Criminosos focam ataques em caixas eletrônicos

Você provavelmente já deve ter se deparado com algum caixa eletrônico sem cédulas, fora do ar ou comprometido devido a alguma falha de segurança. Segundo a firma de seguros O Melhor Trato, o número de roubos subiu 42% no Rio de Janeiro nos três primeiros meses deste ano, em relação ao mesmo período da temporada passada.

E, diferente do que muita gente pode imaginar, isso vem ocorrendo de formas bem diferentes do que as explosões ou invasões em agências bancárias. Eis as 3 abordagens mais utilizadas pelos criminosos atualmente:

  • Jackpotting: exige uma invasão mais elaborada e repetidas vezes, como se o bandido fosse um funcionário de manutenção. Depois de remover a tampa do gabinete, o atacante usa a entrada USB do caixa eletrônico para introduzir um malware. Dessa forma é possível extrair até 40 cédulas a cada 23 segundos, até esvaziá-lo completamente;
  • Clonagem: os bandidos conseguem instalar um componente capaz de copiar os dados da tarja magnética de seu cartão e malwares para coletar dados, para depois usar seu dinheiro;
  • Microcâmera: normalmente mais utilizada em aeroportos e supermercados, essa abordagem usa uma pequena câmera que filma o momento em você está introduzindo sua senha no caixa eletrônico — por isso é mais recomendável fazer saques em bancos ou agências.

Os bandidos também se aproveitam das máquinas do modelo “Opteva”, consideradas ultrapassadas e que nem mesmo são fabricadas atualmente — mas continuam presentes em muitos lugares, em todo o mundo, principalmente em farmácias e locais menores. Essas versões ainda usam Windows XP, que não recebe updates de segurança da Microsoft.

Segundo a Federação Brasileira de Bancos (Febraban), há um investimento anual de US$ 8 milhões em medidas físicas de segurança e outras ações preventivas, como o menor volume de dinheiro disponível nas unidades e o limite de transferências eletrônica. O mais indicado atualmente é usar os aplicativos, sempre atualizados, e evitar o uso de caixas onde há movimentação suspeita.

Fonte: Tecmundo

Campanha de phishing ameaça usuários de instituições financeiras

Uma campanha massiva de phishing com objetivo de disseminar malware, que mira o roubo de credenciais de clientes de instituições financeiras e de corretoras de criptomoedas, foi identificada recentemente pela equipe de Threat Intelligence da Tempest. Segundo a companhia, após analisar o modus operandi dessa campanha, foi possível identificar outras 12 iniciativas que, apesar de disseminarem malwares distintos, usam métodos bastante semelhantes para o envio em massa de spam, além de possuírem características quase idênticas na construção dos e-mails de phishing.

O número de vítimas envolvidas nas campanhas detectadas pela Tempest subiu de aproximadamente 9 mil, em 14 de janeiro, para mais de 61 mil (das quais mais de 60 mil estão no Brasil) em um monitoramento realizado no dia 28 de janeiro. E hoje já passam de 120 mil vítimas, sendo que mais de 100 mil estão no país.

A similaridade nos métodos de envio de spam e de construção dos e-mails de phishing foi o que chamou a atenção dos pesquisadores da Tempest para estas campanhas. O fato pode indicar que um único serviço com recursos avançados para o envio de spam esteja sendo utilizado por criminosos para alavancar diferentes campanhas de phishing.

Os honeypots da Tempest identificaram mais de 800 e-mails de phishing que utilizavam os mesmos servidores para o envio de spam. Esses servidores totalizaram 192 hosts, vinculados a 37 domínios distintos.

Todos os e-mails analisados utilizavam um script chamado javali.php, um código gratuito e facilmente encontrado na Internet que é utilizado para o envio de e-mails a partir de um terminal de comandos shell. Após analisar esse código, foram identificadas duas características que comprovam sua utilização nessas campanhas. A primeira é o parâmetro X-Mailer, que identifica a versão do software de e-mail que supostamente enviou o phishing. A segunda é um número randômico que o script aplica ao assunto do e-mail atribuindo um tipo de identificação. Essas características podem ser observadas sendo aplicadas no assunto da mensagem.

O mote da engenharia social utilizada nas campanhas varia, de acordo com a Tempest. No entanto, o intuito permanece o mesmo: tentar amedrontar a vítima para persuadi-la a executar um artefato malicioso. Entre os exemplos estão alertas de que a vítima está em situação de inadimplência, que seu histórico de mensagens do WhatsApp foi vazado, entre outros.

Apesar da grande atividade identificada recentemente, acredita-se que este ator ou grupo está ativo há bastante tempo. Pesquisa de novembro de 2018 publicou a análise de um malware focado em alvos no Brasil que se baseava em campanhas de disseminação muito semelhante a essa. Além disso, a Tempest afirma ter identificado que alguns dos domínios envolvidos nestas campanhas estão ativos desde junho de 2018, o que pode representar um número maior de vítimas.

Fonte: itmidia

Falha no Chrome possibilita a terceiros vasculhar arquivos no PC

A Google revelou no dia 06 de março uma vulnerabilidade no navegador Chrome que praticamente abria as portas do computador para um hacker malicioso.

A Google já corrigiu a brecha e todos os navegadores devem estar atualizados com a última versão disponível.

A vulnerabilidade zero-day (CVE-2019-5786) foi corrigida na versão 72.0.3626.121 do Chrome. Segundo anúncio da empresa, a falha já estava sendo explorada por atacantes antes da correção — por isso, garanta que seu Chrome está atualizando em ‘Menu’, ‘Ajuda’ e ‘Sobre o Google Chrome”.

Confira agora se o seu Chrome está com a última versão instalada

Segundo a empresa, a vulnerabilidade é um erro no gerenciamento de memória do FileReader no Chrome. O FileReader é a API responsável por permitir que aplicativos web acessem o conteúdo de arquivos armazenados no computador de um usuário. A brecha vinha acontecendo quando um app web tentava acessar a memória após ler liberado ou apagado da memória alocada do Chrome.

Com esta brecha, cibercriminosos poderiam escalar privilégios dentro do sistema operacional e ler o conteúdo de arquivos no computador de uma vítima. Ou seja: tudo que é mais pessoal e sensível.

Ainda não foram divulgados muitos detalhes sobre a vulnerabilidade. A Google já atualizou automaticamente os navegadores Chrome, contudo, garanta que o seu aparece com a mesma versão abaixo — se não aparecer, faça uma atualização na página oficial do Chrome.

Fonte: Tecmundo

Novo malware atinge 20 mil usuários do Android

Um malware inédito no Brasil foi identificado pela Diebold Nixdorf em fevereiro. Segundo relatório da companhia que atua na prevenção de fraudes, o chamado RAT (Remote Access Trojan) opera em dispositivos móveis Android e se utiliza de técnica em que o atacante navega e realiza as transações diretamente no dispositivo móvel do usuário.

Ao infectar um dispositivo, o fraudador tem como principal objetivo se passar pelo cliente e realizar transações eletrônicas nos aplicativos de bancos enquanto o usuário não está com a atenção voltada ao celular. Todo processo de navegação, autenticação e inserção das transações acontece sem qualquer interação física do aparelho, de forma remota e controlada pelo atacante.

Segundo a Diebold Nixdorf, o malware possibilita uma visualização e controle total do dispositivo da vítima por meio de permissão de acessibilidade, concedida pelo usuário no momento da instalação do aplicativo. Uma vez com a permissão, o software concede a si mesmo outras permissões necessárias para executar as demais tarefas a qual se propõe, inclusive a própria senha de desbloqueio do aparelho.

Para não chamar a atenção, o criminoso inicia a fraude e controla o dispositivo quando o usuário não está utilizando o aparelho. Os hackers ainda conseguem ativar o modo silencioso do aparelho e escurecem a tela em 90% para que a pessoa não veja o acesso remoto acontecendo. Para apagar vestígios, o malware ainda pode ser desinstalado de maneira remota após a fraude.

Como o malware chega aos usuários

Durante os processos de análise e engenharia reversa realizados pela área de Online Fraud Detection (OFD) da Diebold Nixdorf, foi possível identificar que o processo de disseminação do Malware se dá por meio de spam e via anúncios pagos pelos criminosos. Na maioria das vezes o acesso se dá por anúncios de atualização do aplicativo WhatsApp ou propaganda de retrospectivas.

Uma vez com controle total do dispositivo, o criminoso pode facilmente navegar pelos aplicativos de mensagem instantânea e disseminar o link para download do aplicativo falso, se passando pelo próprio usuário como se fosse uma recomendação pessoal enviada em sua rede de contatos.

Como se proteger

Especialistas da Diebold Nixdorf detectaram 20 mil instalações no Brasil que já impactaram usuários de aplicativos de grandes bancos no país. Para evitar cair em uma fraude como essa, os profissionais recomendam algumas atitudes:

Fique atento com links encaminhados via aplicativos de mensagens. Cheque sempre a fonte daquela informação e pesquise sobre a veracidade da informação antes de realizar qualquer download.

Não baixe e nem instale softwares e/ou aplicativos desconhecidos – existem diversos programas na internet que prometem melhorar a eficiência de seus dispositivos, porém, pode se tratar de programas espiões.

Tenha um software antivírus instalado e sempre atualizado – seja no seu computador ou celular.

Fonte: itmídia

Apps populares no Android ainda continuam compartilhando dados com o Facebook

Alguns aplicativos populares usados no sistema operacional Android continuam compartilhando sem consentimento dados de usuários com o Facebook. O objetivo é a criação de perfis para a personalização de anúncios. A informação é de uma pesquisa feita pela ONG Privacy International, que já havia identificado o problema em dezembro do ano passado – à época, a rede social afirmou que encerrou os compartilhamentos de dados.

De acordo com a pesquisa, os aplicativos do Android compartilham dados com o Facebook assim que o usuário entra na plataforma – entre os apps que ainda continuam com a prática estão a plataforma de ensino de idiomas Duolingo, o aplicativo de procura de emprego Indeed e algumas plataformas religiosas. A rede social também obtém dados de usuários que não estão logados no Facebook e até mesmo daqueles que não têm uma conta na rede social.

Não se sabe ao certo que tipos de dados são coletados. Entretanto, a ONG afirma que as informações permitem que o Facebook saiba qual aplicativo da empresa o usuário está usando, o que inclui o Messenger, o WhatsApp e o Instagram. A rede social também consegue saber quando o usuário abre um aplicativo em seu dispositivo. O Facebook não comentou o assunto.

Essa prática é ilegal de acordo com a lei de proteção de dados europeia, a GDPR, que entrou em vigor em maio do ano passado – as novas regras estabelecem que é necessário o consentimento dos usuários antes da coleta de dados pessoais. As empresas que transmitem dados sem permissão podem ser obrigadas a pagar uma multa de até 4% de seu faturamento.

O estudo inicial da Privacy International revelado em dezembro do ano passado analisou os 34 aplicativos mais populares utilizados no sistema operacional Android e descobriu que ao menos 20 deles compartilhavam dados com o Facebook sem a permissão dos usuários. A ONG afirmou que parte desses aplicativos não repassa mais dados ao Facebook.

Fonte: Estadão

Google aumenta eficiência da navegação no modo anônimo

O Modo Anônimo oferecido pelo Google Chrome dá uma ideia de privacidade ao usuário: ele permite a navegação desconectada, porém, usuários ainda podem ser rastreados de uma maneira ou outra — e muitos sites ainda conseguem detectar se você navega via Modo Anônimo. Agora, o Google está alterando alguns códigos do modo para deixar a sua navegação mais secreta, escondendo dos sites se você está em Modo Anônimo ou não.

O Chrome vai criar um arquivo de sistema virtual usando a RAM

Mas, por qual motivo os sites querem saber se você está utilizando esse modo ou não? Um deles, e talvez o principal, é o paywall de sites de notícias. Diversos sites de notícias pelo mundo utilizam um tipo de pawall que bloqueia usuários no Modo Anônimo e até registra quem já acessou uma quantidade X de acessos gratuito fora do modo para manter o bloqueio.

Para aumentar as “barreiras” do Anônimo, o Chrome vai criar um arquivo de sistema virtual usando a RAM. Dessa maneira, quando você sair do modo, é garantido que tudo que você navegou será apagado — e os métodos de detecção também deverão cair. Segundo o 9to5Google, o Google tem como meta remover toda a API FileSystem com o passar do tempo.

A novidade deve chegar no Chrome 74 com a possibilidade de ativação feita pelo usuário, contudo, deve ser apenas no Chrome 76 que o recurso já chega como padrão nos navegadores.

Fonte: Tecmundo

Macs na mira dos cibercriminosos

Criminosos estão usando um programa com extensão para Windows para infectar máquinas com macOS, sistema dos iMacs e MacBooks. O tipo de ataque inédito foi descoberto por analistas da Trend Micro – empresa especializada em cibersegurança –, após avaliarem uma versão pirata do Little Snitch – aplicativo firewall pago, projetado para modelos da Apple.

O download do software foi feito em sites de torrents. Após a instalação, os especialistas perceberam que no seu grupo de arquivos havia uma pasta oculta com um arquivo EXE, extensão usada no sistema da Microsoft e por padrão incompatível com Mac. Para burlar essa restrição, os bandidos agruparam o documento EXE em uma estrutura livre, conhecida como Mono. Essa tecnologia permite que programas do Windows sejam executados em outros sistemas operacionais, como Android, Linux e o próprio MacOS. Após ter sido extraída pelo instalador, ela foi então usada para executar o falso programa.

Os avaliadores relataram que o falso Little Snitch agiu em fases. Na primeira, roubou algumas informações da máquina infectada, como: seu modelo, ID exclusivo e ferramentas instaladas. Em seguida, começou a baixar e instalar vários aplicativos adwares. Inclusive, alguns deles começaram a se comportar como uma versão original do firewall e do Adobe Flash.

No entanto, quando testaram o falso firewall no Windows, depararam-se com uma mensagem de erro. Por essa razão, a suspeita é de que ele tenha sido desenvolvido com a finalidade de enganar o Gatekeeper, recurso de segurança da Apple que monitora somente arquivos nativos do MacOS.

As amostras avaliadas foram as seguintes:

Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zi
Wondershare_Filmora_924_Patched_Mac_OSX_X.zi
LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zi
Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zi
TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zi
Little_Snitch_583_MAC_OS_X.zip

Os índices mais altos de infecções a partir desses arquivos foram observados em maior número em localizações, como: Reino Unido, Austrália, Armênia, Luxemburgo, África do Sul e Estados Unidos. Os analistas ainda vão continuar investigando esse tipo de ação e sua rotina. Enquanto isso, nunca é demais lembrar: baixe arquivos somente de fontes muito confiáveis, até mesmo quando eles prometerem proteger seus dados.

Fonte: Tecmundo