Ben-Hur: A transformação digital mudou muito o mundo nos últimos anos, e com isso surge a necessidade de fazermos algumas perguntas:
Como podemos nos proteger dentro de um mundo cibernético? Quais são os riscos que existem?
Para responder a essas e muitas outras perguntas, continue conosco nessa websérie para mergulharmos nos conhecimentos sobre cibersegurança.
Olá, eu sou Ben-Hur, instrutor da Alura e especialista em cibersegurança.
Audiodescrição: Ben-Hur S.Ott está sentado e uma cadeira à direita da tela. É uma pessoa de pele clara, cabelos, barba e bigode curtos. No seu rosto, usa um óculos de armação prateada. Na orelha esquerda, usa um brinco. No corpo, uma camiseta e um colete por cima, ambos pretos, além de uma calça e sapatos, ambos marrom-claro. Uma tatuagem ocupa grande parte de seu braço esquerdo, no qual há um relógio de pulso prateado.
Estamos aqui com o Átila, gerente executivo de cibersegurança do Banco do Brasil. Muito obrigado por estar aqui conosco.
Átila: Obrigado, eu que agradeço a oportunidade de estar aqui falando sobre esse tema tão importante para as pessoas, para as empresas e para os negócios.
Audiodescrição: Átila Bandeira está sentado e uma cadeira à esquerda da tela. É uma pessoa de pele clara, cabelos, barba e bigode curtos. No seu rosto, usa um óculos de armação preta. No corpo, um blazer cinza aberto sobre uma camisa cinza, além de uma calça preta e sapatos marrom-escuros.
Ben-Hur: Hoje, as pessoas estão conectadas por todos os lados, digamos assim, quando falamos de internet. Temos dispositivos celulares, temos televisões, geladeiras, lâmpadas, tudo conectado na internet. E dentro desse mundo, nós também precisamos ter certos cuidados. Como as pessoas podem se proteger dentro desse mundo tão conectado que conhecemos como a internet hoje?
Átila: Antes de entrarmos nesse tema de como nos proteger, é interessante olharmos para a maneira com a qual chegamos até aqui. O que aconteceu nesse novo mundo tecnológico para que estejamos aqui falando sobre como se proteger no mundo digital?
Se há 20 ou 30 anos, falássemos sobre a questão de segurança, normalmente estaríamos falando sobre trancar a porta, proteger o cofre fisicamente e não falar com estranhos. Para as empresas, era predominantemente uma questão de segurança física e de proteção do perímetro, mesmo em relação à parte tecnológica. O perímetro era protegido, a empresa se protegia fisicamente e estava tudo certo do ponto de vista de segurança.
Com o tempo, principalmente com o advento do uso comercial da internet, a partir de 1995, as empresas começaram a se abrir e a abrir os seus produtos e negócios, de forma que fossem acessados em qualquer parte do mundo. Comas pessoas cada vez mais conectadas, as empresas começaram a ver o que era óbvio: elas teriam que estar presentes nesse mundo digital. Isso fez com que as empresas estivessem cada vez mais nesse mundo.
Com o tempo, principalmente depois da pandemia da COVID, aconteceu uma coisa inversa: as pessoas foram empurradas para o ambiente digital e as empresas também, de certa forma, porque aquele ambiente físico já não era mais possível como tinha sido nos últimos anos.
Essas pessoas passaram a, obrigatoriamente, frequentar o ambiente digital. Com isso, não eram mais as empresas majoritariamente indo até as pessoas, mas as pessoas indo até as empresas, do ponto de vista digital. Isso gerou uma necessidade muito maior de consumo de serviços digitais e produtos digitais. Ao mesmo tempo, as oportunidades foram enxergadas pelo lado ruim, que são os atacantes. Eles viram oportunidades de atacar as pessoas e as empresas.
Isso acontece porque, basicamente, aquele perímetro físico que falávamos há 20, 30 anos, foi totalmente diluído. As pessoas e as empresas estão em todos os lugares. Os serviços podem ser acessados de várias formas, principalmente depois da criação do smartphone, permitindo que hoje as pessoas estejam totalmente conectadas a todo tipo de serviço, a todo tempo.
Em uma empresa como um banco, por exemplo, a maior parte das transações hoje é realizada de forma digital. Para que tudo isso funcione, as empresas e os serviços tem que estar disponíveis 24 horas por dia, 7 dias por semana. Há um investimento muito forte do ponto de vista de segurança para que essa experiência e disponibilidade dos serviços seja entregue para o cliente, além da segurança dos seus dados e informações.
Tudo isso, hoje em dia, são os fatores mais importantes de sucesso de um negócio ou de um serviço que uma empresa entrega.
Ben-Hur: Perfeito. Átila, mencionando a questão de estarmos hoje com um smartphone e estarmos o tempo inteiro conectados, se observarmos bem,temos toda a nossa vida dentro de um smartphone, seja financeira ou social. E não sabemos mais o que vem por aí a partir daqui.
Existem muitos aplicativos maliciosos, criados por pessoas criminosas para causar algum tipo de problema para as pessoas. Por exemplo, temos o caso do fictício WhatsApp Plus, no qual supostamente poderíamos enviar vídeos com figurinhas. As pessoas acabam instalando-o sem verificar de fato se é um WhatsApp real. Outro exemplo são aplicativos de jogos específicos que prometem às pessoas ganhar muito dinheiro com pouco esforço, bastando baixá-lo, e assim por diante.
Sabendo que a nossa vida está toda dentro desse pequeno dispositivo hoje, quais são os impactos, problemas e riscos que as pessoas estão correndo ao comprometer a sua segurança cibernética dentro de um smartphone, por exemplo?
Átila: Os impactos podem ser devastadores. Um smartphone contém, praticamente, todos os fatores da vida pessoal e cotidiana das pessoas e qualquer comprometimento daquele dispositivo também vai comprometer esses serviços que ela utiliza, assim como as informações que ela incluiu naqueles aplicativos. Isso serve tanto para as pessoas quanto para as empresas, porque o comprometimento de uma aplicação ou de um sistema também compromete todo o ecossistema que está em volta dele.
Existe esse fator de que todas as entidades são alvo: as pessoas e as empresas. Além disso, a pessoa atacante pode estar em qualquer lugar, diferentemente do mundo físico, no qual ela precisa estar de forma presencial para realizar aquele ataque — como no caso de um cofre físico de uma agência bancária que era atacado.
Agora, o cofre é virtual e a carteira das pessoas também. Então, essa pessoa atacante pode estar em qualquer lugar, a todo momento. É muito mais fácil para ela não só atacar as pessoas, mas se esconder também. Esse mundo virtual ficou muito atrativo para as pessoas atacantes, de certa forma, e o resultado é um impacto muito grande na vida das pessoas e nos negócios da empresa.
Ben-Hur: Explique para nós: o que acontece a partir do momento em que temos uma ação que não deveria ser a ideal, dentro de algum ambiente tecnológico em que a empresa está envolvida diretamente?
Átila: Hoje, é muito difícil dissociar o comportamento como pessoa do comportamento, por exemplo, como uma pessoa funcionária de empresa. Muito do que se faz hoje no comportamento reflete na atuação como pessoa colaboradora. Principalmente agora com o trabalho remoto, no qual a pessoa está em casa ou em qualquer lugar, o ambiente pessoal e o comportamento pessoal dela está sendo comprometido, o que trará consequências para o mundo corporativo.
Então, quando falamos do uso de senhas e de fatores adicionais à autenticação, estamos falando também do comportamento como pessoa e como parte de uma empresa. Hoje é praticamente impossível dissociar esses dois comportamentos. Eles acabam convergindo em um único fator que pode comprometer tanto a vida pessoal quanto a vida corporativa.
Um exemplo disso é que quando a pessoa instala um aplicativo pirata, contendo um vírus ou malware, em um computador que está na casa dela, mas que ela utiliza para poder se conectar com a empresa, isso certamente vai trazer alguma consequência também para a empresa, porque pode abrir alguma porta para que uma pessoa atacante, por meio desse dispositivo, entre na empresa e realize um ataque.
Ben-Hur: Quando falamos de ataque, vemos isso ocorrendo em algumas empresas. Um exemplo disso foi o porto de Nagoya, no Japão, que era um motor da economia japonesa, que ficou dias sem operação. Então, esses ataques podem parar uma área extremamente importante de um país por dias. Vimos isso em outras empresas também, que ficaram dias fora e tiveram milhões de dólares em prejuízo. Houve casos acima de 300 milhões de dólares em prejuízo com um único ataque, e que esse poderia ser um dos vetores.
Se fôssemos dar um resumo de boas práticas para mitigar esse risco, quais são os principais cuidados que deveríamos ter?
Átila: Antes de falar dos principais cuidados, é importante lembrar que, no caso do Banco do Brasil, por exemplo, ele é considerado uma infraestrutura crítica do país. Citamos o porto e alguns outros exemplos que ficaram parados. Assim como ele, se o sistema financeiro parar hoje, é possível parar o país todo.
As infraestruturas críticas hoje são:
Qualquer ataque que esteja relacionado a esses setores, vai fazer uma diferença para o país como um todo.
Quando estamos falando de proteção, de medidas que devemos tomar, além de proteger a parte do negócio em si, de ter um negócio sustentável, do ponto de vista de proteção cibernética, também estaremos protegendo o país.
As recomendações são aquelas que parecem óbvias, como não deixe a porta destrancada e não fale com estranhos. Contudo, assim como as do mundo físico, temos esse tipo de recomendação no mundo digital. As medidas recomendadas nesse caso são:
Para senhas mais fortes, não devemos usar número de documentos, data de nascimento, e outras senhas fáceis de se adivinhar. No que tange fatores de autenticação, devemos ter mais de um fator de autenticação além da senha. Vários aplicativos já oferecem isso. Há vários sistemas em que, além da senha, temos que nos autenticar, por exemplo, por SMS, e-mail, ou um push recebido.
Existe até uma pesquisa informando que, se não utilizarmos mais de um fator de autenticação e usar somente a senha, a chance de sofrermos ataques de hackers é de praticamente 100%. Em algum momento sofreremos ciberataques.
Portanto, essa dica também é boa para a vida pessoal. Nos aplicativos e redes sociais, principalmente, devemos sempre habilitar os fatores adicionais de autenticação se não quisermos sofrer ciberataques.
Isso vale para o mundo corporativo também, porque nele, muitas vezes reclamam de utilizar outro fator de autenticação além da senha. Hoje isso é extremamente importante, porque, assim como na vida pessoal, este é também um dos fatores de mitigação de ataque no mundo corporativo.
Outra dica importante é manter os dispositivos e aplicativos atualizados. Isso, assim como os outros fatores de autenticação, serve para a vida pessoal. Devemos manter sempre os aplicativos atualizados. Isso também serve para o mundo corporativo: os sistemas têm que estar sempre atualizados, porque novas vulnerabilidades surgem todos os dias.
Durante a série, vamos falar sobre vulnerabilidades, especificamente. Uma das coisas que nos defende em relação a essas vulnerabilidades é manter os aplicativos e os sistemas atualizados.
É importante ter bom senso sobre aquilo que pode nos afetar diretamente. No que diz respeito à comunicação, quando recebemos um e-mail, devemos ter sempre o cuidado de não clicar em links, de observar bem o remetente e não sair clicando em qualquer mensagem que nos enviarem, nem baixando qualquer arquivo. Então, essa é uma dica importante também.
Outro fator importante na vida pessoal e corporativa é manter backups das nossas informações e dados, porque talvez o backup seja a última coisa que vai nos salvar no caso de um ataque. Seja, por exemplo, nossas fotos digitais ou nossos arquivos.
A empresa também possui as informações dos clientes. Se ela não tiver backups em algum momento, perderá o último fator que talvez previna a empresa de receber um ataque com maiores consequências, tanto para as pessoas como para o mundo corporativo.
Ben-Hur: Perfeito, Átila, excelente. Você mencionou duas coisas que queríamos entender um pouco melhor. Falamos bastante do ataque cibernético na empresa, no qual ela é afetada em todo o seu serviço e pode ficar completamente fora de operação, mas falamos também de links suspeitos, tentativas de golpe, até de fraude, talvez, em que a pessoa criminosa pode chegar até as vítimas.
Queremos entender se fraude, golpe e ataques cibernéticos, estão relacionados e se são diferentes ou não. Explique isso para que possamos diferenciá-los.
Átila: Esses temas estão relacionados, mas são diferentes. Quando falamos, por exemplo, em ataque a uma empresa, é como se alguém utilizasse de um recurso tecnológico externo para poder invadir uma empresa, burlar as proteções de um aplicativo, ter acesso a informações que o sistema normalmente não daria se não houvesse autorizações. Ou seja, se trata do ataque direto ao que chamamos hoje de cofre digital, que é onde estão as informações e sistemas. Isso é atacar diretamente a empresa do ponto de vista digital.
Quando estamos falando de fraude ou golpe, na maioria das vezes hoje, no Brasil principalmente, está relacionado à questão de engenharia social, que é enganar as pessoas, fazê-la entregar a senha e realizar transferências para uma pessoa espúria ou criminosa, acreditando que está fazendo com uma pessoa que ela conhece.
Esse golpe envolve enganação e o ataque é diretamente à pessoa, não aos sistemas da empresa. Para fazer um golpe, por exemplo, não precisamos atacar a empresa, mas sim que a pessoa seja enganada, por exemplo, e te dê a senha, faça a transferência, caia nos golpes comuns de enganação.
Portanto, há uma diferenciação. Pessoas que infligem golpes, principalmente financeiros, estão olhando a carteira digital da pessoa. É como se eles atacassem as pessoas do ponto de vista digital. Chamamos esse tipo de pessoa de "batedora de carteira" virtual.
Já a pessoa que faz o ataque cibernético ataca o equivalente ao cofre da empresa. Então, temos a pessoa "batedora de carteira" virtual e aquela que ataca o cofre digital. São duas formas diferentes, mas que se cruzam, é claro. Muitas vezes, um ataque à empresa pode levar também a fraudes para as pessoas, mas o mais comum é que isso aconteça de forma dissociada. Essa é uma grande diferença entre golpe e ataque cibernético.
É importante saber disso, porque algumas vezes, a pessoa cliente chega até a sua empresa e fala "eu sofri um ataque cibernético", por exemplo. Isso dá a impressão de que os sistemas da empresa foram atacados, mas, na verdade, ela pode ter sofrido um golpe, ter sido enganada ou realizado uma transferência. Nesse ponto, há uma diferença muito grande em relação a atacar os sistemas e serviços da empresa.
Ben-Hur: Excelente, Átila. Muito obrigado.
Neste episódio, falamos sobre a transformação digital e como nós e as empresas precisamos nos adequar a esse novo cenário de riscos cibernéticos. Mas algumas perguntas ainda ficam no ar:
Como podemos nos proteger de forma mais detalhada dentro desse contexto cibernético?
O que é phishing? Como ele nos impacta e como isso tudo está conectado?
Vamos ver essas questões nos próximos episódios da nossa websérie CyBBer em Foco.
Muito obrigado, Átila, pela participação.
Átila: Obrigado pela oportunidade. Vamos ver os próximos episódios da nossa série.
Ben-Hur: Aguardamos vocês. Até a próxima.
Ben-Hur: Você sabe identificar possíveis riscos no mundo cibernético? O que é phishing? Como podemos nos proteger disso? No episódio de hoje, vamos responder a essa e muitas outras perguntas sobre cibersegurança!
Olá! Eu sou o Ben-Hur, instrutor da Alura, e hoje estou com o Carino, gerente de soluções do Banco do Brasil. Boas-vindas!
Carino: É um prazer estar aqui para falar sobre cibersegurança com vocês. Agradeço muito pelo convite.
Ben-Hur: Eu que agradeço. Carino, vamos começar explicando para as pessoas um pouco sobre o phishing. O que é o phishing? Por que ele é tão perigoso? E por que temos que nos preocupar e aprender a lidar com isso?
Carino: Imagine o seguinte cenário: Maria recebe um e-mail de uma instituição bancária informando que há uma atividade suspeita na sua conta. Ela fica intrigada, preocupada com isso, mas como tem o logo e as cores do banco dela, ela acaba clicando na mensagem em "Clique aqui para validar as informações".
Após clicar, abre uma tela de login, muito parecida com a do banco, com apenas algumas diferenças. Porém, muito preocupada com a situação, Maria acaba fornecendo os seus dados de login, uma agência, a conta, senha, algum código de identificação.
Aparece a mensagem na tela de que os dados foram validados e redireciona a página para a página normal do banco dela, e ela acha que ficou tudo resolvido. Dias depois, começam a acontecer movimentações na sua conta bancária, como transferências, pagamentos e assim por diante. O que você acha que aconteceu nesse momento?
Certamente ela caiu em algum ataque. Você pode pensar que isso é raro, que essa mensagem acontece em poucos casos, mas infelizmente não é verdade. Isso é muito mais comum do que pode parecer para a maioria das pessoas.
Vou contar um caso para vocês que aconteceu através do Twitter. Os atacantes faziam uma propaganda através da rede social, anunciando a possibilidade de fazer um cartão personalizado, e para isso as pessoas deveriam enviar os dados dos seus cartões. Não dá para acreditar que uma pessoa forneceu os dados através de uma mensagem desse tipo, mas acontece.
Esse tweet teve mais de 25 mil curtidas e 600 comentários. Infelizmente, as pessoas têm dificuldade de identificar esse tipo de ataque. É muito importante que eduquemos as pessoas nessa direção.
O phishing é um dos ataques mais eficazes e mais comuns como forma de obtenção de acesso inicial de credenciais de uma empresa ou das pessoas. É um ataque que combina tecnologia e manipulação social. Juntando essas duas coisas, os atacantes conseguem, com esses artifícios, ludibriar muitas vezes tanto clientes como colaboradores das empresas.
Ben-Hur: Então, pelo que você comentou, houve uma tentativa de phishing através de uma postagem em uma rede social. Isso significa que não é só por e-mail que se aplica um phishing. Existem outras variantes ou outros tipos de ataques e não só por e-mail?
Carino: Sim, com certeza. Demos esse exemplo do Twitter, agora X, mas com certeza não é apenas para esta plataforma. Ele pode acontecer com outras redes sociais, inclusive.
Vocês já devem ter visto postagens no Instagram, por exemplo, com perfis falsos. Podem simular um banco, descontos de produtos de um banco, por exemplo, e isso pode atrair muitos clientes. Existem realmente outras vertentes para esse tipo de ataque.
Esse mesmo mecanismo é utilizado para atrair colaboradores de uma empresa. Muitos sites e algumas redes sociais utilizam a autenticação da Microsoft, comum no ambiente corporativo. Então, na verdade, quando um colega fornece os dados e opta por uma autenticação da Microsoft em determinado site, pode estar fornecendo os dados de acesso corporativo para o atacante.
Esses sites e perfis falsos, uma vez descobertos, são rapidamente excluídos, e o atacante passa para outro nome, outros perfis e até outros públicos de ataque. Então, entre as modalidades, realmente existem outras formas de ataque.
É possível também, aliás, é bastante comum que os atacantes utilizem SMS como formato. É o famoso smishing. Os atacantes enviam, através de mensagens SMS para os celulares, links falsos para atualização no cadastro, bloqueio de senha, também mensagens com movimentação suspeita em conta.
Outra forma de ataque que existe também é uma tipificação do phishing, o vishing, hoje usada em voz ou até vídeos com deepfake, imitando uma voz que conhecemos. Esses ataques são mais direcionados, quando o atacante já tem conhecimento de alguns dados, podendo, inclusive, imitar a voz de alguém que a pessoa conhece, após alguns contatos.
Então realmente existe uma variedade de ataques de phishing possíveis.
Ben-Hur: Agora eu tenho mais uma pergunta em relação a quais são os principais objetivos desses ataques e como criminosos conseguem fazer tantas vítimas com esse tipo de estratégia?
Carino: O objetivo principal é obter uma vantagem financeira e também o acesso à estrutura corporativa da empresa. Por que as pessoas caem tanto nesse tipo de ataque? Devido a três motivos, basicamente.
O principal talvez seja a falta de atenção. As grandes empresas, normalmente, inclusive o Banco do Brasil, têm uma política de troca de senhas para acesso às principais aplicações corporativas. O e-mail é uma delas.
Então, se você recebe um e-mail falando que a sua senha vai vencer e você precisa trocar, clicando em determinado link para fazer a substituição da sua senha, é importante que você preste atenção nos detalhes. Por exemplo, o remetente. Você costuma receber esse e-mail para troca de senha, frequente no caso do banco? Você costuma receber daquele e-mail? Devemos prestar atenção na forma como está escrito o remetente. Ele vem de um @bb.com.br?
Outra coisa são os links. O link exibido é para uma página conhecida do banco? É o domínio do Banco do Brasil? Não tem uma letra, um caractere diferente, um zero em vez de um O, um 1 em vez de um I? Devemos sempre ter atenção para evitar clicar em um link indevido ou abrir algum anexo de um remetente que não é aquele que costumamos receber.
Outro motivo importante é o senso de urgência. Temos uma ideia de que se não efetuarmos rapidamente a ação descrita no e-mail, vai haver um bloqueio, uma perda de dados.
Há um exemplo utilizado frequentemente nos ataques: o de armazenamento de dados. Há um aviso de que o armazenamento de dados está cheio e se não acessarmos determinado link para fazer uma renovação dos dados, ou escolher quais dados devem ser esvaziados, perderemos todos os dados, então acabamos clicando.
Esse senso de urgência tenta atuar no emocional das pessoas.
Há ainda um terceiro motivo: a oportunidade de participar de uma promoção, por exemplo, um iPhone com 70% de desconto, um sorteio, promoções de viagem, e assim por diante.
Isso é muito utilizado internamente pelas empresas, como campanha de engajamento e endomarketing. O atacante sabe disso e se aproveita dessa possibilidade que sabe existir, que é frequente nas empresas, e utiliza isso nos seus ataques. São utilizadas promoções para capturar credenciais, que normalmente eles sabem que são usadas corporativamente, como uma senha do e-mail do Office, por exemplo.
Ben-Hur: Mesmo que os atacantes consigam explorar bem a questão emocional, oportunismo, trazer para a vítima algum cenário em que ela sairá perdendo se não fizer aquilo, ou sairá ganhando muito se fizer, quais são os principais cuidados que as pessoas precisam ter? Você já mencionou alguns, como o cuidado do e-mail, a questão da falta de atenção, mas tem alguns cuidados específicos que conseguiríamos elencar?
Carino: É muito importante ter atenção ao remetente, o remetente do e-mail precisa ser verificado com cuidado, porque às vezes há pequenas diferenças, uma letra ou outra pode nos levar a realmente responder um remetente que não é o Banco do Brasil, ou não é aquele que achamos que de fato é.
A outra coisa é verificar os sites. Conforme já falamos, ao clicar em um link, precisamos verificar. Muitas vezes, temos no texto do e-mail só o botão "Clique aqui" ou "Acesse o site", e por trás há um hiperlink, cuja URL precisamos ter muita atenção, porque também utilizam hífen para conjugar o domínio, letras parecidas, um zero no lugar de um O para formar o banco, o que já nos direcionaria para outro site totalmente diferente. Então, todos precisamos analisar esses detalhes.
Muito importante também é ter atenção à ortografia e o senso de urgência que muitas vezes existe nessas mensagens. Às vezes são detalhes que nos fazem parar e pensar um pouco, identificando que algo está estranho. Então, muita atenção, a ortografia normalmente nas grandes empresas é muito revisada, os e-mails disparados massivamente como de alteração de senha, por exemplo, que já citamos, têm o texto bastante revisado. Portanto, uma atenção a uma cedilha, uma acentuação, uma letra a mais, uma letra faltando, já é uma característica importante para verificar essas questões.
Outra orientação importante, que era muito comum e falávamos muito antigamente, é observar o cadeado no navegador, se tem um HTTPS. Mas hoje, nas páginas falsas, é comum que elas tenham um certificado, que também tenham um cadeado, que também tenham um HTTPS. Então, essa orientação, apesar de existir, para ser completa, teríamos que analisar o certificado e verificar se ele é emitido pelo banco. Então, não é uma garantia absoluta apenas ter o HTTPS.
Outra dica importante: se suspeitar de alguma mensagem que não parece legal para você, ela é suspeita, entre em contato com "abuse@bb.com.br". Esse é o canal onde você pode reportar para a equipe de segurança do Banco do Brasil analisar aquele e-mail e dar um retorno para você, se aquilo é realmente malicioso ou não, e poder proteger a todos nós e a nossa empresa.
Ben-Hur: Nós comentamos bastante sobre a interação do criminoso, a tentativa de phishing, uma vítima, e achando algo suspeito, ela entra em contato com "abuse@bb.com.br", mas tem alguns cuidados que nós, como indivíduos, podemos ter pró-ativos, para nos protegermos um pouco melhor disso, como alguma senha forte? Como que funciona isso? Você consegue explicar para nós o que podemos fazer?
Carino: Sim, sem dúvida. Há alguns cuidados que podemos tomar pró-ativamente para nos proteger. Um deles é, como você falou, a geração de senhas complexas, senhas fortes são muito importantes. O banco tem essa determinação nos seus sistemas e na vida pessoal você também deve ter essa mesma atuação. Além disso, devemos evitar usar a mesma senha para várias aplicações, porque caso ela seja comprometida, você comprometerá o acesso a vários aplicativos.
Outra dica importante é manter os sistemas atualizados, tanto de proteção como sistema de uso normal, sistema operacional do computador, navegadores e antivírus. Devemos manter tudo isso atualizado para evitar vulnerabilidades disponíveis para acesso dos atacantes.
Outra dica importante é a utilização de outros fatores de autenticação. Você pode fazer isso tanto na sua vida pessoal, com as redes sociais, diversos aplicativos, como também dentro do banco. É importante que você que não tem o 2FA, habilite-o para acesso, pois é uma proteção a mais que temos.
Outra dica importante é manter-se informado. Precisamos sempre ler sobre esse tema, sobre ataques, o que é o phishing e como se cai no phishing. A nossa cartilha está disponível no portal da UniBB; em "Bibliotecas > Mais Conteúdos > Cartilha Segurança Cibernética", você vai encontrar uma cartilha completa contra phishing, então se manter atualizado e informado é uma importante ferramenta que temos para nos proteger.
Ben-Hur: Perfeito. Carino, também com relação ao compartilhamento dos dados, não devemos compartilhar os dados da empresa, os dados do banco com pessoas que não conhecemos, ou informações sensíveis. Hoje nós temos bastante ferramenta de inteligência artificial, onde podemos pegar informações nossas no trabalho e acabar colocando lá.
No próprio ChatGPT, que dominou o mundo, acabamos pegando informações corporativas, colocando nessas ferramentas que, de fato, não temos às vezes conhecimento de qual é a política das empresas para utilizar os dados que fornecemos, e podemos acabar tendo um vazamento das nossas informações ou informações confidenciais da empresa.
Com isso tudo, falamos bastante do contexto de informações, dados, um atacante tentando buscar as informações dos clientes, seja para essas vítimas passarem informações que vão dar vantagem financeira, como os dados de cartão de crédito, ou até mesmo credenciais da empresa, para que eles possam entrar na empresa e atacar a empresa.
Porém, existem outros tipos que temos visto com bastante frequência, que são envios de arquivos, para baixar uma atualização ou um software, ou seja, existem outras vertentes nas quais eles tentam atacar de formas diferentes também. Poderia explicar um pouco para nós que outros tipos de ataques estão envolvidos além desse tipo de comunicação, mais voltado para uma engenharia social?
Carino: Claro. Antes, eu queria reforçar esse ponto que você falou, da inteligência artificial, ChatGPT; as ferramentas são muito importantes e existem para serem utilizadas, então a inteligência artificial ajuda no nosso trabalho. Temos que usá-la como uma ferramenta, mas não podemos fornecer informações sensíveis da empresa, informações estratégicas da nossa empresa, informações que possam ser usadas por atacantes.
Da mesma forma que um e-mail com um link suspeito, uma ferramenta de inteligência artificial também precisa do mesmo cuidado. Você deve usá-la como uma ferramenta para acelerar o seu processo produtivo, mas não pode fornecer informações da empresa, como códigos de software ou até informações estratégicas da corporação.
Essa é uma das formas que os criminosos atuam. Segundo o relatório da Kaspersky, em 2022, o Brasil foi o campeão de phishing via WhatsApp, o maior país do mundo, com a maior quantidade mundial; e o quarto maior recebedor de e-mails maliciosos. Realmente, o phishing é um problema grave, é o maior vetor de ataque, mas existem também outros tipos de ataque. Um ataque bastante comum seria quando os criminosos tentam fazer com que as pessoas colaboradoras das empresas e as pessoas na vida pessoal instalem softwares maliciosos.
No ano de 2022, esse foi um ataque bastante frequente, que pedia para você solicitar ou baixar um arquivo anexo, ou solicitar através de link a instalação de um aplicativo malicioso.
Ben-Hur: Agora que você mencionou o arquivo em anexo, esses arquivos maliciosos, um atacante, um criminoso, envia um e-mail para uma vítima com esse arquivo, seja um PDF, um .exe executável, ou até mesmo hoje os APKs, aplicativos de celular para Android, por exemplo, mas o que eles querem com isso? Ao baixar e executar o arquivo, o que é esperado disso pelos atacantes?
Carino: Suponha que você tenha feito o download de um aplicativo, um executável, ou até mesmo um PDF, e executou esse arquivo. A partir desse momento, pode haver ações indevidas na sua máquina. Um dos objetivos do atacante é nos fazer instalar softwares maliciosos que exploram vulnerabilidades dos aplicativos usados para executar esses anexos, do próprio sistema operacional, ou até mesmo de outros elementos da infraestrutura da empresa.
Ben-Hur: O que queremos dizer com o termo "vulnerabilidade"?
Carino: Vulnerabilidade pode ser entendida como uma fraqueza, uma fragilidade, uma falha nos sistemas, nos aplicativos, na rede, ou em outras partes da infraestrutura tecnológica de uma empresa, que permita o atacante explorar e ter acesso ao ambiente corporativo.
Essas vulnerabilidades podem ser originadas de uma falha na codificação, ou mesmo uma falha de configuração de alguns dos elementos e aplicativos, ou na própria não atualização do sistema. Quando falhamos em atualizar os sistemas corporativos da empresa, podemos deixar disponível para atacantes e hackers explorarem a vulnerabilidade e obter acesso inicial à infraestrutura da empresa, podendo instalar softwares maliciosos e ter acesso a outras partes do ambiente corporativo.
Você salva suas senhas no computador que você utiliza no Banco do Brasil? Você salva suas senhas no navegador? Se um estranho te perguntar se poderia pegar todas as informações na sua máquina e exportar para outro lugar, você permitiria?
Esse é o tipo de ação e finalidade do software malicioso instalado por atacantes: gravar tudo o que digitamos, gravar a tela, e mais complexo ainda, ter acesso a outros ambientes corporativos.
Ben-Hur: Carino, imagine uma situação em que baixamos um software, de uma atualização necessária de um e-mail no qual não temos muita confiança, abrimos o arquivo PDF, e ele acabou explorando uma falha, por exemplo, no leitor de PDF do computador, ou no próprio sistema operacional. Assim, acabou se instalando e obtendo todos os dados da pessoa no computador, acessando sistemas do banco. Isso é o que chamamos de ramsomware?
Carino: Sem dúvida, Ben-Hur, esse é o principal temor das empresas hoje: sofrer um ataque de ramsomware. Certamente, é o maior exemplo de software malicioso existente hoje.
Ben-Hur: Vamos guardar este assunto para nosso próximo episódio. Muito obrigado Carino, por toda a informação e aprendizado neste episódio. Continue conosco para entendermos mais sobre o tipo de ameaça que é o ramsomware. Nos encontramos no próximo episódio!
Ben-Hur: Em um momento anterior, abordamos o tema do phishing e discutimos estratégias para nos proteger contra esse tipo de ataque. No entanto, e se nos tornarmos alvos de um ataque cibernético? Quais são as possíveis consequências e como isso pode impactar nossa segurança?
Especialmente em um ambiente corporativo, como podemos adotar medidas preventivas? Acompanhe nossa websérie para explorar respostas a essas perguntas e muito mais.
Olá! Me chamo Ben-Hur, sou instrutor da Alura e essa é a nossa série Cyber em Foco.
Hoje, estou acompanhado pela Vivi, gerente de soluções do Banco do Brasil, dando continuidade à nossa exploração sobre cibersegurança. Agradeço sinceramente pela sua participação, Vivi.
Viviane: Eu que agradeço o convite, agradeço pela oportunidade de contribuir para esta série tão crucial.
Audiodescrição: Viviane é uma mulher de pele clara, cabelos e olhos castanhos.
Ben-Hur: Nos episódios anteriores, discutimos o phishing, analisando como os criminosos podem abordar as vítimas por meio de comunicações contendo arquivos maliciosos, vírus, entre outros. Além disso, abordamos medidas de mitigação e precauções essenciais para evitar quedas nesse tipo de ataque.
Mas o que aconteceria se, por um descuido ou desatenção, nós de fato caíssemos no ataque phishing?
Viviane: Essa é uma ótima pergunta para começarmos a nossa discussão. Você imagina a situação hipotética de que alguém recebe um e-mail, que na mensagem está descrevendo que você tem, por exemplo, multas pendentes. A sua primeira reação é abrir o arquivo que está lá, um PDF de multas.
Ao abrir o arquivo, você se dá conta de que aquelas informações não condizem com as suas informações pessoais, não condizem com a sua realidade. Você simplesmente ignora e pensa que pode ter vindo errado. E para confirmar essas informações, você vai no site do governo para verificar se tem multas efetivamente. E você vê que não tem e acaba deicando o caso de lado.
Com o passar do tempo, você começa a notar que não possui mais acesso ao seu e-mail, que não tem mais acesso às suas redes sociais. Começam a acontecer coisas estranhas. Alguém faz compra no seu cartão de crédito e você descobre depois.
Já que você abriu o arquivo no computador que estava usando e o ignorou e, posteriormente, fez outras coisas, acessou suas redes sociais, acessou seus e-mails, fez uma compra na internet e tudo mais, você pode ter caído em algum tipo de ataque onde as pessoas começam a coletar suas informações.
Ben-Hur: Então, se eu compreendi corretamente, esse arquivo que abri, certo? Eu baixei um PDF referente a uma multa e, ao abrir o arquivo, percebi que não continha apenas o PDF, possivelmente. Parece que havia algum tipo de vírus ou algo semelhante.
Minha interpretação está correta?
Viviane: Isso faz todo o sentido. A partir desse ponto, o que ocorre é que arquivos desse tipo, que facilitam certos tipos de roubo ou ataques, são conhecidos como "malware" - ou seja, softwares maliciosos.
A palavra "malware" é uma abreviação em inglês. Considerando essa situação hipotética específica, temos o subtipo spyware, que é um software espião, responsável por começar a coletar informações da pessoa usuária.
Este é um exemplo típico em que uma pessoa usuária, sem perceber, abre um arquivo que, sem o seu conhecimento, instala um software malicioso no seu computador. Nesse caso, trata-se de um software espião que passa a coletar tudo o que o usuário digita e faz dali em diante.
Ben-Hur: No momento que acabei abrindo esse PDF, ele instalou um software na minha máquina. O que acontece é que alguém, remotamente, alguém que está em qualquer lugar do mundo, está vendo em tempo real aquilo que estou fazendo no meu computador.
Por exemplo, fiz uma compra na internet, coloquei dados do cartão de crédito. Esses dados também estão sendo visualizados e coletados por esse outro criminoso que está na outra ponta de algum lugar do mundo, espionando isso, porque coleto os dados na minha máquina.
Esses dados, como tem esse spyware, nesse caso, que acabou sendo instalado, ele está visualizando o que estou digitando no meu navegador, está enviando para o atacante.
Vou entrar em uma rede social no meu e-mail, insiro meu usuário e senha. Ele também está visualizando isso e assim por diante. Ou seja, toda a informação que estou fazendo no meu computador está sendo enviada para esse criminoso que está em qualquer lugar do mundo.
Consigo antever que, no contexto pessoal, isto é, na minha vida, os impactos serão consideráveis. Haverá repercussões significativas tanto financeiras quanto sociais, não é mesmo? Agora, se esse cenário se desenrolar no computador da empresa onde desempenho minhas funções, presumo que os estragos serão substancialmente mais expressivos.
Viviane: É nesse ponto que a situação se torna mais grave, não é? Mais complexa. Porque, ao considerar nossa vida pessoal, como você mencionou de maneira perspicaz, os danos já são consideráveis. Na esfera empresarial, não estamos lidando apenas com dados pessoais da pessoa que foi alvo desse ataque, por assim dizer.
Possuímos informações de clientes, dados de colegas de trabalho e até mesmo informações estratégicas e confidenciais ligadas ao núcleo essencial da empresa. Portanto, tudo o que um colaborador ou funcionário tem acesso, um invasor também pode ter, dependendo da abordagem utilizada no ataque.
Imagine uma pessoa atacante, tendo acesso a todas essas informações que o funcionário tem. Dá para imaginar o tamanho do estrago?
Ben-Hur: Se um funcionário tem uma permissão de visualizar o cadastro de todos os clientes, se ele tem a permissão de aprovar um cartão de crédito, tudo aquilo o atacante também está podendo se passar pelo lugar dele.
Afinal, tem um software na máquina na qual, se um dos nossos colaboradores visualiza um cadastro enorme de clientes, essa informação também está sendo passada para esse criminoso externamente.
Observe que, neste momento, discutimos as interações do funcionário com um sistema ou qualquer acesso que ele detenha. Contudo, há uma maneira para esse cibercriminoso, além de aproveitar os acessos concedidos a essa pessoa usuária, tentar atacar diretamente a infraestrutura do banco e os próprios sistemas bancários?
Viviane: Sim, Ben, existe uma forma. Eu acho que todo mundo já ouviu falar, está bem famosa, principalmente nos últimos anos, no cenário de pandemia, pós-pandemia, que é o ransomware.
Ransomware: um malware que sequestra os dados da pessoa usuária.
É a principal preocupação dos CEOs hoje, de qualquer empresa, para não dizer pesadelo, de verdade, porque isso está tirando o sono de muita gente.
O ransomware também é um tipo de malware, e essa investida começa com uma varredura também do sistema, para verificar tudo o que existe naquele computador. Os arquivos que existem, os softwares que estão instalados, as aplicações efetivamente que estão.
A próxima etapa consistiria em, de fato, identificar quais conexões podem ser estabelecidas a partir daquele computador, até onde é possível alcançar.
Etapas do ataque Ransomware
Neste ponto, o invasor busca por informações como senhas e credenciais de usuários, com o intuito de realizar o que chamamos de escalar privilégio.
Ou seja, obter uma senha de administrador e outras permissões que permitam acesso a ambientes adicionais a partir daquela máquina. Conexões de rede, ambiente de rede, analisar se consegue já chegar em algum servidor, em alguma infraestrutura tecnológica a partir daquele computador.
Esses dois passos que acabei de mencionar, fazem parte da primeira etapa do ataque ransomware, que é a etapa de reconhecimento, onde o atacante conhece o que existe no computador e uma parte da infraestrutura corporativa para saber até onde ele consegue chegar com as conexões de rede, internet, etc.
Ben-Hur: Ao contrário do que geralmente se imagina, em muitos casos, ao invés de agir imediatamente como um ransomware, o invasor entra sorrateiramente e busca minar a empresa em estágios iniciais. Na realidade, sua abordagem inicial consiste em infiltrar-se silenciosamente, observando e catalogando meticulosamente todas as informações, conexões, usuários e permissões disponíveis.
Uma vez concluído esse mapeamento abrangente, qual seria a próxima etapa?
Viviane: Após a fase de reconhecimento, entra em cena o que denominamos como etapa de exfiltração. Nessa fase, os invasores iniciam a extração efetiva de todas as informações às quais têm acesso, priorizando as mais cruciais.
Dessa forma, são coletadas todas as informações pertinentes a arquivos, dados confidenciais, informações das pessoas usuárias, sistemas, e aplicativos - abrangendo todo o espectro relacionado ao ambiente que está sob seu alcance. É nesse ponto que eles começam a reunir esses dados.
Durante essa fase, à medida que os invasores capturam dados, eles simultaneamente realizam um backup dessas informações e as transferem para seus servidores, integrando-as à infraestrutura do atacante. Nesse contexto, a empresa pode identificar a atividade suspeita, como roubo de informações, e agir imediatamente para mitigar o ataque.
No entanto, há o risco de o atacante passar despercebido, permitindo que continue capturando e roubando todas as informações disponíveis.
Se, no primeiro cenário em que ele é descoberto, qual seria a sua reação? Ele passa a chantagear a empresa, ameaçando a partir desse momento, declarando que possui suas informações e as disponibilizará na Deep Web, a menos que seja pago um resgate, entre outras exigências.
Após obter os dados a pessoa atacante cobra um resgato (ransom) para não divulgar os dados.
Agora, se a empresa não detecta a sua presença, o problema pode se agravar ainda mais. A pessoa estacante está coletando informações sem ser notado, e devido à fase de varredura, consegue visualizar conexões durante a etapa de reconhecimento. Isso lhe permite ir além, obtendo e fazendo backup de informações, muitas vezes inacessíveis até mesmo para o usuário original do dispositivo.
Ben-Hur: Até agora, a pessoa colaboradora pode ter inadvertidamente baixado um arquivo malicioso ao receber uma mensagem suspeita no WhatsApp Web.
Um novo contato, aparentemente um colega de trabalho, pode ter enviado uma mensagem dizendo ser do setor específico, apresentando-se como um funcionário do banco com a desculpa de estar enfrentando problemas no acesso ao sistema e solicitando ajuda para entregar um PDF urgente para outra área, alegando estar de férias ou enfrentando um problema significativo.
Pode verificar os dados do PDF antes do envio? Ao conferir a foto e o nome da pessoa, constatei que não tenho o contato telefônico dela. Ela alega falta de acesso aos sistemas, mas ao examinar internamente, confirmo que a foto corresponde à pessoa em questão. Ao abrir o arquivo, identifico um ataque de um criminoso que se passava por essa pessoa.
O arquivo infectou a máquina da empresa, mapeando dados e conexões, permitindo ao atacante permanecer sem detecção. Agora ele está exfiltrando e roubando informações, possuindo um backup completo da minha empresa.
Depois disso, você comentou que se ele foi descoberto, a pessoa começa a extorquir a empresa. No entanto, e se ele consegue ficar sem ser descoberto, qual é a próxima fase?
Viviane: Nesse estágio, Ben, as complicações aumentam, pois a pessoa atacante, que já possui todos os dados da empresa que conseguiu roubar, agora está prontamente causando impacto nos serviços da empresa ao criptografar os dados em sua infraestrutura.
Etapas do ataque Ransomware
Ben-Hur: Desculpe interromper, mas ao mencionar a criptografia dos dados, poderia esclarecer especificamente sobre o que estamos tratando aqui?
Viviane: Vou tentar simplificar: imagine que você tem uma mochila com documentos e eu tenho um cofre. Só eu tenho a chave desse cofre. Se eu pegar seus documentos, guardar no cofre e dizer que você só terá acesso se me pagar, é basicamente o que acontece na criptografia de dados.
O cofre e a chave representam a proteção dos dados, e o acesso só é possível com a chave correta.
Os arquivos, eles são colocados de uma forma que eles possuem um segredo, ficando ilegíveis, ninguém consegue decifrar as informações. O principal similar da criptografia é uma cifra que formamos com esses arquivos. Então, acontece que não consigo mais extrair nenhuma informação legível daqueles arquivos que tenho no computador.
Após a criptografia os arquivos tornam-se ilegíveis
Pode ser comparado a uma série de números e códigos que, para a maioria das pessoas, parece sem sentido. A compreensão só é possível para aqueles que possuem a chave, o segredo.
Apenas quem possui a chave pode descodificar esses arquivos
Nesse sentido, os atacantes agem da mesma forma com arquivos, colocando-os em um "cofre" do qual só eles detêm a chave.
A preocupação em relação à criptografia reside no fato de que ela pode efetivamente tornar o sistema da empresa totalmente inoperante. Quando os dados são tornados inacessíveis de uma maneira que impossibilita a recuperação, isso impacta significativamente os serviços da empresa.
Essas informações criptografadas abrangem uma variedade de elementos, como arquivos, softwares e até mesmo a criptografia de servidores, envolvendo informações de maneira geral.
Basicamente, qualquer componente digital pode ser suscetível à criptografia. Portanto, esse é um cenário que, como mencionado anteriormente, representa um verdadeiro pesadelo para qualquer CEO de qualquer empresa.
Ben-Hur: E se a empresa sofrer perdas significativas? Está previsto o encerramento das operações? Como a situação se desenrola após um ataque, especialmente no contexto pós-criptografia? Como as operações internas da empresa são afetadas nesse cenário?
Viviane: Nessa situação, a empresa não ficaria inoperante, pois, teoricamente, há a possibilidade de descriptografar os dados. Para ilustrar isso, voltemos rapidamente ao exemplo do cofre.
Imagina que eu tenha guardado seus documentos em um cofre, cuja chave é exclusiva minha. Em seguida, solicitei um resgate a você. Embora você tenha a opção de obter a chave para abrir o cofre, é importante destacar que apenas eu a possuo.
Diante desse cenário, a recomendação para as empresas, quando o atacante detém exclusividade na chave, é que não efetuem o pagamento do resgate. A ideia é evitar criar precedentes que possam incentivar a continuidade desses ataques.
A recomendação é de que as empresas não paguem o resgate para os atacantes
Ben-Hur: Se todos os meus arquivos estão criptografados aqui, estou essencialmente impedido de acessar meus dados. Para restaurar meus arquivos ao estado original, seria necessário obter a chave de descriptografia, a qual está sob posse de um criminoso que exige um pagamento.
Contudo, a orientação é resistir à tentação de pagar aos criminosos. O que faria diante desse cenário?
Viviane: Diante dessa situação, a solução recomendada para todos os usuários que lidam com dados digitais, incluindo empresas, é implementar um sistema de backup eficaz.
É importante sempre ter um sistema de backups eficiente
Voltando ao exemplo do cofre novamente, se você tivesse a cópia de todos esses documentos que coloquei dentro do cofre e fechei com minha chave, a minha tentativa de extorsão para você não faria o menor sentido mais.
Você estava prestes a dizer que poderiam ficar com os dados, pois tenho uma cópia deles armazenada em casa, e a perda dos que estão em sua posse não representaria um problema para mim.
Um backup, um sistema de backup eficiente para uma empresa, protege a empresa desse tipo de ataque. Então a empresa não vai pagar a extorsão, vai ser uma tentativa frustrada para o criminoso, e com isso a empresa consegue resgatar todos esses dados.
O problema maior é que o impacto à infraestrutura corporativa, mediante a restauração desses dados, é que pode levar horas ou até semanas.
Ben-Hur: Como ficar fora do ar por um certo tempo. Em uma empresa do setor bancário, por exemplo, impactaria milhares de pessoas. Como mitigar isso?
Viviane: Para mitigar os cuidados são os mesmo do âmbito pessoal.
Como proteger seus dados?
• Mantenha o sistema operacional sempre atualizado • Atualize os softwares sempre que houver uma nova versão • Use antivírus confiáveis e mantenha-os atualizados
Não podemos ignorar as informações da janela solicitando a atualização de software. No ano passado, uma grande empresa varejista teve uma perda de 1 bilhão de reais po ficar inoperante. Se para uma empresa no setor varejista foi esse valor, imagine para uma do sistema financeiro, como os bancos.
O Banco do Brasil é uma infraestrutura crítica do país.
Ben-Hur: Então não apenas os cuidados no ambiente profissional como pessoal são essências dentro do âmbito corporativo?
Viviane: Isso mesmo, conforme mencionado nos episódios anteriores, os cuidados com as informações pessoais tedem ser extendidos para o âmbito da empresa. Por exemplo, os cuidados para mitigar os ataques são:
O ideal é digitar o endereço do site e não clicar em um link para ser direcionado ao receber um e-mail suspeito. A página pode até ser parecisa, mas é uma forma de capturar as informações e enganar a pessoa usuária.
E use sempre que possível multíplos fatores de autenticação. No caso do banco é a biometria. Com tudo isso reforçamos as medidas importantes para proteger o banco e as pessoas usuárias.
Ben-Hur: Gostaria de agradecer imensamente a sua participação e por compartilhar seu conhecimento conosco.
Viviane: Eu que agradeço a participação. Mas ainda temos muito o que entender no contexto corporativo e isso ficará para o próximo episódio.
Ben-Hur: Até mais!
O curso CyBBer em Foco possui 107 minutos de vídeos, em um total de 5 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Impulsione a sua carreira com os melhores cursos e faça parte da maior comunidade tech.
1 ano de Alura
Assine o PLUS e garanta:
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
No Discord, você tem acesso a eventos exclusivos, grupos de estudos e mentorias com especialistas de diferentes áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Acelere o seu aprendizado com a IA da Alura e prepare-se para o mercado internacional.
1 ano de Alura
Todos os benefícios do PLUS e mais vantagens exclusivas:
Luri é nossa inteligência artificial que tira dúvidas, dá exemplos práticos, corrige exercícios e ajuda a mergulhar ainda mais durante as aulas. Você pode conversar com a Luri até 100 mensagens por semana.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Transforme a sua jornada com benefícios exclusivos e evolua ainda mais na sua carreira.
1 ano de Alura
Todos os benefícios do PRO e mais vantagens exclusivas:
Mensagens ilimitadas para estudar com a Luri, a IA da Alura, disponível 24hs para tirar suas dúvidas, dar exemplos práticos, corrigir exercícios e impulsionar seus estudos.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.