Clonagem de celular – ameaça ronda usuários brasileiros

O SIM swap, conhecido popularmente como “clonagem dos chips do celular”, é uma fraude que está sendo amplamente utilizada por cibercriminosos no País. Essa técnica é um recurso legítimo e utilizado quando um smartphone é perdido ou roubado, e permite ao dono da linha ativar o número em outro chip. Os golpistas, porém, estão constantemente enganando as operadoras de celular para fazer a portabilidade do número do dispositivo roubado para um novo chip. Uma investigação conjunta, entre a Kaspersky Lab e o CERT de Moçambique, descobriu que esse tipo de ataque é muito comum também no mundo todo, sendo usado pelos cibercriminosos não apenas para roubar credenciais e capturar senhas de uso único (OTPs) enviadas por SMS, mas também para roubar dinheiro das vítimas.
Os pagamentos móveis tornaram-se muito populares, especialmente em mercados emergentes, como África e América Latina, onde os consumidores podem facilmente depositar, sacar e pagar bens e serviços usando seus dispositivos móveis. Porém, eles também estão sendo alvos de uma onda de ataques, e as pessoas estão perdendo dinheiro em fraudes de clonagem de chips em grande escala.

Como funciona o golpe

O golpe começa com a coleta de dados das vítimas por meio de e-mails de phishing, engenharia social, vazamentos de dados ou até pela compra de informações de grupos criminosos organizados. Depois de obter os dados necessários, o cibercriminoso entra em contato com a operadora móvel, passando-se pela vítima, para que faça a portabilidade e ative o número do telefone no chip do fraudador. Quando isso acontece, o telefone da vítima perde a conexão (voz e dados) e o fraudador recebe todos os SMSs e chamadas de voz destinados à vítima. Assim, todos os serviços que dependem da autenticação de dois fatores ficam vulneráveis.

Para se ter uma ideia, somente no Brasil um grupo organizado de cibercriminosos conseguiu clonar o chip de 5 mil vítimas, envolvendo não apenas pessoas comuns, mas também políticos, ministros, governadores, celebridades e empresários famosos. Em Moçambique um golpe causou prejuízo de US$ 50 mil a um empresário, roubados de suas contas bancárias, já no Brasil foram identificadas diversas fraudes de R$ 10 mil cada. Porém, é difícil estimar o impacto total desse tipo de ataque na América Latina, África e no mundo, pois a maioria dos bancos não divulga as estatísticas publicamente.

Na África, o maior banco de Moçambique registrou uma média mensal de 17,2 casos de fraude por clonagem de chips. Tal situação levou bancos e operadoras no país a adotar uma solução simples, porém eficaz no combate à fraude. Eles desenvolveram um sistema integrado de consulta em tempo real que possibilitou zerar os casos de fraude no país.

A investigação também mostrou que, em alguns casos, o alvo pretendido é a própria operadora de celular. Isso acontece quando funcionários da operadora não conseguem identificar um documento fraudulento e permitem que o fraudador ative um novo chip. Outro grande problema são os funcionários corruptos, recrutados pelos cibercriminosos, que pagam de 40 a 150 reais por chip ativado. No entanto, o pior tipo de ataque ocorre quando um cibercriminoso envia um e-mail de phishing com o objetivo de roubar as credenciais do funcionário para ter acesso direto ao sistema da operadora. Quando isso acontece, o cibercriminoso consegue realizar um ataque em duas ou três horas sem muito esforço.

“O interesse dos cibercriminosos nas fraudes de SIM swap é tão grande que alguns até vendem este serviço para outros criminosos. Os fraudadores atiram em todas as direções; os ataques podem ser direcionados ou não, mas qualquer pessoa pode ser vítima. Tudo o que o criminoso precisa é do número do celular, que pode ser obtido facilmente pesquisando vazamentos de bancos de dados, comprando bancos de dados de empresas de marketing ou usando aplicativos que oferecem serviços de bloqueio de spam e identificação do chamador. Na maioria dos casos, é possível descobrir o número do seu celular com uma simples busca no Google”, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab e corresponsável pela pesquisa.

WhatsApp e fintechs

A técnica de clonagem de chips também gerou um novo tipo de ataque conhecido como ‘clonagem do WhatsApp’. Neste caso, depois da ativação do chip no celular do criminoso, ele carrega o WhatsApp para restaurar os chats e contatos da vítima no aplicativo. Então, manda mensagens para os contatos como se fosse a vítima, falando de uma emergência e pedindo dinheiro. Alguns dos ataques atingiram empresas depois que cibercriminosos conseguiram sequestrar o celular de um executivo e usaram a clonagem do WhatsApp para solicitar recursos do departamento financeiro da empresa. O golpe é semelhante ao comprometimento de e-mails corporativos (BEC), mas usando contas do WhatsApp.

De maneira semelhante, os cibercriminosos passaram a usar esta técnica para burlar os avanços no setor financeiro, incluindo de fintechs populares e assim esvaziar as contas bancárias das vítimas. Como a maioria dos aplicativos financeiros ainda depende da autenticação de dois fatores, os cibercriminosos conseguem usar a função de recuperação de senha do aplicativo para receber um código SMS e, assim, ter total controle sobre a conta do usuário e efetuar pagamentos ilegais usando o cartão de crédito registrado no aplicativo.

“Embora não haja uma solução milagrosa, a extinção da autenticação de dois fatores via SMS é o melhor caminho a seguir. Isso é particularmente verdadeiro quando falamos de Internet Banking. Quando os serviços financeiros pararem de usar esse tipo de autenticação, os golpistas irão focar em outras coisas, como redes sociais, serviços de e-mail e mensageiros instantâneos para continuar roubando”, conclui Assolini.

Como não ser vítima:

  • Quando possível, os usuários devem evitar usar a autenticação de dois fatores via SMS, optando por outros métodos, como a geração de uma autenticação única (OTP) via aplicativo móvel (como o Google Authenticator) ou o uso de um token físico. Infelizmente, alguns serviços online não apresentam alternativas. Nesse caso, o usuário precisa estar ciente dos riscos.
  • Quando é solicitada a troca do chip, as operadoras devem implementar uma mensagem automatizada que é enviada para o número do celular, alertando o proprietário de que houve uma solicitação de troca do chip e, caso ela não seja autorizada, o assinante deve entrar em contato com uma linha direta para fraudes. Isso não impedirá os sequestros, mas avisará o assinante para que ele possa responder o mais rápido possível em caso de atividades maliciosas. Caso a operadora não ofereça esse tipo de serviço, o usuário deve entrar em contato solicitando um posicionamento a respeito.
  • Para evitar o sequestro do WhatsApp, os usuários devem ativar a dupla autenticação (2FA) usando um PIN de seis dígitos no dispositivo, pois isso adiciona uma camada extra de segurança que não é tão fácil de burlar.
  • Solicite que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.
Fonte: Kaspersky

Cibercriminosos estão em campanha para hackear perfis com muitos seguidores no Instagram

Grupos de cibercriminosos estão com uma campanha para hackear perfis com muitos seguidores no Instagram. Segundo a Trend Micro, a campanha maliciosa se utiliza do golpe mais comum no Brasil: o phishing.

“Os pesquisadores [da Trend Micro] encontraram casos em que proprietários de perfis do Instagram com 15k a 70k seguidores foram hackeados e nunca recuperados. As vítimas variam de atores e cantores famosos a proprietários de empresas de startups”, diz a empresa.

Além de roubar a conta, os cibercriminosos também realizam extorsão digital. Ou seja: caso a vítima entre em contato com os atacantes, ela é forçada a comprar um resgate ou enviar fotos e vídeos nus para recuperar a conta, mas nunca recuperam o acesso.

É importante que os usuários devam sempre se atentar ao uso de domínios que não sejam da própria rede social

“Entretanto, os atacantes irão buscar tomar controle de contas cada vez maiores, com até milhões de seguidores com intuito de tirar vantagem de sua influência e alcance, afetando também, por meio de diferentes táticas, os milhões de usuários que seguem essas contas”, afirma Aloísio Marinho, Sales Engineer da Trend Micro.

O ataque começa com um esquema clássico de phishing para fisgar a vítima: um email falso fingindo ser do Instagram. O email estimula a possível vítima a confirmar a conta para receber o selo Verificado do perfil do usuário do Instagram. Note que o Instagram tem requisitos específicos e o processo de verificação acontece somente depois que um usuário solicitar, além de não pedir credenciais.

Depois disso, um link é enviado e o domínio pede informações pessoais da vítima. Assim que o invasor tiver acesso ao perfil do Instagram da vítima e ao email relacionado à conta, ele pode modificar as informações necessárias para ter acesso à conta roubada. Uma vez enviadas as informações, uma notificação de selo aparece, mas por apenas quatro segundos. Esse é um truque para dar aos usuários a impressão de que o perfil deles foi verificado.

“As imitações de e-mails sempre tentam parecer legítimas, se aproveitando da engenharia social e, nesse caso, do desejo de receber o selo de verificação no perfil, para enganar os usuários”, afirma Aloísio.

Como dica, é importante que os usuários devam sempre se atentar ao uso de domínios que não sejam da própria rede social, estilos de fontes duvidosos, gramáticas e pontuações incorretas e emails que pedem credenciais, pois as redes sociais nunca as solicitam fora de suas páginas de login reais e seguras.

A Trend Micro enviou os casos para o Facebook e Instagram, mas não obteve resposta até o momento.

Fonte: Tecmundo

Cibercriminosos usam Google Tradutor para aplicar golpes

Cibercriminosos estão usando o Google Tradutor para esconder links maliciosos na tentativa de enganar vítimas para, claro, roubar dados dos mais desatentos, alertou um pesquisador de segurança da Akamai.

A porta de entrada para os hackers é destravada por um e-mail phishing. E aqui não há nada de muito engenhoso para se fazer valer da sua atenção. Em post publicado no blog da Akamai, o pesquisador relata que ele recebeu um e-mail notificando que sua conta do Google havia sido acessada de um novo dispositivo Windows. “Como eu não lembrava de ter acessado nenhum novo aparelho, decidi abrir o e-mail para examinar mais de perto”, conta ele. Mas ao conectar em sua conta do Gmail em um desktop, logo ele percebeu sinais de que o aviso era falso.

O ataque

Ao abrir o e-mail, ao invés de direcionar o link diretamente para o domínio com intenções maliciosas, a mensagem leva supostamente para a página do Google Tradutor carregada dentro do próprio e-mail, onde será exibida a barra de tradução.

Segundo a Akamai, o golpe é bem mais convincente quando o usuário abre o e-mail a partir do smartphone, onde a tela de exibição tem seu espaço limitado. Entretanto, na versão móvel, toda a engenharia do phishing parece muito mais convincente.

“Usar o Google Tradutor dá uma série de coisas; ele preenche a barra de URL com muitos textos aleatórios, mas o mais importante é que a vítima logo vê um domínio legítimo do Google. Em alguns casos, esse truque ajudará o criminoso a desviar as defesas do ponto final”, reforça o pesquisador Larry Cashdollar.

Fazer-se valer de marcas e empresas conhecidas é um truque comum de phishing, e geralmente funciona se a vítima não estiver prestando atenção. “Os criminosos que realizam ataques de phishing querem jogar as pessoas para fora do jogo, para que usem o medo, a curiosidade ou até mesmo a falsa autoridade para fazer a vítima agir primeiro e questionar a situação mais tarde”, explica Larry. “Quando isso acontece, é inteiramente possível – esperado, em alguns casos – que a vítima não preste atenção aos pequenos detalhes que afastam o golpe. No meu caso, o atacante está usando uma mistura de curiosidade e medo. O medo de que minha conta seja comprometida e a curiosidade sobre quem fez isso”, alerta.

Como se proteger de um ataque phishing – A desconfiança no mundo online nunca é excessiva. Mas dada às campanhas cada vez mais sofisticadas dos meliantes da internet, filtrar um e-mail idôneo de um spam ambicioso tem se tornado quase um jogo de sete erros.

Por via das dúvidas, especialistas recomendam que você não clique em links de e-mails de remetentes desconhecidos. Em todo caso, separamos um guia com dicas que pode ajudar.

Fonte: itmídia

Cibercriminosos criam malware para roubo de criptomoedas

Os métodos de ataque que cibercriminosos de elite usam são muitas vezes tão sofisticados que até mesmo profissionais de cibersegurança têm grandes dificuldades em descobri-los. Há algum tempo, os especialistas da Kaspersky detectaram uma nova campanha de um grupo norte-coreano chamado Lazarus, reconhecido por seus ataques a Sony Pictures e várias instituições financeiras – um roubo de US$ 81 milhões de dólares do Banco Central da República Popular do Bangladesh, por exemplo.

Neste caso em particular, os invasores decidiram encher os bolsos com algumas criptomoedas. Para abrir as carteiras das vítimas, lançaram um malware nas redes corporativas de diversas exchanges de criptomoedas. Os criminosos confiaram no fator humano e foram recompensados.

Software de operações com uma atualização maliciosa

A penetração na rede começou com um e-mail. Pelo menos um dos funcionários da exchange recebeu uma oferta para instalar um aplicativo de operações financeiras, compra e venda de moedas virtuais chamado Celas Trade Pro, da Celas Limited. Um software como esse pode ser potencialmente útil para a empresa, considerando seu perfil corporativo.

A mensagem incluía um link para o site oficial do desenvolvedor, que parecia normal – tinha até um certificado SSL válido emitido pelo Comodo CA, um dos principais centros de certificação.

Fonte: Kaspersky

Apple vem se tornando mais atraente para cibercriminosos

As plataformas da Apple podem ser as mais seguras, mas isso está levando os cibercriminosos a formas mais complexas de invadir a segurança do iOS e do MacOS. Isso acontece porque as credenciais de usuários da Apple hackeadas estão entre as propriedades mais valiosas na Dark Web.

Um crime complexo

Para entender os ataques, primeiro, é preciso saber que as novas ameaças cibernéticas não se limitam a vírus, trojans ou ataques de malware irritantes. Os chefes de segurança das empresas estão se tornando cada vez mais conscientes de que segurança de rede, dispositivos, localização e usuários também devem ser vistos como parte do mix.

Tentativas de phishing, spoofing e multi-vetores complexos estão se tornando cada vez mais comuns, e a dark web é um grande reflexo do que está ocorrendo. Ataques mais convencionais também estão aumentando. Uma recente pesquisa da Malwarebytes afirmou que ataques de malware em Macs aumentaram 270% no ano passado.

Em resposta a novas ameaças sofisticadas, há uma crescente compreensão da necessidade de informações agrupadas e ferramentas sofisticadas de conscientização situacional.

Preço do ataque

O mais recente Índice de Preços no Mercado Dark Web da Top10VPN sugere que os usuários da Apple estão se tornando os alvos mais populares para criminosos. Em março, o índice informou que os dados da Apple ID são negociados por até US$ 15 por conta.

“Páginas de phishing prontas para IDs da Apple, junto com arquivos de configuração para crackers de senha, chegam ao dobro da taxa de US$ 2,07 cobrada para a grande maioria das outras marcas”, afirma o chefe de pesquisa da Top10VPN, Simon Migliano. A oferta e a demanda sugerem que, quando um exploit é criado e vendido, o mercado está interessado em gastar mais com a ferramenta, embora isso não signifique que ela seja boa.

Os criminosos têm acesso a uma variedade de ferramentas na deep web, que vão desde trojans de acesso remoto ou de clonagem de cartões até falsificação de torres de celulares e interceptar textos e chamadas de dispositivos de conexão. Para diminuir os ataques, pesquisadores de segurança observam o que está sendo vendido, para saber como os futuros ataques podem acontecer.

Ficar atento

O relatório sugere que, em vez de ataques baseados em plataforma, os cibercriminosos estão migrando para ataques baseados em confiança. Eles trabalham para persuadir os usuários a clicar em páginas aparentemente verdadeiras e a inserir dados bancários. A Apple sabe disso e, para ajudar a proteger os clientes, recentemente introduziu novas ferramentas de proteção contra phishing para Macs e dispositivos iOS.

Há uma tendência em que os hackers projetam ataques complexos e personalizados para cada pessoa, tentando estabelecer dados gerais suficientes através de uma sequência de ataques para penetrar sistemas corporativos.

Mas, apesar do crescente status da Apple como alvo, a empresa publica regularmente patches de segurança fáceis de instalar para todas as suas plataformas. Além disso, os casos de ataques de sucesso são historicamente baixos em comparação com soluções concorrentes.

Como, agora, os criminosos estão focados no usuário, algumas medidas podem ajudá-lo a não cair em uma armadilha:

– Usar segurança de dois fatores e senhas complexas;

– Nunca clicar em um link em um e-mail, a menos que realmente confie nele;

– Nunca fazer login em um serviço (como banco on-line) usando um link de e-mail;

– Evitar o uso de serviços confidenciais ou financeiros por meio de Wi-Fi público;

– Sempre alterar a senha do roteador para uma nova que seja pessoal para você – muitos roteadores/estações base Wi-Fi são fornecidos com uma senha padrão e são violados por criminosos cibernéticos.

– Familiarizar-se com os white papers de segurança da Apple, o guia de segurança do iOS, assim como o guia de segurança do macOS.

Fonte: IDGNow!

Crackers usam Netflix como isca para roubo de dados de cartão de crédito

Golpe é iniciado por um SMS que, uma vez aberto, leva para página que simula identidade visual da plataforma de streaming.

Os serviços de streaming já se tornaram favoritos nas famílias do mundo inteiro. Recentemente, uma pesquisa da consultoria financeira Cowen & Co apontou que, nos Estados Unidos, a Netflix já é maior do que todas as operadoras de TV a cabo. Serviços de streaming de música, como Spotify, também são amplamente utilizados e um dos atrativos para a grande utilização é o baixo custo.

Infelizmente, essa mudança de hábitos das famílias não está passando despercebida pelos cibercriminosos. Sabendo que milhões de pessoas mensalmente pagam suas contas de streaming por meios digitais, criminosos usam a criatividade para o mal e desenvolvem novos métodos para enganar e roubar as pessoas.

Aqui no Brasil, uma quadrilha de cibercriminosos está utilizando a popularidade do Netflix para roubar dados bancários, em especial o cartão de crédito das vítimas. O golpe é iniciado por um SMS.

Esse início de ataque é interessante porque mostra como eles estão atentos a todos os detalhes. Desde a popularização do Whatsapp, o SMS é uma ferramenta que deixou de ser usada para comunicação pessoal. A grande função do SMS hoje é basicamente receber informativos corporativos rápidos e códigos de acesso (tokens de banco, por exemplo).

O SMS é enviado pelo criminoso em nome da Netflix, avisando que a conta precisa ser recadastrada ou o serviço será interrompido. O usuário que estiver um pouco mais desatento rapidamente vai acessar o link disponibilizado pelo criminoso.

Nesse link há uma página com toda a identidade visual do Netflix, com formulários requerendo a confirmação de dados pessoais e, por fim, os dados do cartão de crédito usado para o pagamento do serviço. Munido desses dados, o criminoso pode facilmente realizar compras pelo cartão de crédito em qualquer loja virtual.

O Real Protect Security Red Team assim que teve acesso a esse golpe buscou meios de identificar a quadrilha e interromper os ataques. Foi possível derrubar o site usado para a aplicação dos golpes, assim como inutilizar a base de dados dos criminosos para evitar que eles pudessem realizar novos golpes contra as vítimas.

Mas essa é apenas uma ação, uma batalha vencida. A guerra, porém, continua. Por isso, os usuários devem estar sempre atentos e desconfiar sempre que for solicitado a informar seus dados pessoais, financeiros e senhas.

Fonte: IDGNow! 

Cibercriminosos atacam: 5 milhões de dados de cartões de crédito são roubados

As redes de lojas de departamento nos Estados Unidos Saks Fifth Avenue e Lord & Taylor sofreram uma violação de segurança que comprometeu as informações pessoais e financeiras dos compradores. Os hackers roubaram informações de cinco milhões de cartões de crédito e de débito em poder das lojas e liberaram para venda em fóruns na internet, de acordo com um anúncio publicado domingo pelo Gêmeos Advisory LLC, uma firma de segurança cibernética de Nova York.

Um porta-voz da Hudson’s Bay Co., proprietária das duas lojas de departamento, confirmou uma violação de segurança de dados envolvendo cartões de clientes da Saks Fifth Avenue, Saks Off 5 e da Lord & Taylor na América do Norte.

O porta-voz disse que não havia nenhuma indicação neste momento de que a violação havia afetado a sua operação de e-commerce, outras plataformas digitais como Gilt Groupe, ou outras bandeiras, incluindo a marca Hudson Bay no Canadá ou a Galeria Kaufhof na Alemanha.

“Nós identificamos a questão e tomamos medidas para contê-la”, disse o porta-voz, acrescentando que a empresa está trabalhando em coordenação com as autoridades policiais. Os clientes receberão serviços gratuitos de proteção de identidade, incluindo monitoramento de crédito e não serão responsabilizados por cobranças fraudulentas, disse ele.

Até agora, 125 mil cartões que tinham sido usados na Saks ou na Lord & Taylor foram liberados para venda, de acordo com a Gemini Advisory, e alguns foram usados recentemente, no mês passado, segundo uma fonte.

O grupo por trás do roubo é conhecido como JokerStash Syndicate ou Fin 7. O incidente é o mais recente em uma série de roubos de informações que comprometeram os dados do consumidor. Quase 148 milhões de EUA consumidores tiveram informações pessoais roubadas, incluindo partes de sua carteira de motorista, como parte de uma violação no ano passado de dados da Equifax Inc., uma empresa de classificação de risco de crédito.

Em 2014, cerca de 70 milhões de pessoas tiveram seu nome, endereço ou número de telefone violados na Target Corp. Outros varejistas, incluindo a Home Depot Inc. e a Neiman Marcus Group Ltd., também sofreram com roubos.

Fonte: Estadão