• Bloquei0
  • Posts
  • Por que Você é Um Alvo (mesmo sem ser Famoso ou Rico) - e 4 Passos para Se Proteger

Por que Você é Um Alvo (mesmo sem ser Famoso ou Rico) - e 4 Passos para Se Proteger

Author

Jorge G
8 de junho de 2025

Eu tenho uma teoria. Acidentes nunca "simplesmente acontecem". Sempre são causados por alguém, a maioria das vezes sem querer.

Na construção civil, por exemplo, quando acontece um acidente e é feita uma investigação, sempre fica evidente que houve uma falha de segurança: alguém não seguiu o protocolo, ignorou uma norma de segurança, não estava usando os equipamentos apropriados, não estava bem treinado, mostrou atitudes inseguras, e assim por diante. Em algum ponto, alguém falhou. Mesmo nas falhas que parecem ser técnicas, há um fator humano.

Mesmo assim, ter um ambiente livre de acidentes num canteiro de obras é possível. Da mesma forma, é possível viver num mundo sem acidentes digitais. Para isso, é necessário entender a base da segurança como estilo de vida.

Este artigo é o seu mapa para entender um conceito fundamental de segurança, usado pelos profissionais, e o melhor: você vai aprender como aplicar ele na sua vida, sem jargões complicados. Prepare-se para ganhar mais segurança e mais tranquilidade.

Assunto da semana: parte 2 de 3 da série: Imunidade contra Hackers de Pessoas

O plano de ação na seção "Segurança acima da média": Construindo seu próprio modelo de ameaças

Área restrita 🛑 🚨 

Conhecimento apenas para quem leva a segurança a sério 👇️👇️👇️ 

Modelagem de ameaças: Lista das ameaças mais prováveis que podem comprometer a sua segurança e passos para reduzir ou eliminar os riscos.

Ativos: Neste contexto, geralmente são informação que você considera valiosa. Podem ser mensagens, lista de contatos, arquivos, localização, senhas, códigos de verificação, etc.

O que raios é Modelagem de Ameaças?

Tá, chega de suspense. O tal conceito mágico se chama modelagem de ameaças. Pense nisso como planejar sua defesa antes mesmo do ataque acontecer.

Em vez de apagar incêndios depois que sua casa digital já está em chamas (que, francamente, é a pior forma de aprender), você se adianta. Descobre o que tem de valor online, quem poderia querer isso, e como eles poderiam tentar pegar. É o momento de fazer as perguntas desconfortáveis agora, para não ter que lidar com o caos depois.

Season 1 Nbc GIF by The Office

Por que TODO MUNDO precisa disso? Porque, como a Rachel Tobac (uma hacker "do bem" que sabe exatamente como os ciberataques funcionam por dentro) explica, o alvo nem sempre são só as grandes empresas bilionárias. Hackers e golpistas estão cada vez mais focados em pessoas normais e pequenas empresas porque costumam ser alvos mais fáceis. Na verdade, muitos ataques não são pessoais.

Vamos ver um exemplo:

  1. Uma pessoa comum usa a mesma senha (ou variações similares, tipo "amodormir" num lugar e "amodormir!" ou "amodormir14@" em outro) num aplicativo de edição de imagens e na conta de email dela.

  2. O aplicativo de edição de imagens sofre um vazamento de dados. O que não seria algo incomum. Afinal, 84,5 milhões de contas foram violadas no Brasil em 2024 (24 vezes mais do que em 2023; 3 contas de usuários brasileiros eram violadas a cada segundo).

  3. Agora os nomes de usuário e senhas desse aplicativo são informação pública. Só é preciso saber onde procurar. E não é difícil.

  4. Com as informações vazadas em mãos, o hacker vai começar a inserir a senha dessa pessoa (ou variações dela, como no exemplo do ponto 1) em tantos sites como for possível, incluindo o site do provedor de email.

  5. Por ter reutilizado apenas uma senha, a pessoa perdeu acesso a sua conta de email por causa de um vazamento de dados que não tinha nada a ver com o email dela.

O hacker não tem nada contra essa pessoa. Provavelmente nem a conhece. O cibercriminoso está apenas sendo oportunista; e as pessoas que não tem bons hábitos de segurança são o alvo mais fácil.

Quer ver como a Rachel hackeou um bilionário e um repórter de CNN? Vale a pena assistir esses dois vídeos, aqui e aqui.

Curiosamente, pode ser divertido (e um pouco assustador) aprender com os erros de outros, além de treinar um pouco seu inglês.

Modelagem de ameaças te ajuda a identificar:

  • Seus ativos (o que você tem online que vale a pena proteger: senhas, identidade, reputação, dados financeiros).

  • As ameaças (quem pode querer seus ativos e qual o motivo).

  • As vulnerabilidades (os pontos fracos que eles podem explorar).

Parece coisa de TI, mas é só um jeito organizado de pensar na sua segurança. É a base para uma rotina de segurança digital que realmente funciona, porque te obriga a priorizar. Não dá para proteger tudo com a mesma intensidade, então você precisa saber o que é essencial.

"Mas é tão necessário assim?"

Por que modelagem de ameaças é tão importante para você? Simples: sua vida digital provavelmente está mais exposta do que você imagina. Cada conta online, cada dado pessoal que você compartilha, é uma (micro) porta para alguém mal-intencionado.

"Mas quem vai querer me hackear? Não tenho acesso a nada de valor. Não tenho um cargo importante na empresa que eu trabalho. Não tem muito dinheiro na minha conta do banco. Não sou famoso nem rico, sou uma pessoa comum. Por que preciso me preocupar com isso?"

Toda pessoa "comum" que ainda não definiu seu modelo de ameaças

Conhece alguém que pensa assim? Talvez você mesmo se identifique com alguns pontos desse jeito de pensar. Porém, como vimos antes, há várias falhas nesse raciocínio.

Não é preciso ser alguém importante para ser vítima de um ataque cibernético

Um vazamento de dados é suficiente para expor informações sobre nós que podem nos colocar em risco (senhas e endereços de email, por exemplo).

Muitos ataques não são pessoais

Cibercrime é um negócio. Todo negócio tem o objetivo de gerar lucro. Os cibercriminosos conseguem fazer várias coisas para aproveitar ao máximo as informações que eles obtêm.

Podemos comparar os ataques com a pesca.

Existe a pesca artesanal e a pesca industrial, certo? Na pesca artesanal o volume de capturas é menor, mas a qualidade é maior. Já na pesca industrial, o volume de capturas é bem maior, embora gere mais descartes. Qual método é mais produtivo?

Finding Nemo Dory GIF by Disney

Os cibercriminosos usam métodos artesanais e industriais, por assim dizer. Embora eles procuram dados sobre pessoas importantes que podem ser alvos mais interessantes (menor volume, maior qualidade), também usam uma "rede de arrasto" para capturar o maior volume de pessoas com hábitos inseguros (maior volume, menor qualidade); em outras palavras, alvos fáceis. Em ambos os casos, o cibercriminoso gera lucro, espremendo até a útlima gota dos dados vazados.

Todos temos acesso a algo de valor

Pense por um momento.

Você tem algum colega de trabalho ou chefe que tenha autorização para realizar pagamentos em nome da empresa? E no departamento de TI? Como você se comunica com essa pessoa? A relação de confiança e o método de comunicação com essa pessoa podem ser alvos valiosos para um atacante.

Você tem acesso a documentos internos na empresa que trabalha? Essa informação pode ser útil para um atacante que esteja estudando a infraestrutura e processos da sua empresa para um futuro ataque.

Por outro lado, o simples fato de ser uma pessoa comum, pode nos tornar alvos interessantes.

Alguns anos atrás, dois criminosos roubaram o carro de uma amiga. Ela tinha um Fiat Uno, da primeira geração. Um carro simples. Algumas horas depois, encontramos o carro estacionado numa rua próxima da rodovia. Por que roubar um carro que apenas ia ser usado umas poucas horas? Os criminosos provavelmente queriam se misturar no trânsito e passar despercebidos, além de proteger sua identidade para que fosse mais difícil os vincular com os crimes que cometeram naquela manhã.

Os cibercriminosos não são muito diferentes. Muitas vezes, o único que querem é a identidade de uma pessoa comum para operar no anonimato.

Quando se tem acesso à informação de tanta gente, as possibilidades são muitas.

look bug GIF

A gente não controla tudo, mas pode fazer MUITO

Não dá para controlar se uma empresa gigante vai vazar dados (embora escolher serviços com boa reputação de segurança ajude bastante!). Não dá para impedir que todo email de phishing chegue na sua caixa de entrada (mas saber identificar um é meio caminho andado!). Sempre haverá fatores externos fora do seu controle direto.

Mas, a boa notícia é: muitas das ameaças mais comuns e destrutivas podem ser evitadas ou mitigadas com passos inteligentes e proativos. É aí que entra a modelagem de ameaças. Ela te ajuda a focar sua energia no que você pode controlar, onde seus esforços de proteção terão o maior impacto.

Lição aprendida: Ser proativo (sempre!) bate ser reativo

Esperar o desastre acontecer para agir é a pior estratégia de segurança que existe. Uma abordagem muito melhor é ser proativo, pensar um pouco como os criminosos (ou pelo menos entender a lógica deles!), e fortalecer suas defesas antes de ser atacado. Isso se chama segurança proativa. E acredite, "prevenir um hack" é mil vezes mais fácil e rápido do que "desfazer um hack".

Sabe o que acontece quando você não tem um modelo de ameaças? Você tá tentando se defender sem nem saber onde o oponente quer atacar. É como defender um gol sem saber onde a bola está indo!

football soccer GIF

Princípios de Segurança Forte 🔐 

Ter um modelo de ameaças te permite aplicar princípios de segurança que realmente fazem sentido para você. Em vez de aplicar dicas de segurança aleatoriamente, você implementa estratégias que combatem diretamente suas ameaças mais prováveis. Alguns princípios importantes:

  • Princípio do Menor Privilégio: Dê às pessoas (e aos programas) apenas o acesso essencial para o que precisam fazer. Isso limita o estrago se uma conta for invadida.

  • Defesa em Profundidade: Crie camadas de segurança. Se uma falhar, outras estarão lá para segurar a barra. Pense em várias trancas em uma porta, em vez de uma só.

  • Atualize Tudo Sempre: Manter seus programas, aplicativos e sistemas atualizados corrige falhas de segurança que os atacantes adoram. Aqueles avisos de "Atualização disponível"? Ignorar é praticamente abrir a porta para os hackers!

Desafio: Por onde começar?

Pensar em segurança digital não é exatamente um hobby empolgante (para todos). É fácil se sentir perdido, sem saber por onde começar a identificar suas "vulnerabilidades" ou quem seria uma "ameaça" para você. Equilibrar segurança com a conveniência de acessar suas coisas rápido é um desafio real. Lembrar trocentas senhas, configurar autenticação de dois fatores em tudo... cansa só de pensar, né?

Tentar montar seu próprio modelo de ameaças de primeira, sem um guia, pode parecer tentar montar um quebra-cabeça com peças faltando. Onde começar?

Aqui vai o segredo: não se trata de ser perfeito. Trata-se de ser estratégico. E construir seu modelo de ameaças, mesmo que pareça chato no início, é o caminho para uma vida online muito mais simples e segura no fim das contas. Pense nisso como o tempo que você investe agora para garantir sua paz mental e proteger tudo que você valoriza digitalmente. Um pouco de esforço bem direcionado hoje te poupa horas de pesadelo (e até um bom dinheiro!) no futuro.

Solução: Construir seu modelo de ameaças pessoal

E se desse para cortar o barulho, focar no que realmente importa, e simplificar sua segurança? É aí que um modelo de ameaças bem feito entra. Não é para virar um ninja de TI do dia para noite, é para criar um roteiro de segurança personalizado para sua vida.

Entendendo seus riscos específicos, você prioriza seus esforços e foca nas ações que dão mais resultado. Isso te economiza tempo, diminui a frustração e, o mais importante, aumenta muito sua proteção contra as ameaças que você pode enfrentar. É o jeito de achar o ponto ideal entre estar seguro e ainda assim usar a Internet sem obstáculos desnecessários.

Bora colocar a mão na massa? Aqui está um jeito simples de começar a montar seu modelo de ameaças pessoal. É um passo a passo prático, que no fundo, é só responder umas perguntas bem diretas:

  1. O que você tem que ninguém mais deveria ter acesso? (Identificando seus ativos)

    • O que você jamais quer que caia nas mãos erradas?

    • Pense: suas senhas (óbvio, né?), suas contas de email (a chave para quase TUDO!), seus perfis em rede social (com todas as suas informações e contatos), documentos na nuvem (CPF, RG, comprovantes), suas contas e acessos de trabalho. Considere qualquer coisa que te daria dor de cabeça, prejuízo ou te deixaria noites sem dormir se fosse acessado por um estranho.

  2. Quem poderia querer suas coisas e por quê? (Identificando suas ameaças)

    • Não é para ficar paranoico, é para ser realista. Quem são os "vilões" na sua história digital?

    • Pense: Golpistas genéricos buscando "qualquer um" para roubar dinheiro ou dados. Alguém que te conhece (talvez um ex, um colega irritado?). Dependendo do seu trabalho ou atividades online, talvez grupos mais específicos (mas para maioria das pessoas, os golpes genéricos são o maior risco). Empresas que coletam mais informações do que precisam e não respeitam a sua privacidade. Qual a motivação deles? Obter mais informação sobre você a todo custo? Dinheiro? Roubo de identidade? Só causar problema e ver o circo pegar fogo?

  3. Como eles poderiam pegar suas coisas? (Identificando suas vulnerabilidades)

    • Quais são seus pontos fracos? Como aquelas ameaças poderiam explorar eles para chegar nos seus ativos?

    • Pense: Senhas fracas ou repetidas (tipo "123456"? Pelo amor de Deus!), clicar em links estranhos em emails (o famoso phishing), baixar arquivos duvidosos, não ter autenticação multifator (MFA) ativada (aquela segunda etapa de segurança, tipo mandar um código pro seu celular), usar Wi-Fi público sem proteção, software desatualizado nos seus aparelhos.

  4. O que você pode fazer para proteger isso? (Criando seu Plano de Segurança)

    • Com base no que você identificou (ativos, ameaças, vulnerabilidades), quais os passos mais importantes que você pode dar agora para diminuir seu risco?

    • Pense: Instalar e aprender a usar um gerenciador de senhas (salva vidas!), ativar MFA em TUDO que for possível e importante, ter um pé atrás com emails e mensagens suspeitas, manter seus aparelhos e programas atualizados. Foque nas ações que corrigem seus maiores pontos fracos e protegem o que é mais valioso para você.

Quer um exemplo prático, adaptado para sua vida real? Vamos usar a ideia de proteger "seus pertences", mas no mundo digital:

Cenário: Você usa um serviço de nuvem (tipo Google Drive, OneDrive, Dropbox) para guardar documentos importantes e fotos valiosas.

  • Ativo: Seus documentos pessoais e fotos guardados na nuvem.

  • Ameaças: Um golpista tentando roubar sua identidade online, ou um ex que agora te odeia.

  • Vulnerabilidades: Você usa a mesma senha do seu email para acessar à nuvem; você não ativou 2FA/MFA na sua conta da nuvem; você não suspeita de um email que pede para você "logar" na sua conta da nuvem.

  • Plano de Segurança:

    • Use uma senha longa, complexa e única para sua conta na nuvem, de preferência criada e guardada em um gerenciador de senhas.

    • Ative a autenticação multifator (MFA) na sua conta da nuvem agora. Sério, pare tudo e faça isso!

    • Sempre desconfie de emails que pedem para você clicar para acessar seus arquivos na nuvem. Vá sempre direto no site oficial ou aplicativo.

    • Garanta que a conta de email ligada à sua conta na nuvem também seja super segura (senha forte e 2FA/MFA).

Entendeu a ideia? Não é para ser um expert em cibersegurança. É para fazer essas perguntas básicas e tomar atitudes práticas baseadas na sua vida. Comece com o que é mais importante para você, identifique os riscos e proteja. Cada passo, por menor que seja, te deixa mais seguro.

Trap Door Doors GIF

Principais Lições

  • Modelagem de ameaças não é só para grandes empresas. É essencial para você.

  • Ajuda a achar seus ativos mais valiosos, as ameaças que podem te atingir e suas vulnerabilidades.

  • É o primeiro passo (e o mais importante!) para ter uma estratégia de segurança digital que funciona de verdade.

  • Ter um modelo de ameaças te ajuda a achar o equilíbrio entre estar seguro e ser prático online.

  • Ser proativo na segurança digital é mil vezes melhor que ser reativo depois de um ataque.

  • Você pode começar a bolar seu modelo de ameaças pessoal fazendo 4 perguntas:

    • O que eu protejo?

    • Quem quer isso?

    • Como pegariam?

    • O que eu posso fazer?

Lembre-se: segurança digital não é um destino, é um processo. E é possível crescer e aprender muita coisa no caminho.

Sua vida e suas circunstâncias vão continuar mudando; o seu modelo de ameaças deve acompanhar essas mudanças. É um documento vivo e flexível que reflete suas prioridades e preocupações.

Segurança acima da média

Plano de ação para o final de semana 🔐 

Pronto para assumir o controle da sua segurança digital? É agora ou nunca!

Comece a pensar no seu modelo de ameaças pessoal hoje mesmo.

  1. Pegue um caderninho, abra um bloco de notas, ou só tire uns minutos para refletir.

  2. Passe pelas quatro perguntas que falamos: O que eu protejo? Quem quer isso? Como pegariam? O que eu posso fazer?

  3. Anote pelo menos um ativo, uma ameaça, uma vulnerabilidade e uma medida de proteção.

  4. Implemente a medida. Simplesmente colocar em prática o plano de segurança vai te mostrar possíveis lacunas de conhecimento e te motivar a entender melhor a tecnologia que usa no seu dia a dia.

  5. Procure um aliado. Compartilhe seu plano de segurança com alguém de confiança que tenha as mesmas preocupações e objetivos que você. Segurança é um esporte de equipe. A vida é mais agradável quando se tem um aliado que possa oferecer outra perspectiva ou tenha informação adicional relevante.

  6. Repita os passos 1 a 4 até seu plano de segurança ficar pronto. Você que diz quando ele está pronto.

  7. Marque uma data específica para revisar o seu plano de segurança e decidir se precisa de alguma atualização ou mudança.

Não se preocupe em ter todas as respostas na ponta da língua imediatamente. O importante é iniciar o processo de pensar estrategicamente. Cada pequena descoberta e cada pequena ação de proteção te transforma em um alvo muito mais difícil.

Mãos à obra!

Agora que já sabe como construir seu próprio modelo de ameaças, qual é próximo passo? Proteger as pessoas de todos os departamentos da sua empresa.

Vamos conversar sobre como um programa de conscientização de cibersegurança pode acabar com 90% das suas dores de cabeça?

Responda este email para entender como treinar, motivar e engajar a sua equipe duma forma totalmente gamificada.