O que é um Exploit?

exploitsUm exploit geralmente é uma sequência de comandos, dados ou uma parte de um software elaborados por hackers que conseguem tirar proveito de um defeito ou vulnerabilidade. O objetivo, neste caso, é causar um comportamento acidental ou imprevisto na execução de um software ou hardware, tanto em computadores quanto em outros aparelhos eletrônicos.

Para fins maléficos, um exploit pode dar a um cracker o controle de um sistema de computador, permitindo a execução de determinados processos por meio de acesso não autorizado a sistemas, ou ainda realizar um ataque de negação de serviço.

Diferente de outros meios de disseminação de vírus e ataques cibernéticos, um exploit não precisa que o usuário clique em um determinado link ou faça o download para a execução de algum arquivo. Por isso, os exploits são armas perigosas nas mãos de hackers mal intencionados.

Com a evolução dos computadores e dos sistemas de proteção, os hackers que utilizam exploits de maneira ilegal também desenvolveram novos métodos e diferentes ferramentas tornando processos que antes eram considerados seguros em obsoletos. Em informática, exploits e vulnerabilidades possuem exatamente o mesmo significado que no mundo real. Porém há dificuldades na definição de como uma vulnerabilidade específica aparece e o que os utilizadores realmente podem fazer para explorá-la.

Muitas vezes as vulnerabilidades são provenientes de erros na etapa de desenvolvimento de um produto. Em outros casos, já acontecem de maneira proposital para dar margem a um acesso secundário ao sistema depois que ele tenha sido lançado aos usuários. Contudo, um exploit pode ser utilizado de maneira legal para que um hacker tenha acesso a uma determinada parte do produto.

São conhecidos como exploits também os comandos responsáveis por burlar o uso limitado de softwares, conhecidos mais popularmente como cracks.

Os exploits são classificados geralmente pelo tipo de vulnerabilidade que exploram, pela necessidade de serem executados na mesma máquina que o programa que tem a vulnerabilidade e através do resultado da execução do exploit (EoP, DoS, spooting e outros).

Os métodos para tentar evitar o contágio de exploits em seu computador são praticamente os mesmos para evitar os vírus mais comuns. É imprescindível possuir um bom antivírus e que ele e o sistema operacional do seu computador estejam sempre atualizados. Um firewall competente também ajudará muito nesta tarefa.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa matéria.

Fonte: Canaltech

Anatomia dos ataques em apps para mobile banking

Mobile-SecurityEm algum momento você parou para pensar se o aplicativo que está instalado no seu smartphone está espionando tudo que você faz? Será que existem vírus para iPhone (iOS) e Android? Quantas pessoas que você conhece instalaram antivírus em seus smartphones? Existem ataques direcionados para os aplicativos de mobile banking? Suas fotos pessoais que estão armazenadas no seu smartphone estão seguras?

Vivemos uma nova realidade. Hoje temos disponíveis dezenas de aplicativos bancários para dispositivos móveis. O acesso ao saldo, extrato, pagamento de contas, transferência de valores, investimentos etc, está ao alcance de todos com um smartphone em mãos, incluindo estelionatários e/ou Crackers (indivíduos que invadem sistemas e quebram a segurança de forma ilegal ou sem ética). Quanto mais utilizarmos o mobile banking, mais estelionatários tentarão aplicar seus golpes. Ou seja, quanto maior a escala das transações financeiras móveis, novas ameaças surgirão e maior serão os número de vítimas de crime cibernético. Por exemplo, um dos maiores banco no Brasil registra aproximadamente 8 milhões de transações móveis por dia. Será que esse número de transações chama a atenção dos estelionatários?

Vamos conhecer algumas ameaças e vulnerabilidades encontradas nos aplicativos para mobile banking:

Qual sistema operacional para dispositivos móveis é o mais seguro? iOS ou Android?

Sempre que falo sobre teste de invasão em aplicativos móveis algumas pessoas acreditam que a vulnerabilidade está no sistema operacional da Apple (iOS) ou no Android da Google. É necessário explicar que as técnicas de invasão serão direcionadas para o aplicativo instalado no iOS ou no Android. Não vou mapear ou explorar vulnerabilidades no sistema operacional instalado no smartphone. Porém, sempre surge essa pergunta e um estudo recente da Symantec traz algumas informações interessantes:

# 38% dos usuários de dispositivos móveis foram vítimas de crime cibernético nos últimos 12 meses;

# 97% dos códigos maliciosos identificados foram desenvolvidos para atacar dispositivos com o sistema operacional Android;

# 82% das vulnerabilidades foram localizadas no iOS da Apple;

# 28% dos códigos maliciosos foram programados para espionar as informações armazenadas no dispositivo móvel;

# 17% dos códigos maliciosos roubam dados no dispositivo móvel.

A conclusão que podemos chegar é que o iOS da Apple possui mais vulnerabilidades em comparação ao Android. Porém, quase que a maioria total dos códigos maliciosos são desenvolvidos para atacar o Android da Google.

Pontos de ataques

# Dados sensíveis armazenados no dispositivo móvel;

# Falta de criptografia ou criptografia fraca durante a transmissão dos dados, tais como: agência, conta corrente e senha do banco;

# Falhas no processo de validação do secure socket layer (SSL);

# Acesso privilegiado de forma indevida ao aplicativo móvel para roubar dados armazenados em memória ou fazer engenharia reversa.

Quais são os ataques direcionados aos mobile banking?

No Brasil, o acesso a conta corrente através do mobile banking possui duas camadas de segurança importantes: uma é a senha eletrônica e a outra é o Token. Sendo assim, temos alguns ataques direcionados a autenticação:

1 – SSL Proxy
Um dos ataques preferidos pelos estelionatários para espionagem de informações confidenciais. Consiste em interceptar toda a comunicação entre o cliente e o banco, incluindo a utilização de um certificado digital falso, criando uma “conexão segura” entre o cliente do banco e o atacante. Dessa forma, o atacante consegue capturar a agência, conta corrente, senha eletrônica, senha do cartão de débito e o token.

2 – SSL Strip e Man-in-the-middle
Este tipo de ataque é executado para roubo de senhas, tokens, nomes de usuário, agencia, conta corrente, palavras-chave e outros dados sensíveis; mesmo quando as informações estão criptografadas ou codificadas. Na prática, são utilizadas algumas ferramentas para sequestrar o tráfego de informações entre o mobile banking instalado no smartphone/tablet e o banco, monitorando sempre as solicitações via HTTPS; depois eliminamos o SSL deixando o cliente do banco em uma conexão não segura. Dessa forma, o número da agência, conta corrente e senha eletrônica são capturadas pelo atacante através de uma transmissão não segura das credenciais do banco.

3 – Certificados digitais falsos
Outro tipo de ataque baseado em Man-in-the-middle onde o atacante emite um certificado digital falso tendo como objetivo interceptar o tráfego em uma conexão HTTPS supostamente segura.

4 – Engenharia reversa e análise de código
A engenharia reversa consiste em ter acesso ao código-fonte de um aplicativo móvel. Através de uma combinação de ferramentas e técnicas é possível identificar senhas pessoais armazenadas no aplicativo ou dispositivo móvel, permissões de acesso, certificados utilizados pelo aplicativo móvel e se o código está ofuscado.

Esta técnica também é utilizada para identificar vulnerabilidades, tais como:

# Implementação de ASLR
# Heartbleed
# Stack Overflflow
# Address Reference Counting
# Memory dump values

Conclusão
Os principais desafios dos bancos são a prevenção e a resposta aos incidentes das transações fraudulentas, a mitigação de riscos relacionados ao roubo de identidade e de dados bancários e a gestão da segurança da informação para aplicativos móveis.

A preocupação com a arquitetura, desenho, implementação e configuração dos requisitos de segurança em aplicativos móveis tem aumentado.

Os bancos elaboraram políticas e normas para gestão de conformidade e resposta a incidentes relacionados a segurança e fraude em aplicativos móveis.

As instituições financeiras estão cada vez mais avaliando possíveis vulnerabilidades no mobile banking, bem como a eficiência dos controles de segurança presentes para a proteção de autenticação, tráfego de rede e engenharia reversa.

Detectar vulnerabilidades, identificar vazamento de dados, detectar problemas na criptografia, examinar a segurança no método de autenticação e detectar possíveis falhas no código do mobile banking que podem levar a exploração de vulnerabilidade tornaram-se uma das atividades do dia a dia das equipes de Auditoria, Tecnologia da Informação, Prevenção a Fraudes e Segurança da Informação. Porém, encontramos alguns cenários onde a equipe de desenvolvimento de software não utiliza as boas práticas de desenvolvimento seguro para aplicativos móveis.

Não se esqueça! Os criminosos quase sempre estão alguns passos a frente dos sistemas de segurança.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia!

Fonte: IDG Now!

Como evitar a ameaça dos Phishings – guia de proteção

phishingO Phishing é algo único no mundo dos ataques virtuais – não depende de pontos fracos existentes ao nível do software, ou de vulnerabilidades – mas sim, pelo menos inicialmente, da capacidade de enganar os humanos.

Isso significa que os usuários de dispositivos móveis, que muitas vezes consideramos “imunes” a ataques desse tipo – como smartphones – são, na verdade o veículo perfeito para ataques de phishing.

Os cibercriminosos que utilizam este tipo de esquemas, optam sempre por métodos que sejam baratos, mas que ainda assim permitam roubar as informações de que necessitam. Isto pode ser conseguido através de um anexo com malware destinado ao roubo de senhas que utiliza para o efeito um keylogger – ou levando a vítima a introduzir os seus dados num site falso.

À semelhança das grandes empresas, também os consumidores são afetados – segundo um estudo realizado pela Microsoft e no qual foram consultados 10.000 consumidores, 15% afirmaram terem sido vítimas de phishing, perdendo, em média, 158 dólares cada.

Os emails de phishing podem causar-lhe problemas em qualquer dispositivo

Os ataques de phishing nem sempre dependem de cliques em anexos infectados – malware – em muitos casos os usuários são direcionados para uma página falsa que solicita senhas e detalhes privados dos internautas. Isto significa que nenhum sistema está imune – independentemente se o acesso à Internet se dá a partir de um PC, Mac ou de um dispositivo móvel – Android ou iOS. Se introduzir os seus dados numa determinada página maliciosa (mas bem disfarçada), os cibercriminosos vão poder acessar a sua conta – quer se trate de uma conta bancária ou, por exemplo, iTunes (com cartão de crédito em anexo).

Alguns e-mails são mais inteligentes do que outros

Os e-mails que fingem ser enviados pelo seu banco são muitas vezes mal elaborados, solicitando a confirmação de uma senha (algo que uma instituição bancária nunca irá fazer). Porém outros utilizam alguns truques “inteligentes”.
Por exemplo, alguns e-mails fraudulentos que chegaram à ESET disponibilizam ao cliente uma escolha ‘Sim’ ou ‘Não’ no que diz respeito a transações recentes ou a uma alteração nos detalhes dos contatos – com ligações para as opções ‘Sim, eu fiz este pedido “, ou ‘não, eu não fiz “. Como é óbvio, ambos os links são falsos e na maioria dos casos nem sequer se preocuparam em fazer conexões a links diferentes um do outro.

As informações públicas podem ser perigosas

Se trabalha numa empresa em que a confidencialidade dos dados é uma prioridade, deve garantir que os mesmos permaneçam realmente privados – caso contrário, os “phishers” podem criar ataques direcionados que pareçam legítimos. No ano passado, uma empresa de energia elétrica foi alvo de um ataque de phishing muito bem elaborado e que utilizou uma lista de participantes de uma reunião para os ludibriar com e-mails infectados com malware. O site da empresa havia listado os endereços de email e os títulos de trabalho de todos os participantes numa reunião, informação suficiente para os cibercriminosos desenvolverem um ataque adaptado e convincente que utilizou as caixas de correio de todos os presentes na reunião.

Não clique em links disponíveis em emails que partam de instituições bancárias – mesmo que pareçam reais!

O seu banco dificilmente irá enviar-lhe mensagens de email com diversas links para vários – por esse motivo, se isto acontecer, será um grande sinal de alerta.

Se o seu nome não estiver claramente explícito, o e-mail é provavelmente falso

Os cibercriminosos utilizam sempre logotipos muito convincentes – e imitam a linguagem dos bancos e outras instituições. Normalmente as mensagens são muito persuasivas como “Necessitamos da sua ajuda para resolver um problema com a sua conta. Por esse motivo, limitamos temporariamente o que pode fazer com a sua conta até que o problema esteja resolvido. Entendemos que pode ser limitativo não ter pleno acesso a sua conta e por esse motivo necessitamos que confirme os seus dados”. Apesar do texto poder estar correto, em vez do email se dirigir a você, começa por Caro ou Estimado Cliente. Este fato por si só, é um enorme alerta de que o email é provavelmente falso.

A presença de números de telefone não é garantia de nada

Não confie em e-mails com aparência profissional em que está presente um número de telefone de contato – isto pode ser outro truque utilizado pelos cibercriminosos. O número até pode funcionar e se for acionado estará a ligando para um scammer e não para a empresa com que pretende conversar.

O departamento técnico da sua empresa, sabe a sua senha

Os ataques “spear phishing” podem fazer-se passar por emails enviados a partir do próprio departamento de TI – ou a partir de contatos de negócios, ou quadros superiores dentro da sua própria empresa. Seja cuidadoso. Se qualquer destes e-mails solicitar os seus dados de login ou senha, não os forneça – é um esquema comum utilizado por cibercriminosos para penetrarem nos sistemas das empresas. Telefone para o departamento de TI da sua empresa e pergunte se um determinado e-mail é real – eles certamente irão lhe agradecer.

Desconfie de boas notícias que chegam repentinamente

Os cibercriminosos disfarçam os seus ataques o mais possível e utilizam desde convites de casamento a eventuais reduções de impostos. Inclusivamente, estas táticas estão aumentando em popularidade, sendo que o Reino Unido é atualmente um dos países mais atingidos – 50% a mais do que o total do ano anterior. Não se esqueça que se uma informação oficial for realmente importante, ela irá chegar pelos correios e não por email.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa matéria.

Fonte: Eset blog

Google reagrupa todas as opções de segurança

Nos últimos dias milhões de logins e senhas de Contas Google foram vazadas em um fórum na internet. A Google disse que o problema foi de cruzamento de dados, e não de uma brecha de segurança em seus sistemas, e aproveitou para aconselhar os usuário afetados a usar a verificação em duas etapas, além de outros métodos de segurança. Se você ficou preocupado com o problema, talvez essa seja uma boa oportunidade para deixar seu Gmail e outros serviços mais seguros.

A Google criou uma nova página nas configurações de segurança dos seus serviços e, agora, é possível fazer várias alterações nesse sentido em apenas uma tela. Nada de novo apareceu de fato, mas agora você pode ativar a verificação em duas etapas, conferir os apps conectados em sua conta, atualizar os emails e celulares de recuperação e mexer em algumas outras opções.

gmail_2etapasCom isso, os usuários de uma Conta Google não precisam mais ficar vasculhando opções de segurança em vários menus e telas. A empresa espera que, com isso, possa incentivar todos a darem mais importância para esse assunto.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Golpe de phishing que utiliza You Tube como isca

youtubeEstá circulando na Internet um esquema de phishing que utiliza a imagem do YouTube, sendo que os usuários são avisados por e-mail sobre uma potencial violação “não especificada” no site de compartilhamento de vídeos mais popular do mundo.

Este esquema de phishing está bem elaborado e por esse motivo têm surgido questões nos grupos da Google sobre a veracidade do mesmo.

No e-mail pode ler-se a seguinte mensagem:

“Gostaríamos de o informar que devido a violações repetidas ou graves das nossas diretrizes de comunidade a sua conta no YouTube será suspensa dentro de três dias, a partir da data de envio desta mensagem”.

As variantes são muitas e as mensagens podem variar. Outra refere que “Após uma revisão cuidadosa determinou-se que a atividade da sua conta violou as nossas diretrizes comunitárias, que proíbem spam, esquemas ou conteúdos comercialmente enganadores.”

Na maioria das vezes se o usuário der um clique no link presente no e-mail é conduzido para diversos questionários, que na maioria dos casos solicitam o número de telefone do internauta, alimentando assim outros esquemas de phishing e propagandas não autorizadas por SMS.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Eset blog

Site do Estadão é vítima de alteração maliciosa

DriveByPharmingO site de política do Estadão foi alterado esta semana para incluir um código que tenta alterar as configurações de roteadores.

Esse golpe altera as configurações do seu roteador caso ele esteja ainda usando a senha de fábrica.

Essa alteração dá aos criminosos o controle dos endereços que você acessa. É possível assim redirecionar você para páginas clonadas de sites de bancos a até mesmo de serviços como o Facebook e Google para o roubo de senhas.

Embora o site do jornal Estadão tenha sido alterado nesse caso, qualquer site da Internet pode sofrer ataques. Se o seu roteador estiver vulnerável, a alteração acontecerá sem que você perceba nada no momento do acesso. O código já foi removido da página do Estadão.

Caso você não saiba alterar a senha do seu roteador de Internet, verifique o modelo e faça uma pesquisa na Internet para saber como acessar o Painel de Controle do roteador e fazer a alteração da senha. Essa senha não tem valor local (porque é possível resetar a senha com um botão no roteador), então não há problema em anotá-la.

O golpe de Drive by Pharming não é novo, mas agora chegou ao Brasil porque provedores de Internet que fornecem esses equipamentos e diversos fabricantes de modems não seguiram padrões de segurança há anos recomendados por especialistas. Resta a você, usuário, fazer o trabalho deles.

Agradeço ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Linha Defensiva via facebook

Está na rede: Chrome V37.0.2062.120

Google_Chrome_v37.0.2062.120O Google disponibilizou essa semana para download o navegador Google Chrome v37.0.2062.120 para Windows e para outras plataformas.

O navegador inclui recursos como o suporte para navegação por guias (tabbed browsing), sincronização de configurações via conta do Google, suporte para extensões, corretor ortográfico integrado, acesso rápido aos serviços do Google, como o YouTube e Gmail e outros.

De acordo com o anúncio no blog oficial, o Google Chrome v37.0.2062.120 traz correções para quatro falhas de segurança, nova versão do plugin Adobe Flash Player, correções para múltiplos bugs e melhorias no desempenho e estabilidade.

Vale destacar que, como algumas das falhas de segurança corrigidas por esta versão são de alto risco, é recomendável que os usuários façam a atualização o mais rápido possível.

Faça o download do Google Chrome V37.0.2062.120

Os usuários do Windows sem o navegador instalado podem fazer o download do Google Chrome 32 bits aqui e do Google Chrome 64 bits aqui.

Quem já tem o navegador instalado deve receber a atualização para a nova versão automaticamente.

Agradeço ao Domingos, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 492 outros seguidores