Falha no Chrome e Firefox permite ataque phishing

Os ataques de phishing não são nenhuma novidade. Sites e serviços falsos que se passam por outros para enganar usuários desavisados existem aos montes, mas você mal se preocupa com isso porque o seu navegador muito provavelmente faz o trabalho de filtrar e avisar caso você esteja prestes a entrar em uma página suspeita. No entanto, como agir quando a ameaça consegue driblar até mesmo esses sistemas de segurança? Pois é exatamente isso o que uma nova ameaça vem fazendo.

De acordo com uma empresa chinesa de pesquisa em segurança digital, há um novo ataque de phishing circulando pela internet que é praticamente impossível de ser detectado até mesmo por quem já está habituado a conferir a autenticidade dos sites que acessa. Segundo o alerta emitido pela companhia, há uma vulnerabilidade presente nos principais navegadores do mercado — Chrome, Firefox e Opera — que pode ser utilizada por hackers para enganar os usuários.

Assim, eles conseguem exibir falsos domínios como se fossem sites legítimos. Com isso, eles podem se passar por sites que você acessa todo dia, como Google, Facebook ou mesmo a loja da Amazon para roubar desde informações de acesso, como seu nome de usuário e senha, até dados pessoais e informações financeiras. Sem que você perceba, o número de seus documentos ou de seu cartão de crédito pode ser roubado quando você acreditava estar navegando em um ambiente seguro.

O que realmente chama a atenção nessa falha é que ela dribla até mesmo os mecanismos que geralmente utilizamos para identificar um phishing tradicional. Exemplo disso é que a empresa de segurança disponibilizou uma página de demonstração com o endereço real da Apple, mas cujo conteúdo não corresponde ao site da companhia. Isso porque essas informações estão sendo enviadas de outro servidor. A ideia é servir como um teste: se você acessar o link e visualizar um aviso ao invés do ver os produtos da Maçã, pode ter certeza de que seu navegador é vulnerável a esse novo golpe.

E o modo com que esses truques são feitos é bastante engenhoso. Eles se utilizam de caracteres Unicode, ou seja, letras de outros alfabetos que acabam sendo representados da mesma maneira que a gente costuma usar na maior parte do mundo. Isso porque os navegadores fazem uma conversão para tratar tudo da mesma forma na exibição, embora continue considerando os caracteres diferentes. Em outras palavras, ele vai mostrar o A cirílico e o A românico da mesma forma — “a” —, mas vai considerá-los diferentes na hora de gerar o endereço. E isso confunde diretamente o usuário, que acha que se trata tudo da mesma coisa.

Assim, o que os hackers fazem é inserir caracteres de vários idiomas para confundir o sistema e criar uma brecha. Como tudo isso vai ser convertido em um código universal, eles driblam a lógica dos navegadores para fazer com que essa salada linguística exiba o endereço que eles querem. É assim que eles conseguem registrar domínios que, para você, vai aparecer como se fosse apple.com, google.com ou qualquer outra página aparentemente de confiança.

Como dito, até o momento os pesquisadores identificaram o problema somente no Chrome, Firefox e Opera — também conhecidos como os programas mais utilizados para navegação. Enquanto isso, Internet Explorer, Microsoft Edge, Safari, Brave e Vivaldi seguem invulneráveis a esse truque.

Como se prevenir

Infelizmente, não tem muito o que os usuários possam fazer para contornar a situação, já que depende muito mais de uma solução apresentada pelas empresas do que ações que você possa fazer em casa. O Google, por exemplo, já está trabalhando em atualizações que corrigem o problema e a previsão é que o update seja liberado para o grande público nos próximos dias. Já a Mozilla segue em discussão sobre o que fazer.

No caso dos usuários do Firefox, há uma saída paliativa para amenizar o problema. Para isso, basta digitar about:config na barra de endereços e confirmar. Em seguida, pesquise por Punycode na área de busca. Isso vai fazer com que somente um parâmetro seja exibido — network.IDN_show_punycode. Clique com o botão direito do mouse sobre ele e selecione a opção Inverter Valor, fazendo com que ele faça a substituição automática e desative a conversão automático desses códigos.

Fonte: Canaltech

Cuidado com os golpes de phishing da Receita

Faltando poucos dias para o fim do prazo de entrega da Declaração do Imposto de Renda Pessoa Física, a Receita Federal alerta para tentativas de phishing scan, ou golpes por e-mail, que aumentam nessa época. Golpistas utilizam como “iscas” o nome do Órgão e temas a ele correlatos para “pescar” suas vítimas no mundo virtual.

O phishing scan consiste no envio de e-mails sugerindo que os internautas baixem arquivos, acessem links ou visitem sites maliciosos. Quadrilhas especializadas em crimes pela Internet transmitem mensagens eletrônicas que servem como meio para os criminosos obterem ilegalmente informações fiscais, bancárias e cadastrais do contribuinte. Ao clicarem em links ou baixarem anexos, os usuários têm seus computadores infectados por vírus e programas que permitem esse acesso ilegal aos dados.

Em uma das modalidades de golpe, a pessoa recebe um e-mail dizendo que a Receita Federal disponibilizou certa quantia de restituição do Imposto de Renda. O usuário deveria então clicar em um link para acessar formulário para o resgate. Outras mensagens fraudulentas indicam a existência de pendência na declaração ou de débito em aberto.

A Receita Federal esclarece que não manda mensagens via e-mail sem a autorização do contribuinte, nem autoriza terceiros a fazê-lo em seu nome.
A única forma de comunicação eletrônica com o contribuinte é por meio do Centro Virtual de Atendimento ao Contribuinte (e-CAC), localizado em sua página na Internet.

A orientação ao internauta que se deparar com esse tipo de mensagem é não responder, não abrir arquivos anexados, nem acionar links para endereços da Internet, excluindo imediatamente o e-mail.

Fonte: Estadão

Phishing que rouba credenciais do Gmail

Phishing é um método de ataque simples, que é baseado no desconhecimento da vítima — você pode saber mais sobre ele aqui. Acontece, muitos de vocês provavelmente sabem como identificar esses golpes e estão ilesos. Porém, um novo método está sendo espalhado pelo Gmail, e ele tem uma aparência que pode lhe enganar.

Como outros métodos de “pescaria”, ele começa de maneira simples: a vítima recebe um e-mail com um arquivo Word ou PDF como anexo. O arquivo é apresentado de maneira legítima pelo Gmail e, assim que a vítima clica no arquivo, ela é redirecionada para uma página de login da Google — como se você tivesse sido desconectado.

Acontece que essa página é falsa e ela que rouba as suas informações. Se a vítima não notar que a página não é legítima, ela vai escrever o endereço de e-mail e a senha para realizar o login.

Agora, como esse phishing engana o Gmail ao apresentar o arquivo Word ou PDF de maneira legítima? Na verdade, não é um arquivo dos formatos citados, mas uma imagem de como eles ficariam caso estivessem anexos.

Incrivelmente, quem notou o golpe não foi uma empresa de segurança, mas o youtuber Tom Scott — clique aqui para ver. De acordo com um tweet, ele comenta que percebeu o golpe porque a resolução de seu monitor é alta, e a página falsa havia ficado um pouco distorcida. Além disso, a URL da página não havia o padrão de segurança “https://”.

Fonte: Tecmundo

Phishing é a maior ameaça para os donos de iPhone

golpe-iphoneA situação é triste: seu iPhone é roubado, você faz o boletim de ocorrência, cancela o chip e compra um novo para colocar em outro aparelho. Após algum tempo, eis que você recebe um SMS pedindo para acessar um link em que é necessário digitar um login do iCloud para ver a localização do seu aparelho.

Isto é um típico ataque de phishing, isto é, uma tentativa de conseguir dados pessoais (como senha) de um usuário por meio de fraude. Geralmente, com essas informações em mãos, o golpista pode desbloqueá-lo para ter acesso aos dados pessoais (como fotos ou vídeos comprometedores) e extorquir o dono ou até mesmo revender o dispositivo.

“Este tipo de ataque tem aumentado consideravelmente nos últimos anos. Uma das possíveis razões é o alto valor de revenda de iPhones”, afirmou Fábio Assolini, analista de segurança da Kaspersky Lab Brasil.

Como ocorre o ataque

Com um aparelho em mãos e bloqueado via iCloud, a única solução do golpista para que o iPhone deixe de ser um peso de papel é tentar burlar os sistemas de segurança. Passar pelo sistema de desbloqueio por código do aparelho é difícil, porém não impossível, como já foi mostrado algumas vezes.

O passo seguinte, porém, envolve tentar hackear a conta do iCloud da pessoa. E aí é que entra o phishing por SMS. No iPhone, é possível saber o número da linha do usuário de duas formas: indo ao menu Ajustes, se ele estiver sem senha; ou simplesmente tirando o SIM card dele e colocando num outro aparelho. Com essa informação em mãos, o atacante tenta enviar uma “isca” via mensagem de texto.

“Phishing é a maior ameaça contra donos de iPhone”

Sabemos que as empresas de tecnologia melhoraram os mecanismos de segurança nos smartphones para tornar o roubo desse tipo de aparelho uma atividade menos atraente para os ladrões. No entanto, essa prática de phishing tem sido comum entre usuários de iOS, segundo a Kaspersky.

“Phishing é a maior ameaça contra donos de iPhone. A Apple consegue com algum sucesso coibir vírus no ambiente móvel. No entanto, este tipo de golpe sempre acha vítimas que acabam cedendo seus dados para golpistas”, afirmou Assolini.

Em um mundo ideal, seria interessante que os provedores e fabricantes monitorassem esse tipo de iniciativa e encerassem essas páginas o quanto antes.

Como os golpistas são rápidos e acham formas de hospedar páginas em plataformas distintas, resta ao usuário ficar esperto ao abrir links estranhos e tomar alguns cuidados específicos. Ative a autenticação de dois fatores da Apple, para que qualquer tipo de mudança seja verificada em um segundo meio, como um código enviado a outro aparelho; e após um furto ou roubo, bloqueie o iPhone via iCloud o mais rápido possível.

Fonte: Gizmodo

Conheça os 5 tipos mais comuns de Phishing

De uma forma geral, podemos dizer que todas as técnicas descritas neste post estão vinculadas com a Engenharia Social.
Normalmente, os atacantes se passam por uma empresa conhecida, rede social, instituição financeira ou algum site de vendas online, com o intuito de roubar informações confidenciais das vítimas.

Esse tipo de campanha maliciosa pode ser vista diariamente na América Latina, por isso, hoje serguem dicas para que você possa identificar os 5 tipos de phishing mais encontrados.

Phishing Tradicional

Esse tipo de ataque é o mais simples na hora de analisá-lo tecnicamente; normalmente está vinculado à cópia de um site conhecido pela vítima, no qual é alterado o endereço para onde irão os dados inseridos. Deste modo, o cibercriminoso rouba as credenciais inseridas pelo usuário, que podem estar hospedadas em um texto simples de um arquivo ou serem enviadas para alguma conta de e-mail.

A principal característica do phishing tradicional é estar ligado a apenas um site web que hospeda todos os conteúdos do portal falso.
Na imagem a seguir, podemos observar um site de phishing que afeta a Paypal. A página foi montada sobre a outra, que teria sido supostamente violada e, logo em seguida, utilizada para montar o site da fraude.

paypal-tradicional

Phishing redirecionador

Assim como o caso anterior, essa técnica é utilizada em campanhas massivas, que apesar do baixo percentual de vítimas, existe uma grande quantidade de usuários afetados e, consequentemente, credenciais comprometidas.

Esse procedimento conta com um nível de complexidade e, diferente do anterior, utiliza pelo menos dois ou mais sites ou domínios para continuidade do golpe. Existem várias formas conhecidas e que podem ser classificadas dentro deste tipo de phishing.

No entanto, podemos destacar três técnicas que comumente são utilizadas e que correspondem ao uso de encurtadores nas URLs, a injeção dos conhecidos Iframes e a exploração de técnicas relacionadas com os frames no código HTML.

Apesar de serem conceitos diferentes, todos têm algo em comum: utilizar um endereço para refletir um site armazenado em um determinado servidor por meio de outro, sendo visível apenas através de um estudo do código fonte.

Desta forma, os cibercriminosos tentam aumentar o tempo gasto pelas equipes de segurança para detectar e eliminar o conteúdo dos sites falsos.

Spear phishing

A principal diferença desse tipo é ser direcionado à poucas pessoas ou grupos reduzidos. Dessa forma, as campanhas são muito mais personalizadas e com um percentual muito maior de vítimas.

Não é comum ver casos que afetam entidade bancárias ou redes sociais, pois esse tipo não busca a massividade, pelo contrário; na realidade, esse tipo de método é utilizado em ataques como os APTs, direcionado a funcionários de empresas com determinados perfis. Isso significa que as vítimas podem receber e-mails personalizados com nome e sobrenome, inclusive falsificando endereços conhecidos para gerar maior confiança e empatia de um internauta descuidado.

Devemos ter em mente que se os cibercriminosos quisessem entrar nos sistemas, buscariam o elo mais fraco dentro da rede. Deste modo, não devemos esperar que o Gerente de Sistemas seja o principal alvo desse tipo de ataque, mas que alguém com menos conhecimento técnico de informática, como em muitos casos são pessoas de áreas não relacionadas com a TI (por exemplo, administração ou recursos humanos).

Essa metodologia, junto com a Engenharia Social, e um estudo prévio das vítimas, gera uma sólida técnica com a qual facilmente se pode comprometer um sistema ou rede corporativa com o objetivo de roubar credenciais. Por isso, é fundamental, mas uma vez, a conscientização e capacitação dos funcionários sobre boas práticas de Segurança da Informação.

Smishing SMS

Esse tipo de phishing está relacionado com o uso de outro canal digital como os telefones celulares. Normalmente, os cibercriminosos se passam por instituições conhecidas e enviam uma mensagem de texto alertando à vítima que ganhou um prêmio. Em geral, as vítimas respondem com algum tipo de código ou número especial para validar seu falso prêmio.

Como costuma ocorrer, o objetivo dessa operação é obter um retorno econômico. Na América Latina foram encontradas campanhas que utilizavam mensagens de “parabéns” para informar as vítimas que supostamente ganharam um prêmio, por exemplo. Nestes casos, eram solicitados dados pessoais ou, inclusive, criados falsas centrais de atendimento telefônico, onde de uma maneira muito profissional, enganavam às vítimas pedindo seus dados de contas bancárias e até mesmo os números de cartão de crédito.

Na imagem a seguir podemos ver um típico caso de smishing, mas utilizando uma pequena variante, que se baseia em não usar o serviço de SMS, e sim aplicativos como WhatsApp o Telegram.smishingComo esse tipo de aplicativo não cobra o envio de mensagem, é necessário apenas estar conectado à Internet para que a ameaça se dissemine de forma muito rápida e econômica para o atacante.

Vishing

Como citado anteriormente, existe o estabelecimento de falsos centros de atendimento telefônico que realizam ligações com o objetivo de cometer uma fraude, relacionando-as com casos de vishing.
Esse ataque muitas vezes está relacionado com outro, de forma que se complementem para conseguir mais credibilidade e, desta maneira, enganar à vítima de uma forma mais simples e eficaz.

Para proteger-se desse tipo de ameaças e identificá-las facilmente, é importante que tenha em conta 6 dicas para reconhecer mensagens de phishing.
Além disso, manter uma solução de segurança atualizada que possa combater ameaças é fundamental.

Fonte: Eset blog

Black Friday chegando….cuidado com as compras!

black_friday_2016A Black Friday, Cyber Monday, juntamente com o Natal, constituem a alta temporada de caça para os cibercriminosos. Enquanto você está tentando conseguir uma TV novinha ou uma calça jeans pelo preço de meias, bandidos estão tentando roubar seu dinheiro. Por exemplo, nossas estatísticas mostram que o número de páginas de phishing que tem por alvo dados financeiros aumenta em um terço nesta época.

Como se proteger e ainda se divertir fazendo compras na Black Friday? Temos dicas, mas primeiro deixe-nos descrever os tipos mais comuns de golpe a sua espera nessa temporada.

Fique de olho nas lojas falsas

A questão que mais impressiona com compras online é que basicamente você está trocando dinheiro pela promessa de que algo será entregue. Pense bem, durante um período de 1 a 7 dias, seu dinheiro já foi embora e tudo que você tem é um e-mail dizendo que seus bens estão a caminho.

Lojas falsas não têm porque manter promessas. Elas pegam seu dinheiro ou seus dados de cartão de crédito e desaparecem. Essas lojas tendem a ter três coisas em comum:

  • Você nunca ouviu falar delas;
  • Dependem muito de propaganda;
  • Oferecem descontos absurdos; como um iPhone novinho por R$ 400.

Se você der de cara com um negócio que parece bom demais para ser verdade, não caia. Tanto na Black Friday quanto nos outros dias, melhor comprar em sites que você já tenha tido alguma experiência.

Mais uma coisa: criminosos também tentam se passar por lojas populares para roubar dados de cartão de crédito. Então preste bastante atenção na URL. Se for algo como MarcadoLivre.com no lugar de MercadoLivre.com, não faça nada no site, especialmente inserir dados financeiros.

Não seja enganado por mensagens de entrega falsas

O phishing depende muito de engenharia social e para ela funcionar, depende da sua vontade de ter algo ou de estar acostumado a algo. Então, se você pediu um monte de coisas e está só esperando os pacotes aparecerem – como muita gente nessa época – um e-mail “Informações sobre seu pedido” ou “Confirmação de entrega” pode até parecer legítimo, e importante o suficiente para que você o abra, baixe um anexo ou clique em um link.

Esse cenário simples é a essência dos golpes de engenharia social envolvendo compras de fim de ano. O e-mail não é necessariamente legítimo. Pode ser enviado por criminosos que estão tentando te atrair para baixar malwares como banking Trojans ou ransomware, ou fazê-lo enviar seus dados pessoais. Então, antes de abrir, tenha certeza de que o remetente é legítimo.

Conheça seus contatos

Então, a Black Friday e a Cyber Monday foram cheias de oportunidades para comprar um monte de coisas úteis. E então você recebe uma mensagem que parece ser do seu banco informando que detectou atividades suspeitas em seu cartão de crédito. A mensagem orienta que você faça uma ligação para verificar se tem conhecimento de todas as compras.

É bastante fácil de acreditar, considerando quantas coisas você comprou em vários lugares, mas não se apresse para ligar para esse número na mensagem – ela pode levá-lo a cibercriminosos. Em vez disso, encontre o número oficial de seu banco e ligue para confirmar a autenticidade da mensagem. Se realmente houve atividade suspeita, vão orientá-lo.

Outras armadilhas

As possibilidades de phishing durante as vendas da Black Friday parecem infinitas, e os criminosos investem muito tempo para criar estratégias. Outro exemplo, um site falso pode oferecer cartões de presentes gratuitos em troca de suas informações. Claro, não há cartões. Não existe almoço grátis.

Outro site pode atrair vítimas com cupons baratos, incentivando quem quer economizar – essa é a promessa. Naturalmente, os sites legítimos de cupons existem, mas há também os mal-intencionados.

Esses truques são apenas a ponta do iceberg; Os cibercriminosos têm lançado novas ideias com bastante frequência, fazendo como vítimas desde heavy-users até usuários pouco frequentes. Fizemos uma lista com dicas que podem protegê-lo.

Mantenha-se alerta

Não estamos sugerindo que se torne paranoico, mas comprar online requer alguns cuidados. Pode parecer estragar a diversão, mas perder dinheiro é muito pior. Recomendamos que mantenha os olhos abertos o tempo todo. Sugestões:

  • Entenda o que é phishing e como evitá-lo.
  • Não clique em links suspeitos – podem levá-lo a malwares.
  • Sempre confirme se páginas online, cartas e mensagens de texto são verdadeiras.
  • Conte com uma solução de segurança confiável.
Fonte: Kaspersky blog

93% das mensagens de Phishing contêm ransomware

phishingEsqueça furto de dados de cartão, roubo de acesso a online banking ou criação de botnets: ransomware se tornaram o componente principal de 93% de todos os emails de phishing enviados mensalmente.

Segundo a empresa de segurança PhishMe, especializada em análise de golpes de emails falsificados, a velocidade do retorno financeiro e a facilidade de aplicação teriam tornado os ransomwares atrativos para criminosos cibernéticos.

A instalação de malwares que criptografam os arquivos de suas vítimas e só liberam o acesso mediante o pagamento de resgate para uma conta de bitcoin vem crescendo assustadoramente. Em 2015, os ransomwares estavam presentes em apenas 10% dos emails falsos enviados pela internet, subiu para 56% em Dezembro e atingiu o atual patamar de 93% em Março, data da última pesquisa da PhishMe, publicada essa semana.

A prática do crime cibernético também contribuiu para aumentar em 789% o número de emails de phishing gerados, entre o último trimestre de 2015 e o primeiro deste ano. Chegou a 6.3 milhões o número de mensagens que buscam ludibriar o usuário para clicar em um anexo contaminado ou visitar um endereço eletrônico comprometido.

Para o mundo do crime, a modalidade oferece velocidade (já que a vítima pode pagar o resgate em poucos dias) e facilidade (uma vez que o hacker não precisa negociar números de cartão furtado no mercado negro ou se arriscar a realizar transferências bancárias rastreáveis). De acordo com a PhishMe, o ransomware não só tem atraído criminosos cibernéticos de outras áreas para seu uso, como tem atraído aventureiros para o crime.

O baixo valor cobrado pelo resgate, em torno de 1 a 2 bitcoins, ou cerca de R$2.199 e R$4.398 na cotação atual, também tem contribuído para a popularização da prática. Empresas de médio e grande porte vem preferido pagar aos criminosos e recuperar imediatamente o acesso aos seus arquivos do que pesquisar um método (nem sempre existente) de acesso, denunciar o crime ou arriscar perder documentos e sistemas importantes.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: CódigoFonte