Task TI | Datacenter, Nuvem, IA e Cibersegurança https://www.taskti.com.br Mon, 15 Jun 2026 13:22:41 +0000 pt-BR hourly 1 https://grupotaskti.blob.core.windows.net/www-task/2025/01/cropped-android-chrome-512x512-1-1-32x32.png Task TI | Datacenter, Nuvem, IA e Cibersegurança https://www.taskti.com.br 32 32 Navegador protegido com Sophos Workspace: controle e segurança na navegação corporativa https://www.taskti.com.br/blog/sophos-workspace-navegacao-corporativa/ Mon, 15 Jun 2026 13:22:41 +0000 https://www.taskti.com.br/?p=3788 O navegador se consolidou como um dos principais ambientes de trabalho dentro das empresas. É nele que usuários acessam sistemas, utilizam ferramentas de IA, compartilham informações e interagem com conteúdos externos. Esse nível de centralização amplia a superfície de exposição a riscos como phishing, páginas fraudulentas, downloads maliciosos e uso indevido de aplicações web. Para entender mais sobre o papel da inteligência artificial na segurança, acesse também o post anterior aqui.

Sophos Workspace e as mudanças no cenário de segurança corporativa

A evolução do ambiente corporativo trouxe uma mudança relevante. Parte significativa das atividades migrou para aplicações web e serviços SaaS, o que desloca o foco da proteção para o ponto onde essas interações acontecem.

Dados de mercado reforçam esse movimento:

  • A maior parte das aplicações corporativas hoje é acessada via navegador
  • Phishing e engenharia social seguem entre os principais vetores de ataque
  • O uso de IA generativa cresce sem padronização em muitas empresas
  • A navegação web se tornou um ponto recorrente de exposição a risco operacional

Esse cenário não substitui a necessidade de firewall e endpoint, mas evidencia uma lacuna importante: o comportamento do usuário durante a navegação.

O que é o Sophos Workspace e como funciona na prática

O Sophos Workspace atua diretamente nesse contexto, criando um ambiente de navegação corporativa com políticas e controles aplicados de forma centralizada.
Ele não opera apenas como um browser isolado, mas como uma extensão da estratégia de segurança da organização, conectando identidade, dispositivo e comportamento.

Entre os principais pilares da solução:

Controle de navegação baseado em política

  • Definição de regras por perfil de usuário ou área
  • Restrição de acesso a categorias de sites
  • Bloqueio dinâmico de páginas com reputação suspeita
  • Aplicação de políticas sem depender exclusivamente do endpoint

Proteção contra ameaças web

  • Identificação de páginas de phishing com base em inteligência global
  • Análise contínua de URLs e atividades em sessão
  • Redução de exposição a downloads maliciosos e scripts perigosos

Governança sobre uso de IA

O crescimento do uso de inteligência artificial dentro das empresas trouxe um novo vetor de risco que não é exclusivamente técnico, mas também comportamental.

O Sophos Workspace permite:

  • Controlar quais ferramentas podem ser utilizadas
  • Aplicar restrições ao envio de informações sensíveis
  • Criar diretrizes por área ou tipo de dado
  • Monitorar o uso sem interromper a operação

Esse tipo de controle é particularmente relevante em áreas que lidam com dados estratégicos ou informações de clientes.

Integração com arquitetura de segurança

O Workspace se conecta com outros componentes do ecossistema Sophos, fortalecendo uma abordagem mais ampla baseada em:

  • Zero Trust
  • Segurança orientada a identidade
  • Correlação de eventos entre navegador, endpoint e rede

Essa integração permite maior visibilidade e resposta mais rápida a comportamentos anômalos.

Por que o Sophos Workspace resolve lacunas na segurança do navegador

Muitas empresas já investiram em boas soluções de segurança, mas ainda enfrentam incidentes relacionados à navegação.

Isso normalmente acontece por alguns fatores:

  • Falta de controle granular sobre o que acontece dentro do browser
  • Uso simultâneo de ambientes pessoais e corporativos
  • Adoção não estruturada de ferramentas externas
  • Baixa previsibilidade sobre o comportamento do usuário

Não se trata de ausência de tecnologia, mas de adaptação a um novo modelo de uso da internet no ambiente corporativo.

Segurança e comportamento de usuários

Nenhuma ferramenta resolve sozinha o desafio da segurança se o usuário não estiver preparado para identificar situações de risco.
Por isso, iniciativas de conscientização ganham relevância quando são aplicadas de forma prática.

O trabalho de aculturamento conduzido pelo CDC Security, empresa do Grupo Task TI, segue essa linha, com foco em situações reais do dia a dia:

  • Simulações baseadas em cenários de engenharia social
  • Orientações diretas sobre padrões de ataque
  • Reforço contínuo de boas práticas
  • Desenvolvimento de autonomia do usuário na tomada de decisão

Esse tipo de abordagem reduz a dependência de resposta reativa e fortalece a prevenção.

Para fazer parte da Comunidade CDC no Whatsapp, clique aqui

Implementação do Sophos Workspace em ambientes corporativos

A implementação de uma camada de segurança no navegador exige mais do que ativar uma ferramenta. É necessário entender contexto, operação e nível de maturidade da empresa.

Nesse ponto, a atuação da Task TI como Sophos Platinum Partner se conecta de forma natural ao processo:

  • Definição de políticas alinhadas ao perfil da organização
  • Configuração coerente com o ambiente já existente
  • Integração com soluções de segurança já implementadas
  • Acompanhamento técnico ao longo do uso

O objetivo é viabilizar controle e visibilidade sem comprometer a experiência do usuário.

Conclusão

A navegação corporativa se tornou um ponto crítico dentro da estratégia de segurança. À medida que mais atividades dependem do browser, cresce a necessidade de aplicar controle, visibilidade e política diretamente nesse ambiente.

Soluções como o Sophos Workspace ajudam a estruturar esse controle de forma consistente, especialmente quando combinadas com uma estratégia mais ampla que envolve tecnologia, processo e comportamento.

Essa evolução não substitui as camadas existentes de segurança, mas complementa o que já está implementado, cobrindo uma parte relevante do risco atual.

 

Quer transformar o navegador no seu maior aliado contra ataques digitais?
O Grupo Task TI combina expertise e parceria Sophos, estratégias e aculturamento em ataques cibernéticos para proteger sua empresa de ponta a ponta. Fale com nossos especialistas e descubra como evoluir sua segurança agora.

]]> Bloqueio de URL de IA: segurança com firewall e endpoint https://www.taskti.com.br/blog/bloqueio-de-url-ia-firewall-endpoint/ Tue, 09 Jun 2026 19:15:03 +0000 https://www.taskti.com.br/?p=3775 Bloqueio de URL de IA é essencial para proteger dados corporativos. Veja como firewall e endpoint garantem segurança no uso de inteligência artificial.

Bloqueio de URL de IA: por que sua empresa precisa disso agora

O bloqueio de URL de IA se tornou uma das principais medidas de segurança para empresas que buscam controlar o uso de ferramentas de inteligência artificial no ambiente corporativo.
Com a popularização de soluções como ChatGPT, Copilot e outras plataformas generativas, colaboradores passaram a utilizar essas ferramentas no dia a dia, muitas vezes sem qualquer tipo de controle ou diretriz. O problema é que esse uso pode resultar em exposição de dados sensíveis, riscos de compliance e vazamento de informações estratégicas.
Por isso, implementar o bloqueio de URL de IA via firewall e endpoint é um dos primeiros passos para reduzir esses riscos.

Os riscos do uso não controlado de IA

Sem uma estratégia clara de governança, o uso de IA pode gerar sérios problemas:
  • Inserção de dados confidenciais em plataformas públicas
  • Compartilhamento de informações internas sem percepção de risco
  • Exposição de códigos, contratos e dados de clientes
  • Armazenamento externo de informações corporativas

O ponto crítico é que muitas dessas ferramentas não fazem parte do ambiente controlado da empresa.

Como funciona o bloqueio de URL de IAs não autorizadas

O bloqueio de URL de IA consiste em restringir o acesso a plataformas específicas por meio de soluções de segurança como:
  • Firewall corporativo
  • Endpoint (EDR/XDR)
  • Secure Web Gateway (SWG)
O que pode ser bloqueado:
  • Sites de IA generativa como chat.openai.com e gemini.google.com
  • APIs externas de inteligência artificial
  • Extensões de navegador com IA
  • Ferramentas SaaS com IA embutida

Bloqueio via firewall

No firewall, o controle acontece no nível da rede:
  • Bloqueio por domínio e categoria
  • Controle de tráfego de saída
  • Políticas baseadas em usuários ou grupos

Exemplo prático: bloquear ferramentas de IA para toda a empresa, liberando apenas para áreas específicas como TI ou inovação.

Bloqueio via endpoint

Já no endpoint, o controle é mais abrangente:
  • Funciona mesmo fora da rede corporativa
  • Protege dispositivos em home office
  • Monitora comportamento de uso

O diferencial é que o bloqueio de URL de IA continua ativo mesmo em redes externas.

Quando aplicar o bloqueio de URL de IA

A decisão depende do nível de maturidade da empresa.

Baixa maturidade:

  • Bloqueio total
  • Liberação sob demanda
  • Foco em mitigação imediata

Maturidade intermediária:

  • Liberação parcial
  • Monitoramento de uso
  • Integração com DLP

Alta maturidade:

  • Governança estruturada
  • Ferramentas homologadas
  • Políticas bem definidas

Bloquear não é suficiente

Embora o bloqueio de URL de IA seja essencial, ele não resolve tudo sozinho.
Sem uma estratégia completa:
  • Usuários podem buscar alternativas
  • Utilizar dispositivos pessoais
  • Compartilhar dados fora do ambiente corporativo

Ou seja, o risco continua, apenas muda de forma.

Segurança de IA exige estratégia completa

Para proteger o ambiente corporativo de forma eficaz, é necessário combinar:
  • Tecnologia como firewall, endpoint e DLP
  • Processos com políticas claras de uso
  • Pessoas com conscientização e treinamento

Conclusão

O bloqueio de URL de IA é um controle fundamental para empresas que desejam começar a organizar o uso de inteligência artificial com segurança.
No entanto, ele deve ser aplicado dentro de uma estratégia maior, garantindo que a empresa possa equilibrar proteção e produtividade.

Empresas que tratam o tema de forma estruturada conseguem extrair valor da IA sem comprometer seus dados.

A importância do aculturamento

Mais do que tecnologia, segurança depende de comportamento.
Por isso, o aculturamento conduzido pelo Grupo Task TI é essencial para que colaboradores saibam:
  • Quais são os riscos do uso de IA com dados críticos
  • Como utilizar essas ferramentas com segurança
  • O que pode ou não ser compartilhado
Sem cultura, qualquer controle técnico perde efetividade.

Quer implementar bloqueio de URL de IA com segurança sem comprometer a produtividade?
O Grupo Task TI ajuda sua empresa a aplicar controles eficientes e criar uma cultura sólida de segurança.
Fale com um especialista.

OU

Caso queira entender mais sobre como utilizar IA na sua empresa sem comprometer dados críticos, conheça a Solução Copilot for Business.

]]> Do falso suporte ao Pix urgente: a nova onda de engenharia social no Microsoft Teams https://www.taskti.com.br/blog/fraude-microsoft-teams-engenharia-social/ Tue, 26 May 2026 19:22:33 +0000 https://www.taskti.com.br/?p=3626

Como ataques sofisticados estão explorando o Microsoft Teams para fraudes financeiras via Pix

O Microsoft Teams, amplamente adotado como ferramenta de colaboração corporativa, vem sendo explorado como vetor para fraudes financeiras altamente direcionadas, especialmente envolvendo transferências via Pix. Diferente de ataques tradicionais por e-mail, essa nova onda se apoia na confiança implícita do ambiente corporativo, combinando engenharia social avançada, automação e falhas técnicas de spoofing na plataforma.

Neste artigo técnico, analisamos como funcionam esses golpes, quais são as vulnerabilidades exploradas no Teams, os indicadores de comprometimento (IOCs) e as boas práticas de mitigação no Microsoft 365, mantendo uma abordagem aprofundada e baseada em casos reais.

Engenharia social no Microsoft Teams: quando a confiança vira vulnerabilidade

A migração massiva das comunicações internas para plataformas como o Microsoft Teams consolidou uma percepção de legitimidade nas interações via chat e chamadas. Enquanto usuários já demonstram maior ceticismo em relação a e-mails suspeitos, mensagens no Teams tendem a ser aceitas com menos questionamento, criando um vetor ideal para ataques de engenharia social.

Os atacantes exploram esse comportamento para contornar controles tradicionais de segurança, direcionando esforços principalmente ao setor financeiro das organizações.

Fraudes via Pix no Teams: foco estratégico em executivos e liderança

As campanhas observadas demonstram alto nível de planejamento e reconhecimento prévio. Utilizando ferramentas automatizadas e coleta de informações em fontes abertas (OSINT), os criminosos mapeiam a estrutura organizacional antes mesmo do primeiro contato.

Principais características do direcionamento:

  • Ataques focados em executivos, gerentes e diretores
  • Uso de contas externas se passando por lideranças internas
  • Linguagem de urgência operacional
  • Solicitações diretas de saldos bancários e capital de giro
  • Ordem rápida de transferência via Pix para CNPJs específicos

Em março de 2026, 77% das tentativas de fraude no Teams foram direcionadas a cargos de liderança, com intervalos de apenas 29 segundos entre contatos, viabilizados por scripts automatizados e LLMs.

Anatomia do golpe: como funciona a fraude no Microsoft Teams

A análise de incidentes reais permite identificar um padrão recorrente de execução.

  1. Sondagem e mapeamento de rotina

O atacante inicia a conversa com perguntas aparentemente inofensivas, como disponibilidade ou carga de trabalho. O objetivo é identificar um momento de menor atenção para avançar rapidamente com solicitações financeiras.

Conversa no Microsoft Teams com usuário externo iniciando contato e solicitando informações sobre capital de giro da empresa
Exemplo real de abordagem inicial de engenharia social no Microsoft Teams, explorando a confiança do usuário no chat corporativo.

  1. Isolamento e canais paralelos

Ao perceber que o colaborador precisa envolver outras pessoas, o golpista tenta centralizar a comunicação, solicitando:

  • Envio direto de capturas de tela
  • Inclusão de contas externas de e-mail pessoal
  • Comunicação fora dos sistemas monitorados da empresa

Esse isolamento reduz a chance de detecção pelos controles internos.

Conversa no Microsoft Teams em que atacante insiste no envio de captura de tela e solicita inclusão de e-mail externo
Atacantes tentam centralizar a comunicação e retirar o fluxo de ambientes monitorados para avançar no golpe.

  1. Execução do desvio financeiro

Com os dados em mãos, o atacante fornece instruções objetivas de pagamento, exigindo Pix imediato para uma empresa de fachada. Em casos recentes, houve solicitações fraudulentas no valor de R$ 148.000,00.

Mensagem no Microsoft Teams solicitando pagamento urgente de cento e quarenta e oito mil reais como movimentação interna
Fase final do golpe: solicitação direta de pagamento com valor elevado e justificativa interna.

Edição de mensagens sem rastro

Manipulando o parâmetro clientmessageid, atacantes conseguem editar mensagens sem exibir o aviso de edição, alterando o conteúdo de forma invisível para a vítima.

Falsificação de notificações (CVE-2024-38197)

A ausência de validação rigorosa do parâmetro imdisplayname permitiu que contas externas exibissem nomes corporativos legítimos nas notificações, induzindo confiança imediata.

Spoofing em chats e chamadas

Também foram identificadas falhas que permitem:

  • Alteração do nome de tópicos em conversas privadas
  • Falsificação de nomes exibidos em chamadas de voz e vídeo

Esses vetores ampliam significativamente a eficácia dos golpes.

Abuso de ferramentas de suporte remoto

Além das fraudes via Pix, os atacantes utilizam o pretexto de suporte técnico para induzir vítimas a conceder acesso remoto, explorando ferramentas como:

  • Supremo Remote Desktop
  • Quick Assist (Windows)

Com o acesso, os invasores conseguem roubar tokens de autenticação e executar scripts maliciosos.

Boas práticas de segurança no Microsoft Teams e Microsoft 365

A mitigação exige controles técnicos e validação operacional.

Recomendações para colaboradores

  • Verificar sempre o selo “Externo” no Teams
  • Validar o domínio de e-mail real do contato
  • Nunca realizar transferências financeiras apenas com base em mensagens
  • Utilizar duplo fator de validação fora da plataforma

Hardening no Teams Admin Center

Administradores devem restringir comunicações com:

  • Contas pessoais não gerenciadas
  • Usuários externos sem vínculo organizacional

Essas configurações reduzem drasticamente o risco de spoofing e fraude financeira.

Indicadores de comprometimento (IOCs)

Abaixo estão listados os indicadores de comprometimento identificados em campanhas recentes de fraude financeira e impersonação via Microsoft Teams, apresentados de forma descaracterizada (defanged) para fins de segurança:

				
					# Contas de E-mail de Impersonação
michaelsullivan224[at]outlook[.]com
helpdesk[at]dpf[.]edu[.]lk
networksupport[at]techguard359[.]onmicrosoft[.]com
Itsolution[at]helptech247[.]onmicrosoft[.]com
helpdesk[at]griffinintl[.]net
itdesk[at]itdesk[.]top
it_assistance[at]teams000472[.]onmicrosoft[.]com
h[.]tachouche[at]groupbiocare[.]com
internalit[at]internalsupportteams[.]onmicrosoft[.]com

# Endereços IP de Atacantes
84[.]42[.]94[.]127
84[.]42[.]92[.]225
84[.]42[.]92[.]111
84[.]42[.]92[.]176

# Dados de Transações Fraudulentas
CNPJ Destinatário do Pix: 65[.]322[.]896/0001-70
Razão Social: LOJAS BRAS IMPORTACAO E EXPORTACAO LTDA
Instituição Financeira: BANCO ADOPAY

Considerações finais

exploração do Microsoft Teams como vetor de fraude via Pix demonstra que defesas focadas apenas em e-mail são insuficientes. A combinação de engenharia social, falhas técnicas e pressão psicológica exige processos rígidos de validação financeira, governança de identidades e políticas de segurança continuamente revisadas.

 

A pergunta que fica é: sua organização está preparada para avaliar ordens financeiras recebidas por canais de mensagem? 

 

O CDC Security atua no aculturamento de colaboradores para identificação de golpes, fraudes via Pix, engenharia social e tentativas de impersonação no Microsoft Teams, Microsoft 365 e outras ferramentas corporativas

Com treinamentos práticos, simulações de ataques reais e orientação contínua,
ajudamos sua equipe a reconhecer sinais de fraude antes que o prejuízo aconteça — fortalecendo o fator humano como parte ativa da segurança.

Fale com o CDC Security e transforme seus colaboradores na primeira linha de defesa.

 

Fontes:

Exploiting Microsoft Teams: Impersonation and Spoofing Vulnerabilities Exposed Microsoft Teams Vulne…

Disrupting threats targeting Microsoft Teams | Microsoft Security Blog

Are Former Black Basta Affiliates Automating Executive Targeting?

 

Quer ficar sempre por dentro das notícias de Cibersegurança?
Inscreva-se na comunidade CDC com curadoria especializada!

]]> Patch Tuesday de Maio de 2026: Microsoft corrige 118 falhas e reforça alerta para Secure Boot https://www.taskti.com.br/blog/patch-tuesday-maio-2026-microsoft/ Fri, 15 May 2026 12:37:10 +0000 https://www.taskti.com.br/?p=3581 O Patch Tuesday de maio de 2026, divulgado pela Microsoft, traz um volume expressivo de correções de segurança e um cenário pouco comum nos últimos anos: nenhuma vulnerabilidade estava sendo explorada ativamente ou havia sido divulgada publicamente antes da liberação dos patches. Ao todo, foram 118 CVEs corrigidos, impactando Windows, Office, Azure e diversos componentes de servidor.

Mesmo sem zero-days ativos, o ciclo exige atenção imediata das equipes de TI e segurança, especialmente devido ao prazo crítico para atualização dos certificados de Secure Boot, que se encerra em junho de 2026.

Visão geral do Patch Tuesday – Maio de 2026

Neste ciclo, a Microsoft abordou um conjunto amplo de falhas:

  • 118 vulnerabilidades corrigidas
    • 16 críticas
    • 102 importantes
  • Ausência de zero-days explorados ou divulgados
  • Atualizações distribuídas entre:
    • Sistemas operacionais
    • Aplicações corporativas
    • Serviços em nuvem
    • Ferramentas de desenvolvimento

A ausência de exploração ativa reduz a pressão imediata, mas não elimina o risco, especialmente em ambientes corporativos complexos e altamente integrados.

Vulnerabilidades críticas em destaque

Algumas falhas se sobressaem pelo impacto potencial e pela facilidade de exploração:

📄 Microsoft Word – Execução Remota de Código

Vulnerabilidades críticas no Microsoft Word permitem a execução remota de código por meio de documentos maliciosos, inclusive quando visualizados apenas no painel de visualização. Esse vetor aumenta significativamente o risco em ambientes com grande volume de troca de arquivos.

🏢 Netlogon – Risco ao Active Directory

Uma falha grave no Netlogon pode levar ao comprometimento completo de domínios Active Directory, tornando controladores de domínio prioridade máxima para aplicação dos patches.

🔑 SSO para Jira e Confluence

Um problema de elevação de privilégio no plugin de Single Sign-On (SSO) para Jira e Confluence pode permitir acesso indevido a contas válidas, ampliando o risco de escalonamento e movimentação lateral.

Secure Boot: prazo final em junho de 2026

Além das CVEs, este Patch Tuesday reforça um alerta importante relacionado ao Secure Boot:

  • Continuidade da distribuição dos certificados atualizados (2023);
  • Prazo final: 26 de junho de 2026;
  • Após essa data, sistemas não atualizados podem sofrer degradação na segurança do processo de inicialização.

⚠ Em muitos casos, apenas aplicar o patch do Windows não é suficiente. Será necessário:

  • Validar o status dos certificados;
  • Atualizar firmware OEM;
  • Garantir compatibilidade entre firmware, sistema operacional e políticas de segurança.

Produtos e plataformas impactados

As correções deste mês abrangem praticamente todo o ecossistema Microsoft:

  • Windows 10 e Windows 11
  • Windows Server 2016, 2019, 2022 e 2025
  • Microsoft 365 e Office
    • Word, Excel, SharePoint, Teams
  • Azure e serviços em nuvem
  • Dynamics 365
  • Hyper-V
  • SQL Server
  • Componentes centrais do kernel do Windows

Boas práticas recomendadas

Para reduzir riscos e manter a estabilidade do ambiente, o Grupo Task TI recomenda:

✅ Priorizar patches críticos em:

  • Controladores de domínio
  • Ambientes Office voltados a usuários finais

✅ Verificar o status dos certificados de Secure Boot em todos os dispositivos

✅ Coordenar atualizações de firmware com fabricantes (OEMs)

✅ Realizar testes em ambientes piloto antes da liberação em produção

✅ Monitorar eventos de:

  • Autenticação
  • Execução de código
  • Elevação de privilégios
  • Atividades anômalas após o patch

Conclusão técnica

Mesmo sem zero-days ativos, o Patch Tuesday de maio de 2026 se destaca pelo volume de falhas corrigidas e pelo prazo iminente do Secure Boot. Ambientes que atrasarem essas atualizações podem enfrentar riscos significativos, especialmente em infraestruturas baseadas em Active Directory e Microsoft 365.

A gestão adequada de patches e firmware continua sendo um pilar essencial da segurança corporativa.

 

👉 O Grupo Task TI ajuda sua empresa a aplicar patches críticos, validar Secure Boot e manter o ambiente Microsoft seguro, estável e em conformidade.

Fale com nossos especialistas.

 

Fontes:

Rapid7
Microsoft
Sophos

]]> Case de Simulação de Phishing: Riscos Humanos e Aculturamento em Cibersegurança https://www.taskti.com.br/blog/case-simulacao-de-phishing-2025/ Thu, 14 May 2026 12:50:36 +0000 https://www.taskti.com.br/?p=3571 Ataques de phishing seguem sendo uma das principais portas de entrada para incidentes de segurança. Mesmo organizações maduras, com controles técnicos implementados, continuam expostas ao fator humano — especialmente quando não há dados concretos para orientar decisões.

Este case mostra como uma grande organização do varejo utilizou simulação de phishing aliada a um programa de aculturamento em cibersegurança para identificar riscos reais, direcionar treinamentos e fortalecer a cultura de segurança da informação.

O contexto do cliente

O projeto foi realizado em uma organização com aproximadamente 12 mil colaboradores, distribuídos entre áreas administrativas e operacionais.
A campanha de aculturamento contemplou 2.062 endereços de e-mail, incluindo contas nominais e genéricas, abrangendo diferentes perfis de usuários e níveis de exposição ao risco.

A iniciativa foi conduzida pelo CDC Security, com apoio da equipe de TI interna do cliente, garantindo alinhamento técnico e governança durante toda a execução.

Desafio: como medir o risco humano de forma objetiva

Antes do projeto, a organização já havia vivenciado incidentes envolvendo tentativas de phishing por e-mail e telefone, o que acendeu um alerta importante para a liderança.

Entre as principais preocupações estavam:

  • Risco de comprometimento de contas corporativas
  • Vulnerabilidade humana à engenharia social, mesmo diante de indícios claros de fraude
  • Ausência de métricas objetivas para avaliar o nível real de conscientização dos colaboradores

Mais do que treinar, o desafio era medir comportamentos reais, identificar onde estavam os pontos de atenção e transformar esse diagnóstico em ações práticas de melhoria.

Objetivos da Simulação de Phishing

O programa de aculturamento em phishing foi estruturado com objetivos claros:

  • Testar a maturidade dos usuários frente a tentativas reais de phishing
  • Medir interações com e-mails maliciosos
    • Abertura de mensagens
    • Cliques em links suspeitos
    • Envio de credenciais
  • Identificar contas com maior nível de risco
  • Gerar dados concretos para direcionar treinamentos e ações corretivas

As metas estavam diretamente ligadas à mensuração de indicadores de risco humano, permitindo decisões baseadas em evidência e não apenas em percepção.

Metodologia aplicada pelo CDC Security

A campanha de phishing teve duração de 30 dias, ocorrendo entre 05/08/2025 e 03/09/2025.

Durante o período, foram realizados:

  • 4.124 disparos de e-mail, organizados em 5 grupos
  • Utilização de dois templates distintos, simulando comunicações comuns do dia a dia
    • Office 365: simulação de problemas na conta para adquirir credenciais Microsoft do usuário
    • Cupons iFood: simulação de promoção e vouchers de desconto
  • Disparos em dias e horários alternados, para evitar padrões previsíveis

Os e-mails foram propositalmente elaborados com:

  • Erros de gramática
  • Datas inconsistentes
  • Remetentes não confiáveis

O objetivo foi avaliar a atenção dos colaboradores e observar comportamentos reais diante de tentativas de fraude, simulando situações próximas da realidade enfrentada pelas organizações.

Resultados obtidos

Os resultados da campanha tiveram caráter diagnóstico e serviram como base para as ações de aculturamento aplicadas posteriormente.

Indicadores quantitativos

  • 89,2% dos e-mails não foram abertos
  • 2,2% resultaram em cliques em links maliciosos
  • 0,9% culminaram no envio de credenciais
  • 39 contas distintas identificadas como comprometidas
    • Destas, 16 eram contas genéricas, evidenciando riscos relevantes sob a ótica de governança de acessos

Mesmo com percentual relativamente baixo de cliques e envio de credenciais, os dados revelaram pontos críticos de exposição, especialmente relacionados ao uso de contas compartilhadas.

Impactos qualitativos observados

Além dos números, o projeto gerou impactos importantes no comportamento e na cultura organizacional:

  • Maior conscientização dos colaboradores
  • Mudança no comportamento diante de e-mails suspeitos
  • Fortalecimento da cultura de segurança da informação
  • Melhoria nas práticas internas de prevenção

A iniciativa foi bem recebida pela diretoria, que destacou a importância de ações contínuas de aculturamento e o valor de trabalhar com dados claros para embasar decisões estratégicas.

Lições aprendidas

O projeto trouxe aprendizados relevantes para a evolução da segurança da informação na organização:

  • Tentativas de phishing continuam sendo eficazes mesmo quando apresentam falhas evidentes
  • Uma vez engajado no ataque, o usuário tende a avançar no processo e fornecer informações sensíveis
  • Contas genéricas representam um risco significativo e exigem maior controle e revisão de acessos
  • Conscientização contínua é um pilar essencial da governança em cibersegurança

Após o projeto, os colaboradores passaram a questionar com mais frequência a legitimidade das mensagens recebidas e a encaminhar conteúdos suspeitos para a equipe de TI, assumindo um papel mais ativo na prevenção de incidentes.

Depoimento do cliente

“A parceria com o CDC Security foi extremamente positiva e estratégica para o fortalecimento da segurança da informação na organização. O projeto foi conduzido de forma organizada, profissional e alinhada à realidade da empresa, permitindo uma visão clara sobre o nível de maturidade dos colaboradores frente a ataques de phishing.
As ações realizadas contribuíram significativamente para o aumento da conscientização em cibersegurança, evidenciando riscos reais e direcionando decisões internas de forma assertiva.”

Conclusão

Este case demonstra como simulações práticas de phishing, aliadas a um programa estruturado de aculturamento em cibersegurança, permitem transformar dados em decisões, fortalecer a cultura organizacional e reduzir riscos associados ao fator humano.

O CDC Security atua apoiando organizações na construção de uma postura de segurança mais madura, baseada em evidência, aprendizado contínuo e engajamento das pessoas como parte ativa da defesa do negócio.

👉 Quer entender como medir o risco humano na sua organização e direcionar ações de aculturamento com dados reais?

Fale com o CDC Security

]]> 🚨 Falha crítica no Apache ActiveMQ já está sendo explorada e permite execução remota de código https://www.taskti.com.br/blog/falha-critica-apache-activemq-rce-jolokia-cve-2026-34197/ Tue, 28 Apr 2026 14:57:44 +0000 https://www.taskti.com.br/?p=3538 Uma vulnerabilidade crítica no Apache ActiveMQ Classic foi confirmada como explorada ativamente na internet e adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA. Identificada como CVE-2026-34197, a falha permite execução remota de código (RCE) por meio da interface de gerenciamento Jolokia, elevando significativamente o risco para ambientes corporativos.

Organizações que utilizam o ActiveMQ como parte de seus pipelines de mensageria, integração de sistemas ou fluxos críticos de dados devem tratar esse alerta como prioridade máxima.

🔍 O que é a CVE-2026-34197?

A CVE-2026-34197 está relacionada a uma validação inadequada de entradas na API Jolokia, interface utilizada para gerenciamento via JMX sobre HTTP no Apache ActiveMQ Classic.
Essa falha permite que um atacante:
  • Abuse da API Jolokia para carregar configurações remotas maliciosas;
  • Induza o broker a executar comandos arbitrários no sistema operacional;
  • Realize ataques sem autenticação, em cenários onde:
    • o Jolokia está exposto à internet;
    • credenciais padrão permanecem ativas;
    • ou outra falha permite acesso não autorizado à interface de gerenciamento.

A inclusão da vulnerabilidade no catálogo KEV confirma que o problema já está sendo explorado fora de ambientes de teste.

🗯 Como funciona o ataque

O ataque explora diretamente a interface Jolokia, amplamente utilizada para operações administrativas no ActiveMQ. Em ambientes vulneráveis, o fluxo típico envolve:
  1. Identificação de instâncias do Apache ActiveMQ expostas;
  2. Acesso à API Jolokia sem autenticação ou com credenciais fracas;
  3. Envio de requisições maliciosas para invocar MBeans sensíveis;
  4. Execução remota de código, permitindo controle parcial ou total do sistema.
Uma exploração bem-sucedida pode resultar em:
  • Instalação de malware;
  • Criação de backdoors;
  • Movimentação lateral na rede;
  • Exfiltração de dados sensíveis;
  • Interrupção de serviços essenciais.

🎯 Quem está no alvo?

Os ataques observados têm como foco principal:
  • Instâncias do Apache ActiveMQ Classic expostas à internet;
  • Ambientes com console de administração acessível publicamente;
  • Organizações que utilizam ActiveMQ em fluxos críticos de negócio.
Ambientes corporativos, especialmente em setores como tecnologia, indústria, logística e financeiro, podem sofrer impactos severos devido ao papel central do broker de mensagens na operação.

🛡 Recomendações de mitigação

Diante da gravidade da CVE-2026-34197, as seguintes ações são altamente recomendadas:
  • Atualizar imediatamente o Apache ActiveMQ para as versões corrigidas:
    • 5.19.4
    • 6.2.3
  • Restringir o acesso ao console web e à interface Jolokia, permitindo apenas redes internas ou VPNs;
  • Desabilitar o Jolokia quando não houver necessidade operacional;
  • Remover credenciais padrão e aplicar autenticação forte em todas as interfaces de gerenciamento;
  • Monitorar logs em busca de:
    • Chamadas suspeitas à API Jolokia;
    • Execuções incomuns de MBeans;
  • Utilizar soluções de monitoramento, detecção e resposta para identificar comportamentos anômalos em processos Java e conexões externas inesperadas.

⚠ Por que essa vulnerabilidade é tão perigosa?

Falhas que permitem execução remota de código em componentes de infraestrutura, como brokers de mensageria, têm alto potencial de impacto. Um único ponto comprometido pode afetar múltiplos sistemas integrados, causando efeito cascata, interrupções operacionais e incidentes de segurança de grande escala.

A exploração ativa reforça que não se trata de um risco teórico, mas de uma ameaça real em curso.

✅ CDC Security

Instâncias vulneráveis do Apache ActiveMQ já estão sendo exploradas. Se você não verificou seu ambiente, o risco é real.
O CDC Security atua com monitoramento contínuo, detecção de vulnerabilidades e resposta a incidentes para identificar ataques antes que eles comprometam sua operação.

👉Conheça as soluções do CDC Security

Fontes:
FortiGuard Labs
Darkreading

]]>