Promoção imperdível para a copa na Rússia? Desconfie…

A Kaspersky Lab identificou uma nova campanha de phishing disseminada por e-mail com uma falsa promoção para a Copa do Mundo de Futebol, que ocorre a partir de junho na Rússia. O e-mail, escrito em português e direcionado para os usuários brasileiros, promete uma viagem exclusiva aos ganhadores da promoção com dez pacotes com tudo pago para assistir à uma partida de futebol.

Os usuários que recebem a falsa promoção intitulada #PartiuRússia são instigados a clicar em um link, que direciona para uma página com um formulário com o passo a passo. Nesta página, os clientes devem fornecer informações sobre seu cartão de crédito e informar se a bandeira é Visa Infinite ou Black.

Para executarem essa campanha de phishing, os cibercriminosos registraram um novo domínio que parece legítimo – o website conta com uma seção de Perguntas Frequentes, Como Participar, bem como descrição dos prêmios – porém todo o conteúdo no servidor da Web não passa de uma fraude. Além das informações do cartão de crédito, os cibercriminosos roubam informações pessoais da vítima, como data de nascimento, CPF, entre outros – como na imagem abaixo.

“Mais uma vez fica claro como os cibercriminosos brasileiros têm utilizado campanhas de phishing com assuntos atuais para atrair cada vez mais vítimas. Por ser um país grande e com muitos usuários online, o Brasil é muito visado, o que aumenta a disseminação de campanhas maliciosas de uma forma fácil e rápida”, diz Thiago Marques, analista de segurança da Kaspersky Lab.

A campanha maliciosa é bem agressiva e está direcionada especificamente para vítimas brasileiras que estejam morando no País ou ligadas a ele de alguma forma.

Recomendações

Para evitar cair em golpes que prometem viagens, descontos e promoções, a Kaspersky Lab recomenda:

Desconfie de links recebidos

Mesmo que a conversa não seja com um desconhecido, é preciso duvidar da veracidade da mensagem, ainda mais se inclui uma promoção; procure sempre confirmar no site oficial da empresa qualquer informação.

Cuidado com o mouse (ou o touch)

Nunca clique em links de e-mails suspeitos, banners em sites ou acesse sites desconhecidos. Quando você tiver que visitar um banco on-line ou uma loja de varejo, digite manualmente o URL em vez de clicar em um link.

Tenha uma solução de segurança robusta no seu celular e outros dispositivos

Usar um software, como o Kaspersky Internet Security, que irá bloquear o acesso aos sites maliciosos, scripts que tentam alterar seu roteador e assim você terá uma navegação mais tranquila.

Notificações

Não autorize as notificações em qualquer website, mesmo que a pergunta não seja relacionada a isso. Revise sempre as configurações avançadas no seu navegador, seja no desktop ou smartphone e remova os sites desconhecidos que estão autorizados a emitir notificações.

Fonte: Computer World

Cuidado com mensagens de SMS falsificadas

sms_spoofingInegavelmente desde o uso massivo da Internet nos smartphones, a quantidade de mensagens de texto (SMS) que são enviadas e recebidas tem diminuído de forma significativa, enquanto os usuários estão cada vez mais voltados às plataformas online. No entanto, ainda continuam sendo uma ferramenta usada, mas pouco sabemos sobre os aspectos de segurança e autenticidade da origem dessas mensagens.
Como já dito em outras ocasiões, os cibercriminosos estão se profissionalizando, acompanhando os avanços tecnológicos e inovando com o uso de diferentes técnicas e canais. A capacidade do spoofing SMS (falsificação do SMS) é um claro exemplo de como os cibercriminosos utilizam tecnologias emergentes para realizar os métodos de Engenharia Social como a antiga, mas vigente, técnica de falsificação de identidade em emails.

O que é o spoofing do SMS?

Como já adiantamos, o spoofing SMS é o envio de mensagens de texto sem uma verdadeira origem, o que significa que o cibercriminoso falsifica ou torna anônimo o endereço do remetente. Muitas vezes esse processo é utilizado para o envio de campanhas publicitárias, embora em muitos países esse tipo de publicidade seja ilegal.
Como consequência, os fornecedores de serviços telefônicos começaram a filtrar estas mensagens; no entanto, estas técnicas ainda continuam vigentes no mundo do cibercrime.
O spoofing SMS funciona em todo o mundo e em quase todas as redes móveis. Europa e Austrália são dois dos lugares onde é mais fácil falsificar mensagens SMS. Em troca, nos Estados Unidos ou Canadá são provavelmente os países onde, por protocolos de segurança, é bem mais difícil falsificar mensagens aplicando as técnicas usuais.
Então, é possível receber mensagens de texto de um número conhecido sem que realmente esse número a tenha enviado?
Hoje em dia, a falsificação do SMS não é tão simples como era há alguns anos atrás. No entanto, navegando pela Internet é possível encontrar muitos serviços que por alguns centavos de dólar permitem este tipo de envio.

A efetividade da recepção da mensagem varia muito, considerando as tecnologias aplicadas no país e a companhia telefônica envolvida.
É necessário ter um cuidado muito especial ao utilizar estes serviços, pois muitos realmente não funcionam, são na realidade uma armadilha: apenas capturam um número de telefone válido para, em seguida, enviar spam. Deste modo, esse tipo de serviço é utilizado em muitas ocasiões para gerar bases de dados contendo números telefônicos válidos.
Também existem vários aplicativos tanto no Google Play como no Apple Store, que prometem aos usuários esse tipo de técnica, seja alterando a origem do SMS por um anônimo ou pelo número que o usuário deseje. Particularmente, este caso é mais crítico que o uso de serviços, pois é necessário instalar um tipo de aplicativo (que muitas vezes estão fora de lojas oficiais), correm muitos riscos de infectar-se com um malware.

O que acontece com o WhatsApp ou Telegram?

Nestas plataformas também existe a possibilidade de aplicar técnicas semelhantes, embora com certeza são ataques tecnicamente mais complexos: estão relacionados com ataques Man–In–The-Middle (MITM), a obtenção do IMEI e algumas claves do usuário.
Apesar desse tipo de ataque ser possível, é pouco provável ser vítima destas técnicas, pois atualmente não se tem registro de casos na América Latina. Também se encontram serviços na Internet que tem muitas semelhanças com os mencionados anteriormente, relacionados ao SMS spoofing, que em muitos casos são apenas um meio para coletar números de telefones válidos.

Quais são os riscos de cair neste tipo de ataque?

Como você pode imaginar, estes ataques podem ser utilizados para realizar o roubo de identidade. Por exemplo, um atacante pode enviar mensagens de texto fazendo-se passar por sua operadora telefônica com o intuito de instalar algum programa ou te inscrever em algum serviço Premium (sem que você se dê conta) que podem gerar mais gastos imprevistos em sua fatura.
Além disso, também podem aplicar técnicas de Engenharia Reversa, onde o atacante se faz passar por uma entidade ou pessoa conhecida para realizar diferentes fraudes financeiras e, inclusive, propagar códigos maliciosos para telefones celulares ou trojanos no Android.
Por serem técnicas que exigem serviços de baixo custo, se tornou conveniente para os cibercriminosos utilizarem este tipo de propagação; por isso, é de vital importância estar atento ao receber um SMS estranho.

Como se proteger?

A principal medida neste caso é a educação e conscientização: conhecendo esse tipo de perigo e compartilhando essa informação, você terá uma das formas mais efetivas para evitar ser vítima de fraudes que existem por trás desse tipo de técnica.
Também é importante ter uma solução de segurança atualizada para dispositivos móveis e não responder mensagens estranhas oriundas de números desconhecidos.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ESET blog

Pais, prestem atenção aos games dos seus filhos

games_riscoParece que hoje em dia todas as coisas podem ser conectadas à Internet. Apesar dessa realidade já não ser novidade há algum tempo, novos dispositivos conectados surgem a cada dia. Será que os pais realmente sabem ou entendem quais aparelhos presentes em suas casas são habilitados para se conectar à Internet? E qual a implicação disso para a educação e bem estar de seus filhos?

Com uma média mundial de 5,7 equipamentos conectados por casa nos dias atuais (o que é mais do que a média de pessoas por casa), é importante prestar atenção à tecnologia a qual estamos submetendo nossos filhos. Isso inclui alguns dos aparelhos que nossos filhos mais amam (e que muitos pais odeiam) – sim, os videogames!

Em algum momento recente da história, grande parte das famílias colocou os consoles de games na lista de tecnologias de entretenimento em suas casas, geralmente sem considerar os conteúdos que podem ser acessados por esse aparelho ou o fato de que se trata de um dispositivo que pode ser conectado à Internet.

Vou contar minha própria experiência aqui – joguei recentemente o FIFA 2014 (indicado para maiores de três anos) com o meu filho, e enquanto esperávamos pelo carregamento do jogo começamos a ouvir a música de fundo. Fiquei surpreso ao perceber que a música continha linguagem inapropriada para menores de idade. Parecia apenas um inocente jogo de futebol, mas me chamou a atenção de uma forma totalmente diferente. Não é possível saber se a música foi colocada lá pelo jogo ou pelo console, mas nesse momento isso nem é o mais importante. Seria, sim, fundamental, que os responsáveis filtrassem esse tipo de conteúdo de acordo com a idade indicada para o jogo.

Claro que você pode, e deve, restringir certos aparelhos e acessos. Os fabricantes de jogos mais respeitados do mercado oferecem ferramentas de controle parental que você precisa conhecer e saber operar para manter seus filhos protegidos. Aqui está minha lista de configurações de segurança em quatro dos mais populares consoles à venda atualmente:

Sony PlayStation 4

O PS4 tem opções de configurações no menu principal, na linha superior. Ali, você verá a opção ‘Parental Controls’. Quando você ligar essas configurações ele te pedirá para atribuir um PIN de quatro dígitos para que você possa ativar as restrições instaladas. Se você tem filhos em idades diferentes, uma solução é configurar o ‘Sub-account Management’, que ativa diferentes níveis de restrições para cada um de seus filhos ou de grupos de idades. Mas na verdade, é mais fácil que todas as crianças dividam o mesmo perfil.

Sony PlayStation 3

O modelo mais antigo da Sony, o PS3, tem uma seleção de configurações (um pouco limitada, é verdade) em uma escala, mas ela faz apenas o trabalho básico. No menu principal você pode selecionar ‘Configurações’, e então ‘Configurações de Segurança’ e configurar o nível que você deseja definir. Você também pode desligar o navegador do PS3 se achar necessário – basta ativar isso no menu de configurações do próprio navegador.

Xbox One

A última versão do console da Microsoft tem suas características de segurança em um lugar semelhante: apenas siga as etapas ‘Configurações’, ‘Privacidade e segurança Online’ e então ‘Restrições de Conteúdo’. Aqui você poderá customizar os controles de segurança de acordo com o Entertainment Software Rating Board (ESRB) – o padrão de classificação da indústria para jogos – nas seguintes categorias: Primeira infância, todas as idades, todas as idades 10+, adolescentes, apenas adultos. O Xbox também oferece uma gama de configurações adicionais para que você possa ‘trancar’ certos aspectos dos jogos como compartilhamento de conteúdos, aplicativos, acesso a vídeos e trailers promocionais.

Xbox 360

O modelo mais antigo do Xbox tem opções mais limitadas de proteção, mas permite a configuração de acordo com as categorias (como descrito acima) pelo caminho ‘My Xbox’, ‘Configurações de família’.
Essas configurações podem te trazer um pouco mais de tranquilidade, mas fique atento: alguns jogos podem não ser reproduzidos após essas definições de restrições. Todos os jogos que têm indicação de idade acima da bloqueada não serão executados.

É importante que você esteja ciente do conteúdo que você está deixando seus filhos jogarem. A indicação de faixa etária é um guia tanto para você quanto para o seu filho. Embora você possa pensar que o conteúdo de um jogo é apropriado, na verdade você não sabe o que eles estão vivenciando de fato.

Meu conselho é: tome decisões bem embasadas, em vez de decisões baseadas na pressão que seus filhos irão fazer por jogar o game mais moderno do momento sem nenhuma restrição. Você, como pai, é responsável pela educação e proteção de seu filho, não seja negligente com isso, mesmo com o que pode parecer um simples lazer.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa matéria.

Fonte: AVG Winco