Riscos à segurança dos e-mails de resposta automática

Antes de férias ou viagens de negócio, muitos funcionários configuram respostas automáticas de ausência no e-mail para que clientes e colegas saibam quem contatar em sua ausência. Normalmente, essas mensagens incluem a duração da viagem, informações de contato da pessoa que responsável pela substituição, e às vezes dados sobre projetos atuais.

Respostas automáticas podem parecer inofensivas, porém podem representar um risco corporativo. Se um colaborador não restringe a lista de destinatários, esse tipo de e-mail irá para qualquer pessoa que lhe direcione uma mensagem – e esse poderia ser um cibercriminoso ou spammers que conseguiu passar pelos filtros. A informação sobre a ausência poderia ser suficiente para a viabilização de um ataque direcionado.

Uma linha, um problemão

Nesse caso de spammers, a resposta automática permite saber que o endereço de e-mail é válido e pertence a uma pessoa específica. Informa-os do primeiro e último nome da pessoa, bem como seu cargo. A assinatura, às vezes, ainda contém um número de telefone;

Spammers normalmente lançam mensagens a endereços de uma base de dados gigantesca, que gradualmente se torna desatualizada e menos efetiva. Entretanto, quando uma pessoa real é detectada no outro lado da linha, os cibercriminosos a marcam como alvo viável e começam a mandar e-mails com mais frequência. Podem até ligar. Mas isso não é o pior.

Se a mensagem automática é enviada a um e-mail de phishing, a informação que fornece sobre o colaborador substituto, o que pode incluir nome, cargo, horário de trabalho e até telefone, pode ser usada para organizar um ataque de spear-phishing. O problema não afeta apenas grandes empresas. Na verdade, respostas automáticas são alvos fáceis, oferecem um tesouro de dados para engenharia social de diversos propósitos.

O que os cibercriminosos podem fazer

Imagine que o Pedro sai de férias, deixando informações muito detalhadas de contato na resposta automática. Por exemplo: estarei fora do escritório até 27 de março. Para questões relacionadas ao Projeto Camomile, por favor, entre em contato com a Tatiana (e-mail e telefone). O redesign Medusa está sob a responsabilidade do André (e-mail e telefone).

Agora, André recebe uma mensagem que parece ser do diretor da Medusa LLC. Referindo-se a uma discussão anterior com Pedro, o cibercriminoso pede a André que avalie uma proposta de interface anterior. Nessa situação, André provavelmente abrirá o anexo no e-mail, colocando seu computador sob risco de infecção.

Além disso, cibercriminosos podem conseguir informações confidenciais por uma troca de e-mail, referindo-se a um colaborador ausente e seu suposto trabalho anterior juntos. Quanto mais sabem sobre a empresa, mais convincentes serão, tornando o substituto mais suscetível a repassar documentos internos e segredos comerciais.

O que fazer

Para prevenir dores de cabeça relacionadas às respostas automáticas, uma política sensível sobre mensagens de ausência é necessária:

  • Determine quais colaboradores realmente precisam delas. Se um funcionário lida com poucos clientes, pode notificá-los diretamente de sua ausência, seja por e-mail ou telefonema;
  • Para colaboradores cujas tarefas estão sendo cobertas por apenas uma pessoa, faz sentido utilizar redirecionamentos. Claro, nem sempre é conveniente, mas garante que mensagens importantes não sejam perdidas;
  • Recomenda-se que colaboradores criem duas opções de resposta automática – uma para endereços internos e outra para externos. Informações mais detalhadas aos colegas, enquanto, as pessoas de fora devem saber o mínimo possível;
  • Se um colaboradores corresponde-se com colegas apenas, elimine a ideia de respostas automáticas para endereços externos.
    Em qualquer caso, aconselhe funcionários quanto ao fato de que essas mensagens não devem possuir informações supérfluas;
  • Nomes de linhas de produtos ou clientes, número de telefones de colegas, informações sobre onde e quando colaboradores estarão de férias, e outros detalhes do tipo;
  • No servidor de e-mail, use uma solução de segurança que detecta automaticamente spam e tentativas de phishing, e verifica anexos em busca de malware ao mesmo tempo.
Fonte: Kaspersky

Novo malware é uma ameaça a usuários do Android

A empresa de cibersegurança Group-IB descobriu uma nova geração de malware para Android que foi desenvolvida para roubar ativos fiduciários e digitais de clientes dos principais bancos internacionais e casas de câmbio para criptomoedas.

Os pesquisadores da Group-IB batizaram o malware de Gustuff. Ao ser descarregado em um computador, ele chega completamente automatizado. A empresa ainda comenta que o malware foi criado para realizar infecções em massa e “lucro máximo para seus operadores”.

Como ele é distribuído: o Gustuff é enviado via campanhas de phishing direcionadas. Normalmente, ele vem em links de páginas falsas que mimetizam casas de câmbio ou banco para também roubar logins e senhas.

Até o momento, ele não foi identificado no Brasil, apenas nos EUA, na Polônia, na Austrália, na Alemanha e na Índia. Os pesquisadores que encontraram o Gustuff comentam que ele ainda utiliza recursos de acessibilidade de smartphones Android para completar o ataque:

“Usar o mecanismo do serviço de acessibilidade significa que o trojan consegue contornar as medidas de segurança usadas pelos bancos para se proteger contra gerações mais antigas de malwares mobile, além das alterações na política de segurança do Google introduzidas nas novas versões do sistema operacional Android. Ainda, o Gustuff sabe como desativar o Google Protect”, comentaram. “O malware também é capaz de enviar informações sobre o dispositivo infectado para o servidor de controle e comando gerenciado por cibercriminosos, ler/enviar mensagens SMS, enviar solicitações USSD, iniciar o SOCKS5 Proxy, seguir links, transferir arquivos (incluindo digitalizações de documentos, capturas de tela, fotos) para o servidor C&C e redefinir o dispositivo para as configurações de fábrica”.

Cibercriminosos também já “alugam” o uso do Gustuff por cerca de US$ 800 mensais. Para se proteger, algumas medidas básicas são praticamente o suficiente: nunca baixar aplicativos fora da Google Play Store, evitar clicar em links recebidos via WhatsApp e SMS, além de utilizar uma boa ferramenta de segurança no aparelho.

Fonte: Tecmundo

Cibercriminosos estão em campanha para hackear perfis com muitos seguidores no Instagram

Grupos de cibercriminosos estão com uma campanha para hackear perfis com muitos seguidores no Instagram. Segundo a Trend Micro, a campanha maliciosa se utiliza do golpe mais comum no Brasil: o phishing.

“Os pesquisadores [da Trend Micro] encontraram casos em que proprietários de perfis do Instagram com 15k a 70k seguidores foram hackeados e nunca recuperados. As vítimas variam de atores e cantores famosos a proprietários de empresas de startups”, diz a empresa.

Além de roubar a conta, os cibercriminosos também realizam extorsão digital. Ou seja: caso a vítima entre em contato com os atacantes, ela é forçada a comprar um resgate ou enviar fotos e vídeos nus para recuperar a conta, mas nunca recuperam o acesso.

É importante que os usuários devam sempre se atentar ao uso de domínios que não sejam da própria rede social

“Entretanto, os atacantes irão buscar tomar controle de contas cada vez maiores, com até milhões de seguidores com intuito de tirar vantagem de sua influência e alcance, afetando também, por meio de diferentes táticas, os milhões de usuários que seguem essas contas”, afirma Aloísio Marinho, Sales Engineer da Trend Micro.

O ataque começa com um esquema clássico de phishing para fisgar a vítima: um email falso fingindo ser do Instagram. O email estimula a possível vítima a confirmar a conta para receber o selo Verificado do perfil do usuário do Instagram. Note que o Instagram tem requisitos específicos e o processo de verificação acontece somente depois que um usuário solicitar, além de não pedir credenciais.

Depois disso, um link é enviado e o domínio pede informações pessoais da vítima. Assim que o invasor tiver acesso ao perfil do Instagram da vítima e ao email relacionado à conta, ele pode modificar as informações necessárias para ter acesso à conta roubada. Uma vez enviadas as informações, uma notificação de selo aparece, mas por apenas quatro segundos. Esse é um truque para dar aos usuários a impressão de que o perfil deles foi verificado.

“As imitações de e-mails sempre tentam parecer legítimas, se aproveitando da engenharia social e, nesse caso, do desejo de receber o selo de verificação no perfil, para enganar os usuários”, afirma Aloísio.

Como dica, é importante que os usuários devam sempre se atentar ao uso de domínios que não sejam da própria rede social, estilos de fontes duvidosos, gramáticas e pontuações incorretas e emails que pedem credenciais, pois as redes sociais nunca as solicitam fora de suas páginas de login reais e seguras.

A Trend Micro enviou os casos para o Facebook e Instagram, mas não obteve resposta até o momento.

Fonte: Tecmundo

Campanha de phishing ameaça usuários de instituições financeiras

Uma campanha massiva de phishing com objetivo de disseminar malware, que mira o roubo de credenciais de clientes de instituições financeiras e de corretoras de criptomoedas, foi identificada recentemente pela equipe de Threat Intelligence da Tempest. Segundo a companhia, após analisar o modus operandi dessa campanha, foi possível identificar outras 12 iniciativas que, apesar de disseminarem malwares distintos, usam métodos bastante semelhantes para o envio em massa de spam, além de possuírem características quase idênticas na construção dos e-mails de phishing.

O número de vítimas envolvidas nas campanhas detectadas pela Tempest subiu de aproximadamente 9 mil, em 14 de janeiro, para mais de 61 mil (das quais mais de 60 mil estão no Brasil) em um monitoramento realizado no dia 28 de janeiro. E hoje já passam de 120 mil vítimas, sendo que mais de 100 mil estão no país.

A similaridade nos métodos de envio de spam e de construção dos e-mails de phishing foi o que chamou a atenção dos pesquisadores da Tempest para estas campanhas. O fato pode indicar que um único serviço com recursos avançados para o envio de spam esteja sendo utilizado por criminosos para alavancar diferentes campanhas de phishing.

Os honeypots da Tempest identificaram mais de 800 e-mails de phishing que utilizavam os mesmos servidores para o envio de spam. Esses servidores totalizaram 192 hosts, vinculados a 37 domínios distintos.

Todos os e-mails analisados utilizavam um script chamado javali.php, um código gratuito e facilmente encontrado na Internet que é utilizado para o envio de e-mails a partir de um terminal de comandos shell. Após analisar esse código, foram identificadas duas características que comprovam sua utilização nessas campanhas. A primeira é o parâmetro X-Mailer, que identifica a versão do software de e-mail que supostamente enviou o phishing. A segunda é um número randômico que o script aplica ao assunto do e-mail atribuindo um tipo de identificação. Essas características podem ser observadas sendo aplicadas no assunto da mensagem.

O mote da engenharia social utilizada nas campanhas varia, de acordo com a Tempest. No entanto, o intuito permanece o mesmo: tentar amedrontar a vítima para persuadi-la a executar um artefato malicioso. Entre os exemplos estão alertas de que a vítima está em situação de inadimplência, que seu histórico de mensagens do WhatsApp foi vazado, entre outros.

Apesar da grande atividade identificada recentemente, acredita-se que este ator ou grupo está ativo há bastante tempo. Pesquisa de novembro de 2018 publicou a análise de um malware focado em alvos no Brasil que se baseava em campanhas de disseminação muito semelhante a essa. Além disso, a Tempest afirma ter identificado que alguns dos domínios envolvidos nestas campanhas estão ativos desde junho de 2018, o que pode representar um número maior de vítimas.

Fonte: itmidia

Falha no Chrome possibilita a terceiros vasculhar arquivos no PC

A Google revelou no dia 06 de março uma vulnerabilidade no navegador Chrome que praticamente abria as portas do computador para um hacker malicioso.

A Google já corrigiu a brecha e todos os navegadores devem estar atualizados com a última versão disponível.

A vulnerabilidade zero-day (CVE-2019-5786) foi corrigida na versão 72.0.3626.121 do Chrome. Segundo anúncio da empresa, a falha já estava sendo explorada por atacantes antes da correção — por isso, garanta que seu Chrome está atualizando em ‘Menu’, ‘Ajuda’ e ‘Sobre o Google Chrome”.

Confira agora se o seu Chrome está com a última versão instalada

Segundo a empresa, a vulnerabilidade é um erro no gerenciamento de memória do FileReader no Chrome. O FileReader é a API responsável por permitir que aplicativos web acessem o conteúdo de arquivos armazenados no computador de um usuário. A brecha vinha acontecendo quando um app web tentava acessar a memória após ler liberado ou apagado da memória alocada do Chrome.

Com esta brecha, cibercriminosos poderiam escalar privilégios dentro do sistema operacional e ler o conteúdo de arquivos no computador de uma vítima. Ou seja: tudo que é mais pessoal e sensível.

Ainda não foram divulgados muitos detalhes sobre a vulnerabilidade. A Google já atualizou automaticamente os navegadores Chrome, contudo, garanta que o seu aparece com a mesma versão abaixo — se não aparecer, faça uma atualização na página oficial do Chrome.

Fonte: Tecmundo

Novo malware atinge 20 mil usuários do Android

Um malware inédito no Brasil foi identificado pela Diebold Nixdorf em fevereiro. Segundo relatório da companhia que atua na prevenção de fraudes, o chamado RAT (Remote Access Trojan) opera em dispositivos móveis Android e se utiliza de técnica em que o atacante navega e realiza as transações diretamente no dispositivo móvel do usuário.

Ao infectar um dispositivo, o fraudador tem como principal objetivo se passar pelo cliente e realizar transações eletrônicas nos aplicativos de bancos enquanto o usuário não está com a atenção voltada ao celular. Todo processo de navegação, autenticação e inserção das transações acontece sem qualquer interação física do aparelho, de forma remota e controlada pelo atacante.

Segundo a Diebold Nixdorf, o malware possibilita uma visualização e controle total do dispositivo da vítima por meio de permissão de acessibilidade, concedida pelo usuário no momento da instalação do aplicativo. Uma vez com a permissão, o software concede a si mesmo outras permissões necessárias para executar as demais tarefas a qual se propõe, inclusive a própria senha de desbloqueio do aparelho.

Para não chamar a atenção, o criminoso inicia a fraude e controla o dispositivo quando o usuário não está utilizando o aparelho. Os hackers ainda conseguem ativar o modo silencioso do aparelho e escurecem a tela em 90% para que a pessoa não veja o acesso remoto acontecendo. Para apagar vestígios, o malware ainda pode ser desinstalado de maneira remota após a fraude.

Como o malware chega aos usuários

Durante os processos de análise e engenharia reversa realizados pela área de Online Fraud Detection (OFD) da Diebold Nixdorf, foi possível identificar que o processo de disseminação do Malware se dá por meio de spam e via anúncios pagos pelos criminosos. Na maioria das vezes o acesso se dá por anúncios de atualização do aplicativo WhatsApp ou propaganda de retrospectivas.

Uma vez com controle total do dispositivo, o criminoso pode facilmente navegar pelos aplicativos de mensagem instantânea e disseminar o link para download do aplicativo falso, se passando pelo próprio usuário como se fosse uma recomendação pessoal enviada em sua rede de contatos.

Como se proteger

Especialistas da Diebold Nixdorf detectaram 20 mil instalações no Brasil que já impactaram usuários de aplicativos de grandes bancos no país. Para evitar cair em uma fraude como essa, os profissionais recomendam algumas atitudes:

Fique atento com links encaminhados via aplicativos de mensagens. Cheque sempre a fonte daquela informação e pesquise sobre a veracidade da informação antes de realizar qualquer download.

Não baixe e nem instale softwares e/ou aplicativos desconhecidos – existem diversos programas na internet que prometem melhorar a eficiência de seus dispositivos, porém, pode se tratar de programas espiões.

Tenha um software antivírus instalado e sempre atualizado – seja no seu computador ou celular.

Fonte: itmídia

Cuidado com apps falsos de CNH digital

Aplicativos que tentam se passar por CNH (Carteira Nacional de Habilitação) digital e outros que oferecem consulta ao IPVA 2019 são, na verdade, programas maliciosos que infectam os smartphones das vítimas.

Eles são oferecidos na loja oficial da Google para celulares Android.

Os apps levam nomes como “CNH Digital”, “Consulta IPVA” e “IPVA São Paulo”, oferecidos por um suposto “Ministério da Tecnologia” —o Brasil nem tem uma pasta com esse nome, a real se chama Ministério da Ciência, Tecnologia, Inovações e Comunicações.

Eles foram retirados do ar após os autores da matéria perguntarem à Google se eles seriam excluídos.

Procurada, a Google não respondeu o que aconteceria com usuários que já haviam baixado o aplicativo.

De acordo com a Kaspersky Lab, empresa de cibersegurança que identificou o problema, os apps maliciosos são oferecidos ao público desde dezembro e infectaram mais de 17 mil smartphones.

Ao serem instalados, esses aplicativos ativam um adware, programa malicioso que apresenta propagandas invasivas e indesejadas. Nesse caso em particular, elas são abertas ocupando toda a tela do celular.

Adwares também consomem internet e bateria do aparelho, e podem explorar dados pessoais. Tudo sem oferecer nenhuma utilidade prática ao usuário.

Proteção

Para evitar cair nesse tipo de golpe, a dica é acessar os sites oficiais das empresas e órgãos públicos para encontrar a versão correta dos aplicativos desejados.

Além disso, antivírus podem identificar essas ameaças e barrá-las antes que façam algum mal.

A versão oficial da CNH digital se chama “Carteira Digital de Trânsito”. Ele traz a carteira de habilitação e o CRLV (Certificado de registro e licenciamento de veículo). O serviço é oferecido gratuitamente pelo Serpro (Serviço Federal de Processamento de Dados) para Android e iPhone nas respectivas lojas oficiais de aplicativos.

No menu do app Carteira Digital de Trânsito é possível encontrar um tutorial com o passo a passo para obter a CNH digital —essa, livre de vírus.

No caso do IPVA de 2019 em São Paulo, Secretaria da Fazenda e Planejamento do estado informa que a consulta só é possível pelo site da pasta ou pela rede bancária autorizada. São necessários o Renavam e a placa do veículo.

Os aplicativos oficiais do governo do Estado de São Paulo estão disponíveis no “SP Serviços”.

Fonte: Folha