Blog

O custo dos falsos positivos - como nos tornamos um alvo

Esta semana, identificamos um caso de uso intrigante envolvendo o ataque WP3[.]XYZ (link para nossa postagem no blog). Isso despertou interesse em toda a comunidade e levou a melhores taxas de detecção em plataformas como o VirusTotal (link do VirusTotal). Embora a maioria tenha apreciado nossos esforços, outros nos criticaram por não identificar a causa raiz ou recomendar serviços para limpar sites hackeados. Apesar disso, nosso objetivo é conscientizar a comunidade sobre possíveis ataques e prometemos fazer ainda melhor no futuro. Quando falsos

Jan 17, 2025 • 5 min read

Himanshu Anand Software Engineer

Esta semana, identificamos um caso de uso intrigante envolvendo o ataque WP3[.]XYZ (link para nossa postagem no blog). Isso despertou interesse em toda a comunidade e levou a melhores taxas de detecção em plataformas como o VirusTotal (link do VirusTotal).

Página do VirusTotal mostrando a cobertura de detecção para o domínio wp3.xyz

Embora a maioria tenha apreciado nossos esforços, outros nos criticaram por não identificar a causa raiz ou recomendar serviços para limpar sites hackeados. Apesar disso, nosso objetivo é conscientizar a comunidade sobre possíveis ataques e prometemos fazer ainda melhor no futuro.

Quando os falsos positivos atingem em cheio

Após publicar o blog, algo inesperado aconteceu: nosso site principal, cside.com, foi sinalizado como suspeito. Este incidente é significativo porque destaca como um simples falso positivo pode interromper não apenas fluxos de trabalho técnicos, mas também a reputação e as operações de um negócio.

Alerta do navegador sinalizando cside.dev como suspeito devido a um falso positivo

Para leitores técnicos, isso ressalta a importância de regras de detecção precisas, enquanto para leitores não técnicos, demonstra como tais problemas podem escalar e impactar a confiança e a continuidade dos negócios.

Naturalmente, fomos pegos de surpresa e imediatamente começamos a investigar.

Após uma inspeção mais detalhada, parecia que algumas regras de detecção preguiçosas podem ter causado o problema.

Trabalhei em segurança de endpoint por mais de quatro anos antes de fazer a transição para uma função de analista de SOC (Centro de Operações de Segurança). Essa experiência me deu uma visão em primeira mão dos desafios de gerenciar alertas e detecções—um tópico intimamente ligado ao custo real dos falsos positivos.

Como alguém que escreveu regras de detecção, entendo a tentação de tomar atalhos. No início da minha carreira, cometi erros semelhantes. Com a experiência, aprendi a diferença entre regras boas e ruins e a importância de aproveitar as tecnologias certas para escrever regras. É por isso que a maioria dos fornecedores de segurança emprega múltiplos mecanismos para lidar com diferentes tipos de ataques de forma eficaz.

Neste caso, o problema parecia surgir de dois fatores:

O subdomínio WP3[.]XYZ: Usamos um serviço para gerar descrições breves de domínios usando dados internos e IA (Domain Insights). Embora as descrições visem fornecer contexto útil, elas não são destinadas a fins de detecção.
Interpretação equivocada por fornecedores de AV: Alguns fornecedores de antivírus sinalizaram o nome do domínio simplesmente porque ele apareceu em nossa URL. Esse tipo de detecção, baseada apenas na estrutura da URL, carece de contexto e pode levar a interrupções desnecessárias.

Para ajudar a comunidade, compartilhamos o código completo em nosso blog para que outras empresas melhorem suas detecções. No entanto, sinalizar um domínio que serve payloads maliciosos sem o contexto adequado é uma prática problemática. Abordamos esse problema em detalhes em outra postagem do blog (Os Feeds de Ameaças Ainda São Bons em 2024?).

O custo real dos falsos positivos

Os falsos positivos podem parecer insignificantes à primeira vista, mas seu impacto pode ser profundo:

Interrupção operacional: Mesmo uma taxa de falso positivo de 1:100.000 pode ter consequências graves se interromper transações críticas. Por exemplo, imagine um gateway de pagamento sendo sinalizado incorretamente durante uma temporada de compras de pico. Isso poderia bloquear milhares de transações legítimas, resultando em clientes frustrados, perda de receita e potencial dano à reputação da empresa.
Fadiga do analista de SOC: FPs podem desperdiçar milhares de horas enquanto os analistas tentam fazer triagem e investigar não-problemas. Essa fadiga pode levar a verdadeiros positivos (TPs) passando despercebidos.
Impacto nos negócios: Esta é a consequência mais preocupante, pois pode comprometer toda a operação de uma empresa.

Vamos nos aprofundar no ponto três.

Na cside, somos uma startup pequena e jovem, e nossa jornada tem sido alimentada por paixão e desejo de contribuir significativamente para a comunidade de cibersegurança. No entanto, se produtos de segurança sinalizarem nosso site como malicioso, isso pode comprometer tudo pelo que trabalhamos.

Lembro-me do pânico inicial ao ver a detecção—não se tratava apenas de corrigir um problema, mas de proteger a confiança que construímos com nossos clientes. O tempo e a energia gastos para resolver tais problemas podem interromper significativamente as operações, especialmente para pequenas empresas como a nossa. Embora grandes corporações possam superar tais desafios, para organizações menores, isso pode significar um desastre.

Por que isso importa

O custo real dos falsos positivos vai além dos desafios técnicos. Impacta negócios, clientes e meios de subsistência. Aqueles que experimentaram as repercussões em primeira mão sabem o quanto isso dói.

Nosso compromisso na cside

Na cside, acreditamos firmemente em uma política de zero falsos positivos.

Nos esforçamos para:

Compartilhar tudo o que sabemos com a comunidade de forma aberta e transparente.
Usar nossos próprios produtos para garantir precisão e confiabilidade.
Minimizar o impacto dos falsos positivos enquanto aprimoramos nossas capacidades de detecção.

Entendemos o custo tanto dos falsos positivos quanto dos ataques cibernéticos, e é por isso que estamos comprometidos com a melhoria contínua e a colaboração com a comunidade mais ampla.

Se você tiver perguntas ou sugestões, sinta-se à vontade para entrar em contato. Estamos sempre abertos a feedback para tornar nossos esforços ainda melhores.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Quando nosso próprio domínio cside.dev foi sinalizado como suspeito, os tickets de suporte dispararam, os cadastros caíram e parceiros questionaram se continuariam usando. O custo em dólares é difícil de medir, mas o impacto na confiança é imediato e dura mais que o alerta.

Calibre as regras contra uma baseline de comportamento conhecido como bom, mostre contexto em cada alerta e deixe analistas devolverem correções ao modelo. Isso mantém o recall alto e aumenta a precisão — é o que a cside faz para detecções no cliente.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.