E-mails falsos causam prejuízo bilionário a cada ano

e-mails falsosOs golpes por e-mails que simulam compromissos comerciais, também conhecidos como fraude de CEOs, continuam a ser um transtorno para as empresas em 2016. Essas fraudes usam um artifício muito simples, que consiste no envio de falsos e-mails, em nome de CEOs, para a equipe financeira da empresa, solicitando transferências de grandes somas de dinheiro. Mesmo exigindo pouca experiência e habilidade, as recompensas financeiras para os cibercriminosos podem ser elevadas.

Em média, mais de 400 empresas são atingidas por esses golpes diariamente, nas quais pelo menos dois indivíduos – provavelmente da área financeira – receberão um e-mail falso, segundo pesquisa recente realizada pela Symantec. Empresas de pequeno e médio porte são as mais visadas pelos golpistas. Nelas trabalham 40% das vítimas. Em seguida, vem o setor financeiro, com 14% das vítimas.

Segundo dados do FBI, dos Estados Unidos, as organizações perderam mais de US$ 3 bilhões com esse tipo de golpe nos últimos três anos, com mais de 22 mil vítimas no mundo todo.

Embora existam diversos grupos por trás dos golpes, há um dominante, que é responsável por aproximadamente 12% dos e-mails falsos observados na pesquisa da Symantec. Nos últimos dois meses, esse grupo obteve acesso a pelo menos 68 contas de e-mails legítimos, direcionados a mais de 2,7 mil empresas, e usou 147 contas de e-mail para contatar as vítimas.

Horário de atividade dos cibercriminosos

Os cibercriminosos atuam basicamente de segunda a sexta-feira, em horário comercial, pois sabem que é neste período que a maioria das empresas trabalha e, mais importante, realiza as transações financeiras. O disparo de e-mails falsos começa por volta das 7h00 e vai até 18h00, com pausa no horário de almoço.

O conteúdo usado como chamariz é bastante simples e geralmente contém uma única palavra na linha de assunto: pedido, pagamento, urgente, transferência, pergunta. Dessa forma, os e-mails são menos propensos a levantar suspeitas e também mais difíceis de filtrar.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Symantec alerta: novo scam rouba senhas e e-mails

ScamA Norton emitiu nos últimos dias um alerta para um novo golpe que rouba credenciais de e-mail por meio do scam, prática que se baseia em induzir a vítima a fornecer suas informações pessoais.

Segundo a companhia de segurança, para efetuar o ataque, os cibercriminosos precisam apenas do endereço de e-mail e o número de telefone associado ao usuário, dados que podem ser obtidos com muita facilidade em redes sociais e em perfis de sites de empregos.

Com o e-mail e o telefone em mãos, o invasor tentará redefinir a senha de acesso e o sistema enviará automaticamente uma mensagem de texto ao celular da vítima com o código de verificação. Nesse momento, o criminoso se disfarça como o provedor de e-mail e solicita esse código também via mensagem de texto. Se a vítima fornecer o código, o criminoso pode alterar a senha ou mesmo adicionar um endereço alternativo sem o conhecimento do usuário, a fim de encaminhar cópias de todas as mensagens enviadas para esse endereço de e-mail.

Como evitar o scam

Ainda de acordo com a Norton, o scam usado pelos criminosos é bastante simples. Por esse motivo, a empresa afirma que ele pode ser evitado caso o usuário fique atento, já que os invasores geralmente não estão buscando dados financeiros, e sim pesquisando e rastreando detalhes sobre os seus alvos para futuros ataques maiores.

Para evitar cair em golpes como esse, a Norton sugere algumas medidas de segurança que você já deve conhecer. Sempre desconfie de mensagens de texto pedindo códigos de verificação de e-mails. Se você não tem certeza de que a solicitação é legítima, entre em contato com seu provedor diretamente. Além disso, use uma senha forte e diferente para cada uma das suas contas, pois isso reduz as chances de que seus dados pessoais sejam comprometidos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Gmail ganha reforço à segurança e privacidade

gmail
Novas medidas de segurança incluem recursos de navegação segura, padrões para mensagens criptografadas e proteção contra ataques patrocinados por Estados

O Google anunciou na última quinta-feira (24) recursos que reforçam a privacidade e a proteção de usuários do Gmail.

Por meio de post em seu blog, a companhia informou sobre a ampliação do recurso de navegação segura, implementação de padrões para envio de mensagens criptografadas e aumento na proteção contra ataques patrocinados por Estados.

O Gmail agora conta com um sistema de notificação para alertar usuários se eles estiverem sob o risco de abrir ou enviar e-mails para servidores inseguros. Caso um usuário lhe enviar um e-mail a partir de um servidor inseguro, um cadeado vermelho “destravado” irá alertá-lo.

A gigante de buscas disse que desde que começou a lançar o recurso, há 44 dias, o número de e-mails enviados a partir de servidores seguros aumentou 25%.

Da mesma forma, quando o usuário tentar clicar em um link que o Google reconhecer como malicioso a partir da sua caixa de entrada do Gmail, ele notificará antes de abri-lo no navegador.

Outra medida em relação à segurança diz respeito a usuários que podem sofrer ataques por parte dos Estados, algo que é importante para ativistas, políticos e jornalistas, por exemplo. Segundo o Google, um público relativamente pequeno, apenas 0,1% de seus usuários.

O Google tem buscado esforços para padronizar uma criptografia para e-mails. A companhia firmou parceria com grandes nomes da tecnologia, incluindo Comcast, Microsoft e Yahoo para propor um novo sistema para e-mails que promete aumentar a segurança da troca dos mesmos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

25% das pessoas que recebem e-mails com phishing tendem a abri-los

Phishing-ScamEstudo diz que 25% das pessoas que recebem e-mails com vírus tendem a abri-los.

Ladrões cibernéticos levam apenas 82 segundos para enganar a primeira vítima com novas mensagens fraudulentas pela internet, segundo um relatório.

Elaborado pela empresa de telecomunicações americana Verizon, o documento analisa cerca de 80 mil incidentes que atingiram milhares de companhias em 2014.

A pesquisa descobriu que cerca de 25% das pessoas que recebem um e-mail fraudulento – num golpe também conhecido como phishing – tendem a abri-lo.

“Treinar seus empregados é um elemento crítico para combater essa ameaça”, disse Bob Rudis, que liderou o relatório.

Identificando ameaças

Induzir as pessoas a abrir e-mails com mensagens falsas permite aos hackers roubar senhas que dão a eles acesso a redes e dados que podem ser roubados, segundo o relatório.

“Eles não precisam usar softwares exploradores complexos, porque frequentemente conseguem ter acesso a senhas legítimas”, disse Rudis.

Análises de brechas em redes de dados descobriram que, em muitos casos, novos e-mails com armadilhas levaram menos de dois minutos para fazer suas primeiras vítimas. Segundo Rudis, metade das vítimas abriu as mensagens cerca de uma hora após recebê-las.

Enquanto os hackers conseguem atacar suas vítimas rapidamente, as empresas levam muito mais tempo para perceber que sua segurança foi comprometida.

A pesquisa descobriu ainda que as companhias poderiam adotar medidas práticas para se proteger de e-mails elaborados para convencer os destinatários a abrir documentos anexados.

Ensinar os funcionários a identificar mensagens falsas poderia reduzir a proporção de pessoas que abrem e-mails com vírus de uma em cada quatro para uma em cada 20, de acordo com Rudis.

Hackers levaram 82 segundos para encanar primeira vítima ao disparar e-mails com armadilhas virtuais

Mostrar aos empregados os sinais de um e-mail malicioso pode ser encarado como uma forma de defesa adicional – que poderia bloquear as mensagens falsas que conseguem passar pelos sistemas de detecção automática.

“Os funcionários deveriam ser tratados como ferramentas na luta (contra os hackers) e não como cordeiros a caminho do abatedouro”, disse Rudis.

Além dos e-mails falsos, os criminosos cibernéticos exploram uma outra fraqueza nas redes das empresas: o uso de softwares desatualizados.

De acordo com Rudis, em 99% dos casos de ataques, as falhas de segurança em redes de dados eram conhecidas havia mais de um ano. Algumas delas existiam há quase uma década.

“Há algumas vulnerabilidades que persistem”, disse ele.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Terra Tecnologia

Bancos brasileiros não protegem usuários de e-mails fraudulentos

boleto_fraudeNenhum dos 96 bancos e 255 e-commerces brasileiros avaliados em estudo recente da Return Path possuem proteção completa contra e-mails fraudulentos. Em outras palavras: não tem a solução capaz de bloquear uma mensagem antes que ela chegue à caixa de entrada do internauta.

“Acredito que a baixa adoção à políticas de proteção de e-mails por parte das empresas e instituições brasileiras está relacionada à falta de conhecimento de ferramentas eficientes no combate às fraudes”, comenta Louis Bucciarelli, diretor regional da provedora de tecnologias de mensageria para a América Latina, em comunicado.

O levantamento aponta ainda que os fraudadores exploram duas vulnerabilidades na rede: a social, com a falta de atenção dos internautas ao receberem mensagens eletrônicas; e a técnica, com a sofisticação na formatação de e-mails fraudulentos, que cresce em larga escala.

Bucciarelli considera que a evolução do cibercrime é um alerta para a necessidade de empresas, instituições e órgãos monitorarem o uso de seus domínios de e-mails de uma maneira mais eficiente, garantindo, de forma proativa, a proteção de seus clientes e, como consequência, da reputação da própria marca.

Agradeço ao Davi, amigo colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Cuidado com e-mails falsos em nome do Serasa

serasa_fakeReceber um e-mail com a notificação de que você está inadimplente causa preocupação. Mas também aguça a curiosidade. Basta um clique e pronto, em vez de obter as informações sobre uma possível pendência financeira, o usuário permite que programas roubem as informações do seu computador, possibilitando o acesso a seus dados pessoais e senhas.

Golpistas usam o nome de instituições especializadas em armazenar cadastros de consumidores para concessão de crédito para fazer phishing (termo que vem do inglês fishing -que quer dizer pescar), tipo de fraude eletrônica que visa obter dados de usuários. A Serasa Experian, uma das instituições mais utilizadas pelas empresas na hora de examinar se deve conceder crédito aos seus clientes, é também umas das favoritas dos aproveitadores e frequentemente tem correnpondências enviadas em seu nome.

Para reconhecer um e-mail fraudulento, preste atenção no domínio da mensagem – endereço que leva até o site. Nos e-mails, ele vem escrito depois do sinal de @ no endereço do emissor. No caso da Serasa Experian as mesagens podem ser encaminhados com dois domínios: @serasaexperian.com.br ou @certificadodigital.com.br. A empresa disponibiliza um e-mail para denunciar as tentativas de fraude eletrênica abuse@br.experian.com.

– Verifique se você contratou algum serviço que prevê o envio de e-mail com estas notificações
– Não clicar em nenhum link ou botão, nem tampouco permita o download de qualquer arquivo deste tipo de e-amail
– Confira se o endereço remetente do e-mail pertence mesmo à empresa

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: EBC

Falha de segurança na Mozilla expões milhares de e-mails e senhas

cadeado_abertoCerca de 4 mil senhas criptografadas e 76 mil e-mails de usuários ficaram expostos por um mês após uma falha no banco de dados da Rede de Desenvolvedores da Mozilla, a MDN. A notícia foi confirmada pela empresa em um post no próprio blog de segurança, no qual ainda informa que a brecha ficou aberta por 30 dias a partir de 23 de junho.

Segundo o texto, o problema foi descoberto há dez dias, quando um desenvolvedor da própria companhia descobriu que um processo de limpeza de dados estava falhando. Esse erro fez com que as informações acabassem expostas em um servidor público, o que logo foi corrigido.

De acordo com o texto, assinado por dois representantes da Mozilla, nenhuma atividade maliciosa foi detectada no servidor, “mas não temos como garantir que não houve nenhum acesso do tipo”. Ou seja, ainda é possível – e até provável – que esses e-mails e senhas cifradas tenham parado nas mãos de spammers e outros eventuais mal-intencionados.

Apesar de a notícia não ser animadora, o fato de a empresa não armazenar as combinações em plain text (como fazia a Cupid Media) torna as coisas um pouco menos graves. As senhas vazadas no caso da Mozilla eram “salted hashes”, que são as tradicionais hashes – sequências embaralhadas representando as palavras-chaves – complementadas com dados aleatórios. Assim, a tarefa de quem for tentar decifrá-las fica ainda mais complicada.

Para evitar quaisquer problemas, a companhia alterou o salt dessas combinações de forma a impedir que as contas fossem acessadas pelas velhas senhas. Também por isso, a empresa notificou os desenvolvedores afetados, pedindo para que trocassem as próprias palavras-chave da MDN. E como prevenção, no caso de quem também teve o e-mail vazado, a mudança deve se estender inclusive às similares usadas em outros serviços.

Como lembrou o blog NakedSecurity, esta não é a primeira vez que a Mozilla deixa dados de seus usuários expostos. Em 2010, mais de 40 mil contas da loja de add-ons do Firefox tiveram informações divulgadas na internet.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Info