O ataque não foi uma vulnerabilidade direta no código da Locky, mas sim um processo de credential stuffing. Os criminosos utilizaram combinações de utilizador e palavra-passe filtradas em outros sites para tentar entrar nas contas da Locky de forma automatizada.
Isto demonstra que o elo mais fraco continua a ser a reutilização de passwords por parte dos funcionários. Uma vez que o atacante tem o nome, o e-mail e o telefone de uma pessoa, o próximo passo é inevitável: um ataque de Spear Phishing personalizado que chegará diretamente à caixa de entrada corporativa.
Quando ocorre uma fuga de um milhão de registos, o nível de realismo das mensagens fraudulentas aumenta drasticamente. Os colaboradores receberão e-mails que incluem o seu nome real e referências a serviços que utilizam habitualmente. As firewalls técnicas não conseguem travar um clique baseado na confiança.
A única defesa real é transformar a cultura de segurança. Não basta informar sobre o ataque; é necessário treinar o "reflexo" do utilizador para que desconfie de qualquer comunicação, mesmo que pareça legítima.
Na Sinfopac acreditamos que a formação tradicional falhou por ser aborrecida e pontual. Para combater ameaças derivadas de fugas de dados como a da Locky, implementamos um método de conscientização baseado em micro-aprendizagem gamificada.
Este sistema permite que os seus colaboradores aprendam a detetar estas ameaças em apenas 3 minutos por semana. Ao treinar com simulações baseadas em casos reais, a sua equipa converte-se num firewall humano capaz de identificar aquele e-mail de phishing que parece vir de um serviço de encomendas ou logística.
Trata-se de um acesso não autorizado à base de dados dos cacifos Locky em Portugal através da técnica de credential stuffing, afetando mais de um milhão de utilizadores.
Os dados expostos incluem nomes completos, endereços de e-mail, números de telemóvel e palavras-passe cifradas.
É uma técnica onde os atacantes usam listas de utilizadores e passwords obtidas em fugas de dados anteriores para tentar aceder de forma massiva a outros serviços onde as pessoas repetem as mesmas credenciais.
Os dados roubados permitem aos criminosos criar ataques de phishing muito mais personalizados (Spear Phishing) dirigidos aos seus funcionários, usando informações reais para ganhar a sua confiança.
O risco principal é a engenharia social. Os atacantes usam os dados reais do utilizador para o enganar e fazer com que revele credenciais corporativas ou descarregue malware.
É fundamental monitorizar se os e-mails corporativos fizeram parte de fugas de dados e reforçar o uso de MFA (Autenticação de Múltiplos Fatores) em todos os acessos.
Porque costumam ser genéricas. Os ataques reais, como os derivados do caso Locky, utilizam dados específicos e contextos reais que as simulações básicas não conseguem replicar.
Normas como a NIS2, ISO 27001 e a LGPD (no Brasil) ou LOPDP (no Equador) exigem evidências de treino contínuo e eficaz dos colaboradores.
O treino gamificado ensina os funcionários a reconhecer padrões de engano em tempo real de forma lúdica, criando um hábito de desconfiança saudável que reduz drasticamente a probabilidade de sucesso de um ataque.
Sim. Estudos indicam que sessões curtas de 3 minutos por semana têm uma taxa de retenção de conhecimento muito superior às sessões anuais ou mensais tradicionais.
Desde 1954, temos o orgulho de oferecer um serviço personalizado para empresas de todos os tamanhos. Essa dedicação nos possibilitou expandir nossas operações da Espanha para Portugal, Brasil, toda a América Latina e África. Nosso objetivo é auxiliar no crescimento de nossos clientes, fornecendo soluções inovadoras.
