Brasil: campeão em ataques phishing

O Brasil foi o país que teve a maior parcela dos usuários atacados por golpes de phishing no primeiro trimestre de 2019 (22%, em comparação com 19% no 1º trimestre de 2018). Depois vêm Austrália (17%) e Espanha (17%).

Um dos culpados por este aumento foi um surto de spams sofisticados oferecendo falsas ofertas de emprego que supostamente vinham de recrutadores de grandes corporações. Claro que o objetivo final era instalar malware para roubar dinheiro da vítima, aponta relatório da Kaspersky.

Esse tipo de golpe usa a engenharia social, como promoções ou manipulação psicológica para disseminar malware e, frequentemente, é subestimado. Para rastrear essas ameaças, os pesquisadores da Kaspersky usam os chamados honeypots, ‘armadilhas’ virtuais capazes de detectar e-mails maliciosos e pegar os cibercriminosos. Nessa operação específica, rastrearam fraudadores que tentavam enganar pessoas descuidadas em busca de emprego.

A análise detalhada está no novo relatório Spam e phishing no primeiro trimestre de 2019 e mostra que os destinatários dos spams receberam uma oferta tentadora de emprego de uma grande empresa. A mensagem convidava a vítima a entrar em um sistema gratuito de busca de vagas e solicitava a instalação de um aplicativo para dar acesso ao banco de dados de empregos. Para fazer a instalação parecer confiável, os atacantes associaram a ele uma janela pop-up com as palavras “DDoS Protection” e uma mensagem falsa indicando que o usuário estava sendo redirecionado para o site de uma das maiores agências de recrutamento.

Na verdade, as vítimas eram redirecionadas para um servidor na nuvem onde fariam o download de um instalador que parecia um arquivo do Word. Sua função era instalar no computador da vítima o trojan bancário Gozi, malware bastante usado em roubos financeiros.

“Muitas vezes, vemos remetentes de spam usando nomes de empresas conhecidas, pois isso contribui para o sucesso de seus negócios fraudulentos e para ganhar a confiança das pessoas. Marcas com uma reputação sólida podem se tornar vítimas de fraudadores que se passam por elas e atraem usuários inocentes para baixar um arquivo malicioso em seus computadores. Era preciso verificar erros no endereço de e-mail para suspeitar que a oferta de trabalho não era autêntica”, explica Maria Vergelis, pesquisadora de segurança da Kaspersky Lab.

Como não ser vítima de spam malicioso

  • Sempre verifique o endereço do site para onde foi redirecionado, endereço do link e o e-mail do remetente para garantir que são genuínos antes de clicar neles, além de verificar se o nome do link na mensagem não aponta para outro hyperlink;
  • Não clique em links contidos em e-mails, SMS, mensagens instantâneas ou postagens em mídias sociais vindos de pessoas ou organizações desconhecidos, que têm endereços suspeitos ou estranhos. Verifiquem se são legítimos e começam com ‘https‘ sempre que solicitam informações pessoais ou financeiras;
  • Se não tiver certeza de que o site da empresa é real e seguro, não insira informações pessoais;
    Verifique no site oficial da empresa se há vagas em aberto correspondentes a suas qualificações profissionais;
  • Entre em contato com a empresa por telefone para garantir que a oferta de emprego é verdadeira;
    Procure possíveis erros nas ofertas de trabalho, verificando com atenção o nome da empresa ou o título e as responsabilidades do cargo;
  • Use soluções de segurança confiáveis para ter uma proteção em tempo real para ameaças emergentes.

Fonte: Kaspersky

Campanha de phishing ameaça usuários de instituições financeiras

Uma campanha massiva de phishing com objetivo de disseminar malware, que mira o roubo de credenciais de clientes de instituições financeiras e de corretoras de criptomoedas, foi identificada recentemente pela equipe de Threat Intelligence da Tempest. Segundo a companhia, após analisar o modus operandi dessa campanha, foi possível identificar outras 12 iniciativas que, apesar de disseminarem malwares distintos, usam métodos bastante semelhantes para o envio em massa de spam, além de possuírem características quase idênticas na construção dos e-mails de phishing.

O número de vítimas envolvidas nas campanhas detectadas pela Tempest subiu de aproximadamente 9 mil, em 14 de janeiro, para mais de 61 mil (das quais mais de 60 mil estão no Brasil) em um monitoramento realizado no dia 28 de janeiro. E hoje já passam de 120 mil vítimas, sendo que mais de 100 mil estão no país.

A similaridade nos métodos de envio de spam e de construção dos e-mails de phishing foi o que chamou a atenção dos pesquisadores da Tempest para estas campanhas. O fato pode indicar que um único serviço com recursos avançados para o envio de spam esteja sendo utilizado por criminosos para alavancar diferentes campanhas de phishing.

Os honeypots da Tempest identificaram mais de 800 e-mails de phishing que utilizavam os mesmos servidores para o envio de spam. Esses servidores totalizaram 192 hosts, vinculados a 37 domínios distintos.

Todos os e-mails analisados utilizavam um script chamado javali.php, um código gratuito e facilmente encontrado na Internet que é utilizado para o envio de e-mails a partir de um terminal de comandos shell. Após analisar esse código, foram identificadas duas características que comprovam sua utilização nessas campanhas. A primeira é o parâmetro X-Mailer, que identifica a versão do software de e-mail que supostamente enviou o phishing. A segunda é um número randômico que o script aplica ao assunto do e-mail atribuindo um tipo de identificação. Essas características podem ser observadas sendo aplicadas no assunto da mensagem.

O mote da engenharia social utilizada nas campanhas varia, de acordo com a Tempest. No entanto, o intuito permanece o mesmo: tentar amedrontar a vítima para persuadi-la a executar um artefato malicioso. Entre os exemplos estão alertas de que a vítima está em situação de inadimplência, que seu histórico de mensagens do WhatsApp foi vazado, entre outros.

Apesar da grande atividade identificada recentemente, acredita-se que este ator ou grupo está ativo há bastante tempo. Pesquisa de novembro de 2018 publicou a análise de um malware focado em alvos no Brasil que se baseava em campanhas de disseminação muito semelhante a essa. Além disso, a Tempest afirma ter identificado que alguns dos domínios envolvidos nestas campanhas estão ativos desde junho de 2018, o que pode representar um número maior de vítimas.

Fonte: itmidia

Cibercriminosos usam Google Tradutor para aplicar golpes

Cibercriminosos estão usando o Google Tradutor para esconder links maliciosos na tentativa de enganar vítimas para, claro, roubar dados dos mais desatentos, alertou um pesquisador de segurança da Akamai.

A porta de entrada para os hackers é destravada por um e-mail phishing. E aqui não há nada de muito engenhoso para se fazer valer da sua atenção. Em post publicado no blog da Akamai, o pesquisador relata que ele recebeu um e-mail notificando que sua conta do Google havia sido acessada de um novo dispositivo Windows. “Como eu não lembrava de ter acessado nenhum novo aparelho, decidi abrir o e-mail para examinar mais de perto”, conta ele. Mas ao conectar em sua conta do Gmail em um desktop, logo ele percebeu sinais de que o aviso era falso.

O ataque

Ao abrir o e-mail, ao invés de direcionar o link diretamente para o domínio com intenções maliciosas, a mensagem leva supostamente para a página do Google Tradutor carregada dentro do próprio e-mail, onde será exibida a barra de tradução.

Segundo a Akamai, o golpe é bem mais convincente quando o usuário abre o e-mail a partir do smartphone, onde a tela de exibição tem seu espaço limitado. Entretanto, na versão móvel, toda a engenharia do phishing parece muito mais convincente.

“Usar o Google Tradutor dá uma série de coisas; ele preenche a barra de URL com muitos textos aleatórios, mas o mais importante é que a vítima logo vê um domínio legítimo do Google. Em alguns casos, esse truque ajudará o criminoso a desviar as defesas do ponto final”, reforça o pesquisador Larry Cashdollar.

Fazer-se valer de marcas e empresas conhecidas é um truque comum de phishing, e geralmente funciona se a vítima não estiver prestando atenção. “Os criminosos que realizam ataques de phishing querem jogar as pessoas para fora do jogo, para que usem o medo, a curiosidade ou até mesmo a falsa autoridade para fazer a vítima agir primeiro e questionar a situação mais tarde”, explica Larry. “Quando isso acontece, é inteiramente possível – esperado, em alguns casos – que a vítima não preste atenção aos pequenos detalhes que afastam o golpe. No meu caso, o atacante está usando uma mistura de curiosidade e medo. O medo de que minha conta seja comprometida e a curiosidade sobre quem fez isso”, alerta.

Como se proteger de um ataque phishing – A desconfiança no mundo online nunca é excessiva. Mas dada às campanhas cada vez mais sofisticadas dos meliantes da internet, filtrar um e-mail idôneo de um spam ambicioso tem se tornado quase um jogo de sete erros.

Por via das dúvidas, especialistas recomendam que você não clique em links de e-mails de remetentes desconhecidos. Em todo caso, separamos um guia com dicas que pode ajudar.

Fonte: itmídia

Phishing financeiro assume a liderança

Em 2017, as tecnologias antiphishing da Kaspersky Lab detectaram mais de 246 milhões de tentativas de usuários de visitar páginas de phishing. Mais de 53% delas envolviam o acesso a sites relacionados a finanças, 6 pontos acima de 2016. É a primeira vez – desde que se começou a registrar as tentativas de phishing – que os números superaram 50%, segundo a análise do cenário de ameaças financeiras da Kaspersky Lab.

Os ataques de phishing financeiro consistem em mensagens fraudulentas com links para sites que imitam páginas legítimas. Seu objetivo é obter as credenciais de crédito e de contas bancárias dos usuários. Tudo para depois roubar o dinheiro da vítima. Quase 55% dos ataques de phishing têm esse formato; mais da metade dos ataques no mundo todo visam roubar suas vítimas.

Fonte: Kaspersky

Golpe disseminado via WhatsApp atinge 116 mil usuários em um dia

O dfndr lab, laboratório da PSafe, identificou uma nova campanha maliciosa propagada pelo WhatsApp que já alcançou 116 mil pessoas nas últimas 24 horas e segue ganhando escala rapidamente. Desta vez, hackers têm usado o fato do Governo Federal ter liberado o saque do PIS para encaminhar links maliciosos que oferecem suposta possibilidade de consultar o saldo a ser recebido.

Além do compartilhamento via WhatsApp, o uso de notificações enviadas para uma base de usuários criada a partir de vários golpes anteriores possibilita ao hacker atingir um volume muito grande de usuários. Baseado no número de acessos, o dfndr lab estima que essa base seja de vítimas que deu permissão para o envio de links diretos seja de cerca de 100 mil pessoas.

Ao clicar em um dos links ou na notificação recebida, o usuário acessa uma página na qual há um texto que a Caixa Econômica está liberando “PIS salarial pra quem trabalhou entre 2005 à 2018 no valor de R$ 1.223,20”. Logo abaixo, o usuário é incentivado a responder às seguintes perguntas: “Você trabalhou com carteira assinada entre 2005 a 2018?”; “Você está registrado atualmente?”; “Possui cartão cidadão para realizar o saque do benefício?”.

Independentemente das respostas, o usuário é direcionado para uma página na qual é incentivado a compartilhar com 30 amigos ou grupos do WhatsApp. O texto afirma que após o compartilhamento o usuário será redirecionado para finalizar o processo e realizar o saque. Ao final, há ainda uma falsa seção de comentários com pessoas que teriam conseguido sacado o benefício.

“A estratégia de incentivar as pessoas a compartilhar o link malicioso é a mais comum e permite que o golpe se espalhe rapidamente. Contudo, nesse caso específico, o envio de notificações para os smartphones dos usuários possibilita um crescimento exponencial no número de acessos em poucos minutos tornando-o ainda mais perigoso e efetivo”, avalia Emilio Simoni, diretor do dfndr lab.

Como se proteger

Para não cair nessas ameaças, o especialista afirma que é preciso adotar medidas de segurança, entre elas é possível checar se o link é verdadeiro ou não. Há ainda soluções de segurança que disponibilizam a função anti-phishing e, em todo caso, sempre desconfie de mensagens que pedem para realizar o compartilhamento com amigos para ganhar alguma coisa.

Fonte: IDGNow!

Malware com foco na conta bancária

Um malware chamado Metamorfo age por meio de spam para infectar vítimas no Brasil, segundo o Threatpost. Utilizando uma campanha de infecção em vários estágios, o malware trabalha com ferramentas legítimas do Windows como side-loader, além do uso de armazenamento em nuvem para guardar o código malicioso.

É interessante notar que o Metamorfo busca atividades realizadas especificamente em bancos brasileiros, além de sites de criptomoedas

Segundo o FireEye Labs, o ataque começa via email com um HTML como anexo. Esse HTML redireciona a vítima para uma URL encurtada que leva até sites como GitHub, Dropbox ou Google Drive. Nestes sites, a vítima é induzida a baixar um arquivo ZIP — e é nele que o Metamorfo se esconde.

“Quando o ZIP é aberto, ele instala uma ferramenta legítima do Windows que é usada para baixar um trojan bancário”, nota que a FireEye. “A partir desse ponto, o malware espiona a vítima para acompanhar a atividade bancária”.

O Metamorfo tem a capacidade de capturar screenshots da tela do PC enquanto o usuário navega em internet banking. Dessa maneira, informações bancárias, bem como senhas e outros dados, são repassadas aos cibercriminosos por trás do trojan.

“O uso de cadeias de infecção em múltiplos estágios dificulta a pesquisa desses tipos de campanhas durante todo o processo”, disseram os pesquisadores da FireEye, Edson Sierra e Gerardo Iglesias, em análise. “Os invasores estão usando várias técnicas para evitar a detecção e infectar usuários desavisados no Brasil com trojans bancários. O uso da infraestrutura de nuvem pública para ajudar a fornecer os diferentes estágios desempenha um papel particularmente importante na entrega da carga maliciosa”.

Como se proteger

A prevenção é o caminho: não aceite mensagens de desconhecidos, principalmente as acompanhadas por links. Caso você receba um email ou mensagem de WhatsApp de seu banco, ignore — se bater alguma dúvida, entre em contato via telefone com o banco em questão.

Se você percebeu alguma movimentação estranha em sua conta, também entre em contato com o banco para entender quais serão os passos realizados.

Fonte: Tecmundo

Microsoft disponibiliza extensão contra phishing para o rival Chrome

A Microsoft cedeu um ativo e tanto do seu navegador Edge para o rival Chrome ao lançar uma extensão que amplia as habilidades de detecção de phishing do browser do Google.

A empresa de Redmond não teve muita escolha, conforme aponta um analista da consultoria Directions chamado Michael Cherry. “Phishing é um problema enorme, e as pessoas vão usar o navegador que costumam usar. Eles estão fazendo isso para proteger o ecossistema do Windows.”

Chamada de Windows Defender Browser Protection (WDBP), a extensão gratuita em questão pode ser adicionada ao navegador Google em máquinas Windows ou macOS, e após uma correção, também no Chrome OS.

Assim como as ferramentas de defesa embutidas no Edge, o novo add-on se baseia na tecnologia SmartScreen, da Microsoft, que avisa aos usuários sobre sites potencialmente maliciosos que possam tentar baixar malware no computador ou sobre sites linkados em e-mails que levam a URLs de phishing desconhecidas.

A Microsoft mantém uma lista em constante alteração nos seus servidores sobre esses destinos provavelmente ruins – essa relação é gerada em parte a partir de telemetria enviada pelos usuários da SmartScreen.

Pelo menos, é o que parece que a WDBP faz. A Microsoft não registrou a operação da extensão além de algumas informações gerais no seu site e da descrição sobre a solução na Chrome Web Store. Na segunda, a companhia diz o seguinte: “Se você clicar em um link malicioso em um e-mail ou navegar até um site feito para te enganar a revelar informações financeiras, pessoais ou outros dados sensíveis, ou até um site que hospede malware, a Windows Defender Browser Protection vai verificar isso em relação a uma lista atualizada de URLs maliciosas de conhecimento da Microsoft.” Isso é a SmartScreen.

Ajudando o rival

Mas por que a Microsoft cedeu uma das poucas vantagens do Edge para um navegador rival?

Cherry acredita que a Microsoft se encontrou em uma posição difícil: proteger a maioria dos usuários Windows ou apenas aqueles rodando o Edge (ou a versão obsoleta e de legado do Internet Explorer)? “O Edge não conseguiu se popularizar”, destaca o analista, sobre os números baixos do navegador do Windows 10. “Mas se as pessoas forem vítimas de phishing, elas não vão apontar o dedo para o navegador, que é apenas um aplicativo. Elas vão questionar a Microsoft: ‘Por que vocês não protegeram o Windows?’ Esse é apenas um movimento de auto-defesa.”

O Edge, que está se aproximando do seu terceiro aniversário, não conseguiu atrair um público significativo. Os dados mais recentes da empresa de pesquisas Net Applications colocam o Edge com apenas 4% do mercado de browsers – e somente 13% entre as máquinas com Windows 10. Enquanto isso, o Chrome é o browser usado por 61% da população on-line no mundo.

Outras razões para a Microsoft compartilhar a sua tecnologia com o navegador do Google

Com o Edge e o IE respondendo por uma pequena fatia dos internautas – a Net Applications registrou em março que os dois combinados alcançaram 18% – a Microsoft não estava recebendo a quantidade de dados telemétricos, cruciais para a SmartScreen, que costumava receber antes.

“A explicação mais simples sobre a motivação para a Microsoft oferecer a SmartScreen no Chrome é que isso dá à companhia visibilidade sobre as coisas ruins encontradas pelos 60% do mercado que usam o Chrome”, explicou o especialista da companhia de segurança Sophos, John Dun. “Isso, por outro lado, ajuda o serviço de e-mail Office 365 Exchange, da Microsoft, a oferecer uma proteção melhor para competir com o pacote G Suite, do Google.”

Opinião do seu micro seguro: fiz uso dessa extensão e não verifiquei vantagens quando comparada à detecção nativa de sites de phishing já realizada pelo recurso nativo do próprio Chrome.

Fonte: IDGNow!