Crackers usam nova técnica para roubar caixas eletrônicos

Um caixa eletrônico vazio: sem sinal de dinheiro, nem vírus, com ausência também de vestígios de intervenção física bruta (como a quebra do gabinete ou até mesmo as já tradicionais explosões que obrigaram bancos a usar uma tinta especial para manchar as notas). O mistério sobre como as notas desapareceram torna o roubo um sucesso e também uma dor de cabeça para especialistas em segurança.

Segundo a Kaspersky Lab, foram necessárias cinco semanas de trabalho em laboratório com engenharia reversa para entender as ferramentas usadas pelos criminosos e reproduzir o ataque que resultou na descoberta de uma violação de segurança em caixas eletrônicos usados pela instituição bancária — que pediu sigilo de alguns detalhes, como os fabricantes das máquinas de autoatendimento (ATM) ou o nome do banco que sofreu o roubo.

Durante o Security Analyst Summit (SAS), evento que acontece nos dias 3 e 4 de abril, na Ilha de São Martinho (Caribe), especialistas da Kaspersky aprofundaram os resultados da análise e mostraram que os criminosos se conectam com computadores das empresas bancárias para acionar funções dos caixas remotamente. A conexão com a máquina é feita via hardware — ao todo, o valor de um kit com uma pequena placa matriz, um teclado sem fio com um dongle USB/Bluetooth e uma bateria custa menos que US$ 15.

Para tudo dar certo, é necessário fazer um furo simples e pequeno suficiente para introduzir o acessório dentro do gabinete, sem causar muitos danos aparentes ou ativar alertas de violação comuns em golpes mais tradicionais que usam malwares. Para disfarçar a intervenção, criminosos podem cobrir os buracos com adesivos ou mesmo deixar fios expostos, já que muitas das máquinas são antigas e estão em uso desde 1990.

Os caixas eletrônicos têm sido alvo de todos os tipos de golpes. Desprotegidos à noite, viram presa fácil de quem domina intervenções de hardware. Tal crime foi visto apenas duas vezes: uma no Cazaquistão e outra na Rússia.

Como funciona?

O acesso remoto é feito a partir de um teclado de notebook ou via Bluetooth, e executado com ajuda da placa dentro do caixa eletrônico. O pacote sem cabos e conexões externas permite aos invasores digitar uma lista de comandos que começa com a coleta de informações sobre o número de notas disponíveis para o saque. Com esse dado em mãos, o golpe ainda permite aos criminosos sacar o dinheiro a qualquer momento desde que o kit não seja descoberto e desfeito pelo banco alvo.

“Você pode fazer qualquer coisa com um computador, um cabo [ou Bluetooth] e um buraco no gabinete do caixa eletrônico. O caixa eletrônico vai aceitar todos os comandos e dispensar dinheiro de forma simples, usando apenas um microcomputador”, explica o analista de segurança Sergey Golovanov. Neste caso, a solução é desfazer a gambiarra do ladrão, já que não é possível, via software, bloquear as ordens enviadas pelo computador do invasor.

Golovalov e o também pesquisador Igor Soumenkov mostraram em um vídeo como é rápido liberar as notas após a instalação do kit e executando os comandos necessários. A rapidez do processo deixou os participantes do evento alarmados. Foi mais veloz que uma operação tradicional feita por um cliente comum.

A lição é de que, ainda que a proteção via software seja mais complexa, fica evidente a necessidade de uma segurança maior para os caixas eletrônicos a fim de evitar intervenções físicas que dispensam vírus. A prisão desse tipo de cibercriminoso que trabalha com hardware, sem rastreio da ação — já que não há transação bancária online — só ocorre com acompanhamento das câmeras de vigilância local e trabalho policial.

Fonte: Techtudo

Troca de cores no WhatsApp – Cuidado!!! – é golpe

whatsapp_coresSegundo a PSafe, os crackers disseminam um link falso com a promessa de alterar a cor do WhatsApp. Assim, os bandidos induzem os usuários a compartilhar e realizar o download de aplicativos maliciosos.
A ferramenta usada pelos hackers simula o site do próprio mensageiro e apresenta uma página de “verificação de usuário”. Para dar prosseguimento, é necessário compartilhar o link com dez amigos e dois grupos diferentes. Feito isso, outra tela é exibida e pede para que a pessoa realize o download de apps, que não necessariamente contêm vírus. A cada aplicativo instalado nos celulares, os hackers recebem dinheiro.

É sempre oportuno lembrar o quanto é importante e fundamental manter um antivírus atualizado no smartphone, desconfiar de novas funções ativadas por links e utilizar apenas redes de internet protegidas por senha.

Fonte: Tecmundo

Mega sofre ataque, é comprometido

megaQuando o serviço cloud Mega foi lançado, em 2013, possuía como lema ser uma “empresa da privacidade”, com a promessa de manter todos os arquivos e dados dos usuários criptografados e seguros. No entanto, isto não evita que o próprio sistema do serviço seja comprometido, como o que aparenta ter ocorrido esta semana.

De acordo com o portal TorrentFreak, o Mega foi recentemente alvo de ataques externos, que resultaram no roubo de uma parte do código fonte do site. Os crackers responsáveis pelo ataque dizem estarem de posse de informações associadas a alguns usuários do serviço. No total foram obtidos cerca de 2GB de informação, sendo que uma parte do mesmo já pode tere sido disponibilizado on-line, e a restante irá ser divulgada nos próximos dias.
Por entre o código fonte do site, é referido que existe também o código do Mega Chat e de outros serviços associados ao Mega.

Em comunicado, um porta voz do Mega já afirmou que o serviço foi, efetivamente, alvo de um ataque, mas que nenhum conteúdo pessoal tenha sido surrupiado. Em comunicado, a empresa afirma que os conteúdos são criptografados antes de serem armazenados nos servidores, de tal forma que qualquer conteúdo que tenha sido obtido pelos crackers seja impossível de ser aberto.

Porém, os crackers afirmam que, nos meandro da informação roubada, encontram-se alguns detalhes de usuários. Existe a possibilidade de uma parte desta informação vir a ser divulgada no futuro com algum tempo de aviso, mas por enquanto, apenas foram disponibilizadas partes do código fonte.
Segundo o porta-voz do Mega, o código fonte agora divulgado diz respeito a um sistema antigo, utilizado no blog, centro de ajuda e no sistema de tradução, não afetando diretamente o serviço e os usuários. Resta agora aguardar para ver qual das partes tem razão…

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Teugatech

Crackers usam celular para roubar R$ 7 milhões de caixas eletrônicos

ATMDois ou três crackers podem ter roubado mais de US$ 2 milhões (R$ 7 milhões) a partir de caixas eletrônicos usando nada mais que um smartphone. O ataque aconteceu no último domingo (17), em Taiwan, segundo informa o “The Register”. De acordo com a polícia, os criminosos invadiram dezenas de caixas da ATM, operados pelo banco First Bank, e usaram um “dispositivo conectado”, como um celular.

Os caixas da ATM, fabricados pela companhia alemã Wincor Nixdorf, já foram vítimas de um “ataque premeditado” – três tipos diferentes e não especificados de malware já foram encontrados no software das máquinas. Para Craig Young, um pesquisador da empresa Tripwire especializado em segurança, uma técnica demonstrada ainda em 2010 durante o Black Hat, nos EUA, pode ter sido usada pelos turistas supostamente russos, que deixaram o país asiático logo após o roubo.

“Alguns caixas eletrônicos contam com senhas-padrão conhecidas e, em muitos casos, os ladrões podem acessar portas USB para infectar a máquina com um malware a partir de uma unidade flash. A julgar pela descrição do crime, os hackers provavelmente usaram um vírus que já tinha sido instalado, permitindo a conexão sem fio através de um ‘jackpot’ nas máquinas da ATM”, sugere Young.

Segundo a Wincor Nixdorf, “ataques premeditados” de fato já foram realizados sobre os terminais. Ainda conforme admite a fabricante, há indícios de que os caixas da ATM foram o ponto primário da infecção por malware. “Como a investigação ainda está sendo realizada, não podemos fornecer detalhes”, informou a companhia alemã, que enviou especialistas em segurança ao local dos ataques para auxiliar as autoridades taiwanesas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

iOS novamente vira alvo dos cibercriminosos

iphoneLembrando 2014 quando uma serie de indivíduos russos bloquearam remotamente alguns dispositivos iOS de usuários Australianos, e exigiram um resgate para desbloqueio de cerca de 100 USD.

Mais tarde, e ainda nesse ano, dois desses indivíduos foram presos, mas infelizmente este esquema de ataque está de volta. Desta vez, os usuários envolvidos são americanos. Ao que tudo parece, as contas iCloud envolvidas são cerca de 40 milhões, e os valores de resgate andam por volta dos 30-50 USD. Os resgates têm de ser pagos em 12h, caso contrário todo o conteúdo desses dispositivos será eliminado remotamente: essa é a ameaça.

Uma vez tendo acesso ao Apple ID, a partir daí será relativamente fácil eliminar o conteúdo dos dispositivos através do “Encontrar o meu iphone”, e depois colocá-lo em modo de “Perdido (Lost Mode)”. Depois será enviado através de uma mensagem para a tela do dispositivo, com o endereço de e-mail do cracker e com a informação de pagamento do resgate. Esta é o formato de funcionamento destes crimes.

Até ao momento ainda é desconhecido de que forma os crackers obtém acesso às contas iCloud. Na dúvida, o o melhor a fazer preventivamente é mesmo alterar a sua senha atual para uma outra que com maior grau de dificuldade para o caso de tentar ser descoberta.

A Apple inclusive já tem uma página de internet dedicada ao usuário que desconfia que a sua conta foi violada. Pode-se acessar a este endereço aqui https://support.apple.com/en-us/HT204145

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: tecnologia e TechnoBuffalo

Hackers: vilões ou mocinhos?

HackersPopularizado pela imprensa em reportagens sobre ataques virtuais e roubo de dados de internautas, o termo “hacker” ganhou uma conotação negativa, diferente de seu significado original. Muita gente não sabe, mas o termo surgiu para identificar a pessoa que entende muito de computação, um especialista em temas como programação e redes de computadores. Não havia relação inicial com o cibercrime.

Black Hats (crackers)

Com o intuito de diferenciar os “mocinhos dos vilões”, surgiram termos para identificar cada perfil de hacker, tendo como base suas ações. Para os representantes “do mal”, surgiram termos como “black hats” ou “crackers”, atribuídos a quem utiliza sua capacidade técnica para fins nocivos. É a categoria à qual a mídia deveria se referir quando escreve o termo hacker nas manchetes das reportagens sobre ciberataques.

Essa categoria tem como objetivo final a execução de crimes cibernéticos. Eis alguns de seus motivadores:

· Ganho financeiro, por meio de fraudes, espionagem ou roubo de informações e extorsões, como nos casos recentes de “ransomware”, ataques que sequestram dados importantes de pessoas e empresas, com o uso de criptografia e exigência de pagamento em dinheiro ou bitcoin (moeda virtual).

· Fama e reconhecimento por conta da descoberta de vulnerabilidades críticas em sistemas de uso em massa e criação de malwares que exploram tais vulnerabilidades, causando danos importantes para a sociedade.

· Outro tipo de crime cibernético mais avançado também tem como principal motivador o dinheiro, mas com características distintas dos ataques já citados. Normalmente, o alvo desse tipo de ataque é único e previamente estabelecido, um levantamento criterioso de dados desse alvo é realizado e o malware é criado de forma personalizada para atingir as vulnerabilidades encontradas, conhecidas atualmente como APTs (ameaças persistentes avançadas). Tais ataques podem levar mais de um ano entre a definição do alvo e a obtenção do resultado final, em que as vítimas normalmente são grandes empresas e instituições governamentais (ciberterrorismo).

Gray Hats

Outra categoria, denominada “gray hats”, é difícil de distinguir dos “black hats”, pois também realiza ações que podem ser consideradas crimes e atitudes antiéticas. O diferencial entre eles é que os ataques realizados pelos “gray hats” normalmente não são para ganhos pessoais, mas realizados, por exemplo, em favor de uma causa e/ou vingança (entre elas ideologias políticas ou religiosas). Conhecido hoje como hacktivismo, esse tipo de ataque utiliza técnicas como negação de serviço (DoS) e alteração de websites para causar constrangimento ou interromper atividades da empresa ao revelar ao mundo suas áreas sensíveis.

White Hats

E temos os “white hats”, que são hackers com capacidades técnicas equivalentes às dos “black hats” ou “crackers” e “gray hats”, que utilizam seus conhecimentos com ética e para boas causas, como, por exemplo, pesquisas acadêmicas e atividades profissionais. Empresas de segurança da informação contratam esse tipo de hacker para ofertar ao mercado consultorias avançadas de segurança em seus sistemas de tecnologia com o intuito de se proteger contra os “black” e “gray hats”.

Os “white hats”, como poucos imaginam, também realizam buscas por vulnerabilidades na Internet, com o objetivo de testar seus conhecimentos e tornar os sistemas mais seguros. No entanto, quando as encontram, são guiados pela ética e pelas boas práticas, notificando inicialmente o mantenedor da aplicação, e somente após a correção e notificação por parte do fornecedor recebem seus devidos créditos e reconhecimento da comunidade. Ou seja, um “hacker” também pode ser um cara legal e profissional.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa matéria.

Fonte: IDGNow!

Novo ransomware multidispositivos

ransomwareAnalistas e pesquisadores concordam que 2016 foi o ano no qual ransomwares tornaram-se protagonistas do cibercrime. Os responsáveis pelos ataques não precisaram de muito tempo para entender o lucro potencial dos cryptolockers. Para se ter uma ideia, pesquisadores do Cisco reportaram em 2015 que um único kit exploit Angler resultou em um lucro de 60 milhões de dólares, ou 5 milhões mensalmente!

A notória dupla do mercado atual de ransomwares – Petya e o Mischa, bem como seu parente distante, o Locky, – fazem vítimas em mais de 100 países. Recentemente, os hackers passaram a ter como foco empresas e organizações detentoras de dados valiosos. Explicamos aqui no blog como diversos hospitais nos EUA foram vítimas.

A ascenção dos cryptoworms

Na tentativa de obter o maior lucro possível, o mais rápido possível, os cibercriminosos procuram formas de expandir seus ataques. Campanhas maliciosas de spam ainda funcionam, mas não são tão eficientes como antes; com as ciberameaças recebendo cobertura midiática, usuários estão se tornando mais atentos e conhecendo os truques mais usados.

Outro desenvolvimento importante foi que navegadores e antivírus aprenderam a detectar e bloquear URLs maliciosas ou spams associados aos malwares. Em resposta, hackers mudaram a abordagem. Agora, têm usado métodos antigos nas campanhas de maior abrangência e campanhas eficientes: os bons e velhos worms.

Pesquisadores previram que a próxima geração de ransomwares serão os cryptoworms – híbrido venenoso de malware e ransomware com poder de propagação automático. Esse novo tipo de malware aproveita o melhor dos dois mundos para formar uma nova espécie que pode se copiar e distribuir por meio dos computadores infectados, encriptando e exigindo o resgate ao mesmo tempo.

O primeiro malware como esse, o SamSam, se infiltrava em diversas redes corporativas de computadores bem como no armazenamento em nuvem, contendo as cópias de backup.

ZCryptor

Recentemente, noticiamos aqui no blog que a Microsoft detectou uma nova amostra de cryptoworm, nomeado ZCryptor. Sua grande diferença é que encripta os arquivos e se auto-propaga para outros computadores e dispositivos de rede, sem usar spams maliciosos e exploit kits. O malware se copia em computadores conectados e dispositivos portáteis.

Para infectar a primeira vítima, o ZCryptor utiliza técnicas comuns, se mascarando como instalador de um programa conhecido (como o Adobe Flash), ou se infiltrando no sistema por meio de macros maliciosas em um arquivo do Microsoft Office.

Uma vez no sistema, o cryptoworm infecta dispositivos externos e pendrives com intuito de se distribuir para outros computadores, e é aí que encripta os arquivos. O ZCryptor pode bloquear mais de 80 formatos de arquivo (algumas fontes dizem ser 120), adicionando a extensão .zcrypt ao nome.

Depois disso, a história volta para um cenário já conhecido: usuários visualizam uma página em HTML, informando que seus arquivos foram bloqueados e serão liberados mediante pagamento de resgate – nesse caso, 1,2 bitcoin (por volta de 650 dólares). Se o usuário não pagar essa quantia em quatro dias, o resgate aumenta para 5 bitcoins (mais de 2500 dólares).

Infelizmente, especialistas não foram capazes de encontrar uma forma de desencriptar os arquivos e permitir que a vítima burle o pagamento do resgate. Assim, nesse caso, a única opção razoável de proteção é ser extremamente cuidadoso e evitar a infecção.

Como se proteger

Se você quiser evitar um ataque do ZCryptor, siga essas dicas simples:

  • Atualize seu sistema operacional e programas regularmente, corrigindo as vulnerabilidades e prevenindo a difusão do cryptoworm pela rede.
  • Esteja sempre alerta e evite sites suspeitos; não abra anexos provenientes de fontes duvidosas. Em geral, respeite as regras básicas de higiene digital.
  • Desabilite macros do Microsoft Word – estão ganhando popularidade entre os cibercriminosos como meio de espalhar malware.
  • Faça backups rotineiros de seus arquivos e armazene uma cópia em um HD externo que não esteja conectado ao seu PC. Por mais que o backup não previna que o ransomware infecte seu sistema, é um meio de proteção sólida: se você tem seus dados em mãos, não há razão para pagar o resgate.
  • E claro, não esqueça de usar uma solução de segurança confiável.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog