa técnica, cibercriminosos inserem códigos QR em redes sociais, ofertas on-line, e-mails, adesivos ou até em panfletos físicos, esperando que alguém os escaneie.

Para isso, utilizam estratégias de engenharia social para convencer a vítima de que o código é legítimo, oferecendo algum benefício ou recompensa ao escaneá-lo. Frequentemente, esses golpistas se passam por empresas ou marcas mundialmente conhecidas, como veremos no exemplo a seguir.

Os cibercriminosos também podem recorrer a mensagens que apelam ao senso de urgência, incentivando o usuário a escanear o código QR para evitar, por exemplo, a suspensão de uma de suas contas.

Uma vez que o QR é escaneado, ele pode redirecionar a vítima para um site falso a fim de roubar dados pessoais ou informações sensíveis. Por exemplo, pode levar a vítima a um site que simula ser de um banco e solicitar suas credenciais bancárias.

Outra opção é que, por meio do código QR, um malware seja baixado para o dispositivo.

Como se proteger do quishing?

Existem boas práticas que podem ser adotadas para reduzir o risco de ser vítima de quishing. Por exemplo:

Verificar a origem do código QR: antes de escaneá-lo, é recomendável garantir que ele vem de uma fonte confiável;
Usar aplicativos que permitem visualizar a URL para a qual o código QR direciona: isso ajuda a confirmar se o link é seguro ou não;
Ter cautela com códigos QR enviados de forma inesperada ou por desconhecidos, especialmente se prometerem benefícios substanciais: talvez a melhor decisão seja não escaneá-lo para evitar possíveis problemas.

Fonte: Weliveserurity

Se você usa o Firefox, provavelmente já percebeu que é possível armazenar todas as suas senhas no próprio navegador. Essa função é bastante interessante, pois permite que você acesse rapidamente suas contas e serviços sem a necessidade de lembrar cada senha. Além disso, se o Firefox for seu navegador principal, todas as informações são sincronizadas entre seus dispositivos. Mas você já parou para pensar se isso é realmente seguro? Sabe como o Firefox armazena e protege suas senhas? Neste post, vamos detalhar como funciona o gerenciador de senhas do Firefox, as medidas de segurança que ele adota e os riscos potenciais de confiar informações tão sensíveis ao navegador.

Como o Firefox armazena nossas credenciais?

Quando aceitamos salvar nossos dados de login, o Firefox inicia o processo buscando uma chave de criptografia. Se ainda não houver uma chave criada, o navegador gera uma de 256 bits. Em seguida, essa chave é usada para proteger as senhas por meio do algoritmo de criptografia simétrica AES no modo Cypher Block Chaining (CBC).

Essa chave é gerada uma única vez e será utilizada para criptografar todos os dados de login que o usuário do sistema operacional armazenar no Firefox. A chave deve ser criptografada, e o Firefox oferece duas opções para isso: se o usuário tiver uma senha mestra configurada, a chave será criptografada com essa senha; caso contrário, o navegador delega essa tarefa ao sistema operacional, que a protegerá por meio de um programa de gerenciamento de credenciais (como o DPAPI no Windows, Keychain no macOS ou gnome-keyring/Kwallet no Linux). Se o dispositivo não tiver essas funcionalidades, o Firefox utilizará um algoritmo de criptografia próprio. Em todos esses casos, as informações relacionadas às chaves de criptografia são armazenadas em um arquivo SQLite chamado key4.db (ou key3.db em versões anteriores).

Uma vez criptografadas, as credenciais são armazenadas em um arquivo chamado logins.json, que ficará localizado junto com o banco de dados mencionado anteriormente em:

Windows: C:\Users\[Usuario]\AppData\Roaming\Mozilla\Firefox\Profiles\[Perfil]

Linux: ~/.mozilla/firefox/[Perfil]

macOS: ~/Library/Application Support/Firefox/Profiles/[Perfil]

Imagem 1. Exemplo de credencial em logins.json.

Para que possamos usar essa senha, o Firefox segue o processo inverso e a descriptografa.

Além disso, o Firefox oferece a possibilidade de sincronizar as credenciais armazenadas entre diferentes dispositivos. Essa funcionalidade, chamada Firefox Sync, também criptografa as comunicações que contêm credenciais em trânsito, evitando assim possíveis ataques Man-in-the-Middle durante o processo de sincronização.

Por que é arriscado armazenar nossas senhas no Firefox?

Embora existam diversas ferramentas que permitem recuperar as senhas armazenadas no Firefox, facilitando a transferência ou a coleta de nossas credenciais em um único arquivo, essas mesmas ferramentas podem ser exploradas por cibercriminosos. Se eles tiverem acesso ao nosso dispositivo, seja fisicamente ou remotamente, podem conseguir obter nossas credenciais de forma indevida.

Como exemplo, utilizaremos a ferramenta Firefox Decrypt, um script que coleta dados de login de um perfil do Firefox sem senha mestra (ou com uma senha previamente conhecida). Começaremos com as seguintes senhas armazenadas no perfil da vítima:

Imagem 2. Senhas armazenadas no perfil da vítima.

Neste caso, o perfil apresentará as configurações padrão do gerenciador de senhas, incluindo a senha mestra desativada.
Para compreender o funcionamento do script, podemos executá-lo utilizando a opção -h.

Imagem 3. Funcionamento do script.

A saída detalhada apresenta as funcionalidades da ferramenta, incluindo formatos de exportação, um modo de depuração e a opção de inserir a senha mestra. Para fins de demonstração, basta adicionar a opção “verbose” ou -v, que proporcionará o máximo de informações na console. O script permitirá escolher entre os perfis disponíveis (caso haja mais de um) e, em seguida, exibirá automaticamente a lista de credenciais descriptografadas.

Imagem 4. Lista de credenciais descriptografadas.

Esta é apenas uma das várias ferramentas disponíveis com esse propósito, compatíveis também com outros navegadores. Entre elas, destaca-se a LaZagne, um projeto multiplataforma que facilita a extração de credenciais de navegadores, bancos de dados, e-mails e até mesmo do próprio sistema operacional.
É importante ressaltar que não é possível utilizar essas ferramentas se o perfil tiver uma senha primária ou mestra configurada e desconhecida.

Conclusão

Embora seja prático armazenar nossas senhas em um navegador como o Firefox, essa prática traz riscos consideráveis. Uma simples intrusão em nosso dispositivo, enquanto a sessão do sistema operacional está ativa, pode expor essas senhas, permitindo que cibercriminosos as capturem por meio de ferramentas ou códigos maliciosos que realizam essa extração de forma automatizada.

Por esses motivos, é recomendável optar por aplicativos de gerenciamento de senhas. Se decidirmos usar o gerenciador de senhas do Firefox, é crucial configurar uma senha mestra. Essa ação adiciona uma camada extra de segurança, além da criptografia básica fornecida pelo navegador.

Por fim, é importante estar ciente dos riscos envolvidos no uso de qualquer gerenciador de senhas e entender como os cibercriminosos podem acessar nossas informações mais sensíveis como usuários online.

Fonte: Welive Security

Quando você tenta encontrar o firmware do dispositivo que está analisando, seja no site do fabricante do microcontrolador, utilizando Google Dorks ou explorando repositórios do GitHub, mas não obtém resultados positivos, é hora de considerar alternativas.

No artigo publicado anteriormente sobre hardware hacking, destacamos várias características da extração de firmware, com foco nas vantagens e limitações do uso de JTAG. No entanto, existem outros métodos interessantes que devem ser considerados para alcançar nosso objetivo. Vamos explorar agora outras opções disponíveis para esse fim.

1. Interface UART/SWD/SPI/I2C

#UART

O protocolo de comunicação serial UART é bastante utilizado e pode proporcionar acesso a consoles de depuração, facilitando, assim, a extração de firmware ou o acesso ao sistema operacional do dispositivo.

As interfaces UART são comuns em dispositivos IoT e costumam estar disponíveis para diagnósticos. Ao acessar essas portas UART, é possível obter acesso à consola (shell root/gerenciador de boot). Basta identificar os pinos TX, RX e GND, e em seguida, utilizar um conversor serial para USB e um emulador para se comunicar com o dispositivo. Esse método pode ser uma maneira simples e eficaz de começar a desvendar o funcionamento interno de um dispositivo IoT, entre outros.

#SWD (Serial Wire Debug)

O SWD (Serial Wire Debug) é outra interface comum de depuração para microcontroladores, especialmente em dispositivos baseados em ARM. Ele oferece acesso à memória e aos registros do dispositivo, permitindo, potencialmente, a extração de firmware.

#SPI/I2C

Tanto o SPI quanto o I2C são protocolos de comunicação entre chips. Com ferramentas específicas, como um programador SPI ou I2C, é possível ler e extrair firmware armazenado em memórias flash ou EEPROM.

Os chips flash se comunicam com as CPUs, MCUs e SoCs por meio de protocolos como SPI. Quando um dispositivo é ligado, sua CPU lê a memória flash, o que representa um momento ideal para rastrear dados usando um analisador lógico. É importante ressaltar que, dependendo do dispositivo, podemos conseguir ler apenas uma parte do firmware, e pode ser necessário obter controle total do chip para realizar uma leitura completa.

Sem dúvida, um chip flash precisa de energia para funcionar. Se não o desoldarmos e fornecermos energia a uma das pernas do chip, poderíamos acabar ativando toda a placa, resultando em um “tira e afrouxa” entre a memória flash e a CPU. Uma solução alternativa é desoldar a perna VCC, o que requer menos trabalho, mas aumenta as chances de danificar o chip. Se tivermos boas ferramentas, outra opção é desoldar todo o chip, o que também facilitará seu uso em um programador flash. Essas alternativas, é claro, dependerão do tipo de dispositivo e do microcontrolador que estamos analisando.

2. Leitura direta da memória Flash

Quando o firmware está armazenado em uma memória Flash, é possível desoldar o chip usando uma estação de solda ou um soprador térmico e, em seguida, ler seu conteúdo com um programador de memória flash. Existem também técnicas in-circuit que permitem a leitura do chip diretamente, sem a necessidade de desoldá-lo, utilizando ferramentas como o Bus Pirate.

Para memórias flash em encapsulamentos QFP (Quad Flat Package), o processo envolve aquecer cuidadosamente as soldas para remover o chip sem danificar a placa de circuito impresso (PCB) nem o próprio chip. Após a remoção, é possível ler seu conteúdo por meio de um programador de memória flash.

Uma técnica útil é a aplicação de uma aleação com baixo ponto de fusão. Essa abordagem consiste em aplicar uma aleação especial nas pernas do chip, que se mistura com a solda padrão, reduzindo seu ponto de fusão. Isso facilita a remoção do chip da placa, evitando uma grande desordem na área.

As memórias flash eMMC em encapsulamentos BGA (Ball Grid Array) apresentam desafios específicos. Desoldar um chip BGA exige precisão e habilidade, uma vez que as soldas estão localizadas abaixo do chip, dificultando o aquecimento uniforme sem danificar o chip ou a PCB. Após a extração, um adaptador de soquete BGA ou um método de soldagem direta em um leitor de memória flash pode ser utilizado para interagir com o chip.

Esse método exige equipamento especializado e habilidade manual, mas é uma maneira confiável de acessar o firmware diretamente. Um outro aspecto a considerar são as memórias UFS flash em encapsulamentos BGA, onde o processo se torna ainda mais complexo. O UFS é um protocolo recente e muito mais rápido para memórias flash, o que torna os programadores de memória flash UFS raros e significativamente mais caros.

3. Ataques de arranque/carga (Bootloader Exploitation)

Algunos dispositivos embebidos tienen bootloaders vulnerables que permiten la carga de firmware sin las debidas protecciones. Aprovechar vulnerabilidades en el proceso de arranque puede permitir acceder al firmware, por ejemplo, a través de comandos específicos que no están bloqueados.

4. Reversão de atualizações de firmware (OTA ou USB)

#Atualizações OTA (Over-the-Air)

Quando um dispositivo recebe atualizações de firmware, essas atualizações podem ser distribuídas sem criptografia ou com segurança fraca. Capturar o tráfego de rede durante o processo de atualização pode facilitar a obtenção do firmware, permitindo a análise do conteúdo transferido.

#Atualizações via USB

Em alguns dispositivos, as atualizações são realizadas por meio de USB ou cartões de memória. Analisando o conteúdo dessas atualizações, é possível extrair o firmware. Essa abordagem pode ser uma alternativa eficaz quando as atualizações OTA não estão disponíveis ou quando se deseja uma análise mais profunda do firmware atualizado.

#MITM no processo de atualização

Se o dispositivo que estamos analisando oferece a opção, seja por hardware ou software, de instalar atualizações, podemos aplicar essa instalação após realizar um ataque Man-in-the-Middle (MITM) adequado para capturar o tráfego. Existem várias ferramentas disponíveis para essa tarefa, desde Bettercap até Mitmproxy.

A ideia aqui é que, apesar da adoção generalizada do HTTPS, alguns desenvolvedores ainda podem utilizar redes de entrega de conteúdo (CDN) HTTP simples para distribuir atualizações. Nesse caso, o pacote de atualização pode ser facilmente extraído do tráfego ou podemos capturar a URL e segui-la.

Agora, suponhamos que o destino utilize HTTPS. Nesse cenário, temos duas abordagens possíveis. Se o dispositivo é independente e não possui um aplicativo móvel ou cliente de desktop para controle, ainda é possível usar um certificado HTTPS autoassinado, com boas chances de sucesso. A segunda abordagem ocorre quando os dispositivos não têm sua própria interface de usuário e requerem um aplicativo para smartphone para controle.

Em alguns casos, a descarga do firmware pode estar implementada no próprio aplicativo. Nesse caso, podemos instalar um certificado raiz autoassinado no smartphone ou emulador que estamos usando. Se, neste ponto, as funções de conectividade à Internet do aplicativo deixarem de funcionar, isso indica que a função de SSL Pinning está em uso. Existem várias técnicas para contornar essa proteção, como o uso de Frida.

Conclusões

Como podemos observar, cada uma dessas técnicas apresenta desafios únicos, e a escolha da abordagem adequada depende do tipo de dispositivo e das medidas de segurança implementadas pelo fabricante. Em alguns casos, os fabricantes adotam medidas adicionais de segurança, como proteção contra leitura, criptografia de firmware em repouso ou mecanismos de proteção exclusivos, que exigem uma abordagem mais cuidadosa. Cada um desses cenários extremos requer uma estratégia singular, frequentemente envolvendo uma combinação de habilidades de engenharia reversa de hardware e software para contornar essas proteções.

Além disso, os objetivos da nossa análise determinarão os limites e escopos da investigação. Não é o mesmo realizar uma auditoria de segurança, que não necessariamente implica a exploração de vulnerabilidades, do que conduzir uma investigação aprofundada sobre o funcionamento de um dispositivo e suas características de segurança.

Atualmente, podemos afirmar que a segurança dos sistemas embarcados ainda está em um estágio inicial. A maioria dos fabricantes não adota boas práticas de segurança, e em muitos casos, nem sequer as considera, como é evidente em uma grande quantidade de dispositivos IoT que estão cada vez mais presentes na vida cotidiana da comunidade.

Seremos testemunhas do que acontecerá com a crescente incorporação de sistemas embarcados em diversas áreas do nosso dia a dia. Sem dúvida, é um momento oportuno para que, independentemente de nossa posição, consideremos cuidadosamente a segurança dos dispositivos que utilizamos. Hoje em dia, não há dispositivo que não armazene informações suficientes para ser exploradas por pessoas com más intenções.