Campanha de phishing ameaça usuários de instituições financeiras

Uma campanha massiva de phishing com objetivo de disseminar malware, que mira o roubo de credenciais de clientes de instituições financeiras e de corretoras de criptomoedas, foi identificada recentemente pela equipe de Threat Intelligence da Tempest. Segundo a companhia, após analisar o modus operandi dessa campanha, foi possível identificar outras 12 iniciativas que, apesar de disseminarem malwares distintos, usam métodos bastante semelhantes para o envio em massa de spam, além de possuírem características quase idênticas na construção dos e-mails de phishing.

O número de vítimas envolvidas nas campanhas detectadas pela Tempest subiu de aproximadamente 9 mil, em 14 de janeiro, para mais de 61 mil (das quais mais de 60 mil estão no Brasil) em um monitoramento realizado no dia 28 de janeiro. E hoje já passam de 120 mil vítimas, sendo que mais de 100 mil estão no país.

A similaridade nos métodos de envio de spam e de construção dos e-mails de phishing foi o que chamou a atenção dos pesquisadores da Tempest para estas campanhas. O fato pode indicar que um único serviço com recursos avançados para o envio de spam esteja sendo utilizado por criminosos para alavancar diferentes campanhas de phishing.

Os honeypots da Tempest identificaram mais de 800 e-mails de phishing que utilizavam os mesmos servidores para o envio de spam. Esses servidores totalizaram 192 hosts, vinculados a 37 domínios distintos.

Todos os e-mails analisados utilizavam um script chamado javali.php, um código gratuito e facilmente encontrado na Internet que é utilizado para o envio de e-mails a partir de um terminal de comandos shell. Após analisar esse código, foram identificadas duas características que comprovam sua utilização nessas campanhas. A primeira é o parâmetro X-Mailer, que identifica a versão do software de e-mail que supostamente enviou o phishing. A segunda é um número randômico que o script aplica ao assunto do e-mail atribuindo um tipo de identificação. Essas características podem ser observadas sendo aplicadas no assunto da mensagem.

O mote da engenharia social utilizada nas campanhas varia, de acordo com a Tempest. No entanto, o intuito permanece o mesmo: tentar amedrontar a vítima para persuadi-la a executar um artefato malicioso. Entre os exemplos estão alertas de que a vítima está em situação de inadimplência, que seu histórico de mensagens do WhatsApp foi vazado, entre outros.

Apesar da grande atividade identificada recentemente, acredita-se que este ator ou grupo está ativo há bastante tempo. Pesquisa de novembro de 2018 publicou a análise de um malware focado em alvos no Brasil que se baseava em campanhas de disseminação muito semelhante a essa. Além disso, a Tempest afirma ter identificado que alguns dos domínios envolvidos nestas campanhas estão ativos desde junho de 2018, o que pode representar um número maior de vítimas.

Fonte: itmidia

Tem Instagram? Cuidado com este e-mail

Uma nova campanha de phishing busca roubar contas no Instagram de usuários para depois pedir resgate, alertou a empresa de cibersegurança Kaspersky Lab. Segundo a companhia, a campanha fraudulenta foi identificada na América Latina e atua disfarçada como uma mensagem do Instagram e faz alusão ao fato de que a conta do usuário foi hackeada para chamar a atenção.

Utilizando a técnica de phishing em e-mails, os cibercriminosos enviam a mensagem em nome do departamento de segurança da rede social e relatam uma suposta modificação do número de telefone associado à conta e convidam a vítima a reverter a alteração acessando um link.

De acordo com a Kaspersky, com esses dados, eles assumem o controle da conta para extorqui-lo, exigindo uma quantia para recuperá-la ou para espalhar conteúdo malicioso, phishing e spam. Ao clicar, a vítima chega a uma página que está otimizada para dispositivos móveis e é solicitado a inserção das credenciais no Instagram. Ao fazê-lo, o usuário estará transferindo suas informações para os cibercriminosos que estão por trás desta campanha.

“Isso é especialmente preocupante porque o Instagram não é apenas uma das redes sociais mais populares do mundo, mas também a fonte de renda para muitos empreendedores, influenciadores, modelos e celebridades”, reforçou a Kaspersky em comunicado.

A estrutura do golpe

Campanhas fraudulentas tendem vitimar os mais desatentos. Isso porque ao analisar os detalhes do e-mail associado à campanha que tem como mote o Instagram, pode-se notar que ele vem de um endereço do Gmail – helpininstagramsecureservice@gmail.com – que não tem nada a ver com a rede social. Além disso, o link incluído no e-mail para “reverter” as alterações leva o usuário a um domínio que também não está associado ao Instagram.

“A popularidade das redes sociais e as más práticas online dos usuários permitem que esse tipo de ataque básico gere bons resultados para os cibercriminosos”, diz Dmitry Bestuzhev, diretor do grupo de pesquisa e análise da Kaspersky Lab para América Latina. “Neste caso, o invasor investiu apenas um dólar para hospedar servidores virtuais que permitem abrir contas a preços baixos e, assim, lançar esse tipo de campanha de maneira eficiente e anônima.”

Como se prevenir

Não clique em links suspeitos. Caso o usuário tenha dúvidas sobre o link incluído em um e-mail, acesse o site oficial da empresa e procure informações relevantes;

Sempre verifique a URL na barra de endereços da página web. Se, em vez disso, o Instagram.com aparecer como o 1stogram.com, deixe-o lá e evite inserir informações pessoais nesse tipo de página;

Faça o download do aplicativo em lojas oficiais, como o Google Play para Android ou App Store para iOS;

Não use seus dados de login para autenticação em serviços e aplicativos de terceiros;

Use uma solução de segurança que proteja seus dispositivos.

Fonte: itmidia

Campanha com falsos descontos em lojas virtuais busca enganar brasileiros

Uma nova campanha maliciosa promete falsos descontos em grandes sites de e-commerce para enganar usuários no Brasil. Segundo a empresa de segurança Psafe, os cupons falsos compartilhados pelos criminosos prometem a chance do usuário ganhar um cupom de desconto de 2 mil reais em lojas como Extra, Americanas.com, Casas Bahia e Dafiti.

Para ter a chance de concorrer ao suposto cupom de desconto (veja exemplo abaixo), a vítima precisa fornecer informações pessoais, que incluem nome, CPF, data de nascimento, e-mail e até endereço, para os hackers, que então podem usar esses dados em diferentes golpes.

Depois de passar essas informações para cibercriminosos sem saber, o usuário precisa responder a mais algumas perguntas, como: “Você quer ganhar dinheiro com seu carro?”. Dependendo da opção selecionada, ele é direcionado para páginas maliciosas de terceiros. A cada acesso, os hackers ganham dinheiro das vítimas.

Caso o usuário não clique em nenhum critério de perguntas do site, então ele é instruído a cadastrar seu celular em um serviço de SMS pago, o que também lhe causará prejuízo financeiro.

De acordo com os pesquisadores da PSafe, os hackers responsáveis pelo golpe em questão cadastraram os sites contendo a fraude em blogs, aplicativos e sites de conteúdo adulto.

“Identificamos que os hackers criaram mais de 1.000 sites diferentes contendo esse golpe para dificultar o bloqueio. Caso algum deles seja denunciado, há outros funcionando e impactando ainda mais usuários. Além disso, eles se aproveitaram da popularidade de grandes marcas para atrair as vítimas”, explica o gerente de Segurança da Psafe, Emilio Simoni.

Para evitar cair em golpes do tipo, vale ficar de olho e seguir as dicas abaixo da PSafe.

Desconfie de promoções exageradas

Quando a promoção não for anunciada nos canais oficiais da marca ou redirecionar o usuário para outras páginas, desconfie. Se mesmo assim quiser participar, certifique-se de que a promoção é real, ao entrar em contato diretamente com a empresa. Nunca disponibilize dados pessoais ou propague links antes de fazer esta checagem.

Tenha uma solução de segurança instalada

O antivírus no celular funciona como uma barreira de segurança para garantir a privacidade dos seus arquivos e impedir que os hackers tenham acesso ao seu aparelho. E existem muitos antivírus, muitos deles gratuitos, que oferecem excelente nível de proteção.

Foi afetado? Evite o prejuízo

Caso o usuário ainda não tenha um antivírus instalado no celular e tenha caído no golpe, ele deve desinstalar o app malicioso, baixar um antivírus e fazer uma varredura. Caso tenha sido cadastrado em algum programa pago de SMS, deve entrar em contato com a operadora e solicitar o cancelamento do falso serviço.

Fonte: IDGNow!