Crackers em busca de Bitcoins

O Lazarus Group, uma equipe de crackers conectada com a Coreia do Norte, está conduzindo um ataque de phishing que tem como alvo funcionários de indústria. A ideia é invadir computadores via arquivos maliciosos e roubar dados pessoais — principalmente dados que forneçam acesso aos Bitcoins, por exemplo.

A campanha de phishing tenta fisgar trabalhadores de indústrias diversas com emails alertando sobre vagas abertas em outras empresas. Dessa maneira, dentro do e-mail, um arquivo Word como anexo está infectado e, por ele, que os cibercriminosos ganham acesso ao PC.

De acordo com a empresa de segurança Secureworks, a campanha de phishing ainda está ativa e que os dados são preliminares. Novas análises surgirão nas próximas semanas.

Ataque via Word é antigo

Em setembro deste ano, pesquisadores da Kaspersky Lab identificaram em disseminação na web um novo tipo de ataque via arquivos de texto do Microsoft Word. Inicialmente, softwares antivírus não identificavam a novidade como maliciosa pois ela não trazia nenhum segmento de código conhecido como mal-intencionado. Mas isso acontecia porque o objetivo do documento não era infectar a máquina, mas sim obter informações detalhadas sobre o software dela.

Os criminosos usavam técnicas de phishing sofisticadas para convencer as vítimas a baixar e abrir um arquivo do Word. Assim que isso era feito, o documento, cuidadosamente produzido, ativava a “função secreta” IncludePicture do editor da Microsoft. Combinando isso a uma série de links apontando para um segmento de código PHP, os criminosos eram capazes de coletar informações detalhadas sobre todo o software instalado no dispositivo, incluindo a versão do Microsoft Office, do sistema operacional, de programas de antivírus, e por aí vai. O IncludePicture tornava vulnerável o Windows (mobile e desktop), o Android e o iOS.

Fonte: Tecmundo

Cuidado com páginas falsas de ofertas de emprego

Atenção para um novo golpe de phishing na praça: criminosos estão simulando páginas de grandes empresas com falsas oportunidades de emprego para roubar os dados dos usuários. Mais de 300 mil pessoas já curtiram ou estão seguindo as imitações, que são muito fiéis à identidade visual de grupos como Americanas, Coca-Cola, Carrefour e firmas de recursos humanos especializadas em reposição no mercado de trabalho.

O laboratório de segurança digital DRNDR Lab identificou somente no último mês mais de 30 investidas mal-intencionadas que exploram as esperanças de quem busca uma oportunidade neste final de ano. “Cibercriminosos estão se aproveitando da alta taxa de desemprego no País para chamar a atenção para falsas promessas de vagas. Na intenção de se realocar no mercado de trabalho, muitas pessoas estão se cadastrando em anúncios sem a certeza sobre sua veracidade”, comenta o diretor Emílio Simoni.

Ao clicar nas armadilhas, que normalmente oferece vagas atrativas com necessidade de urgência, as vítimas são levadas a um formulário com solicitação de nome completo, data de nascimento e posição profissional que gostaria de ocupar.

Somente isso já seria o suficiente para causar muita dor de cabeça por aí, mas os bandidos vão além. Muitas vezes, as pessoas também são levadas a ceder o número do telefone, cadastrar-se em serviços de SMS pago, baixar apps que podem abrir vulnerabilidades no aparelho e compartilhar os anúncios via WhatsApp.

Saiba como evitar

Para não ser uma das vítimas, sempre procure mais informações antes de sair preenchendo formulários e enviado para qualquer um. O próprio DFNDR Lab oferece uma ferramenta de verificação de endereços em seu site.

Desconfie de oportunidades mirabolantes, não envie dados bancários, observe bem para onde o link redireciona seu conteúdo, não baixe aplicativos de origem duvidosa e evite compartilhar coisas você não tem certeza sobre sua veracidade. Além disso, quem quiser pode também procurar por soluções de segurança anti-phishing disponíveis em lojas de apps.

Fonte: Tecmundo

Golpe que utiliza a Receita Federal é entregue por carta

Um golpe antigo que utiliza o nome da Receita Federal voltou a ser entregue por cartas via Correios para as vítimas. De acordo com denúncia recebida a carta “Intimação para regularização de dados cadastrais” vem com um link falso, que leva a vítima para um site que simula a Receita Federal para preenchimento de dados — e o golpe consiste no roubo destas informações.

As autoridades lidam com este tipo de golpe faz alguns anos e ainda não conseguiram descobrir os responsáveis. O crime é claro, por isso você precisa ter atenção: como um golpe de phishing, os criminosos por trás da carta se utilizam do desconhecimento e da ingenuidade da vítima ao querer resolver um problema.

Mais grave: a Receita Federal não envia links encurtados e links de outros domínios que não sejam os oficiais. Na carta que você acompanha abaixo, nenhum desses parâmetros é cumprido.

“A Receita Federal detectou inconsistências em seu cadastro de Pessoa Física, referente aos seus dados bancários declarados anteriormente”, começa a carta falsa. “Sua situação cadastral está gerando conflitos quanto ao processamento de seus dados bancários, levando seu cadastro de Pessoa Física a constar na malha fina da Receita Federal. Esta intimação tem caráter informativo e explicativo para a regularização de seu cadastro, evitando multas e futuros problemas”.

Tenha certeza: o lugar desta carta é na lixeira

O phishing na carta atua como o phishing de email: entrega a problemática para a vítima que se desespera. Os criminosos então fazem a ameaça e entregam uma solução “rápida”. No caso, um link de email falso para roubar os seus dados após o preenchimento.

“Procedimento online para regularização do cadastro de Pessoa Física da Receita Federal: http:\\info2010XXXXX”. Note o nome da URL e como ela foi encurtada: o problema já está na cara. Caso você tenha recebido esta carta que vê na imagem acima, tenha certeza: o lugar dela é na lixeira.

Fonte: Tecmundo

Falha no Chrome e Firefox permite ataque phishing

Os ataques de phishing não são nenhuma novidade. Sites e serviços falsos que se passam por outros para enganar usuários desavisados existem aos montes, mas você mal se preocupa com isso porque o seu navegador muito provavelmente faz o trabalho de filtrar e avisar caso você esteja prestes a entrar em uma página suspeita. No entanto, como agir quando a ameaça consegue driblar até mesmo esses sistemas de segurança? Pois é exatamente isso o que uma nova ameaça vem fazendo.

De acordo com uma empresa chinesa de pesquisa em segurança digital, há um novo ataque de phishing circulando pela internet que é praticamente impossível de ser detectado até mesmo por quem já está habituado a conferir a autenticidade dos sites que acessa. Segundo o alerta emitido pela companhia, há uma vulnerabilidade presente nos principais navegadores do mercado — Chrome, Firefox e Opera — que pode ser utilizada por hackers para enganar os usuários.

Assim, eles conseguem exibir falsos domínios como se fossem sites legítimos. Com isso, eles podem se passar por sites que você acessa todo dia, como Google, Facebook ou mesmo a loja da Amazon para roubar desde informações de acesso, como seu nome de usuário e senha, até dados pessoais e informações financeiras. Sem que você perceba, o número de seus documentos ou de seu cartão de crédito pode ser roubado quando você acreditava estar navegando em um ambiente seguro.

O que realmente chama a atenção nessa falha é que ela dribla até mesmo os mecanismos que geralmente utilizamos para identificar um phishing tradicional. Exemplo disso é que a empresa de segurança disponibilizou uma página de demonstração com o endereço real da Apple, mas cujo conteúdo não corresponde ao site da companhia. Isso porque essas informações estão sendo enviadas de outro servidor. A ideia é servir como um teste: se você acessar o link e visualizar um aviso ao invés do ver os produtos da Maçã, pode ter certeza de que seu navegador é vulnerável a esse novo golpe.

E o modo com que esses truques são feitos é bastante engenhoso. Eles se utilizam de caracteres Unicode, ou seja, letras de outros alfabetos que acabam sendo representados da mesma maneira que a gente costuma usar na maior parte do mundo. Isso porque os navegadores fazem uma conversão para tratar tudo da mesma forma na exibição, embora continue considerando os caracteres diferentes. Em outras palavras, ele vai mostrar o A cirílico e o A românico da mesma forma — “a” —, mas vai considerá-los diferentes na hora de gerar o endereço. E isso confunde diretamente o usuário, que acha que se trata tudo da mesma coisa.

Assim, o que os hackers fazem é inserir caracteres de vários idiomas para confundir o sistema e criar uma brecha. Como tudo isso vai ser convertido em um código universal, eles driblam a lógica dos navegadores para fazer com que essa salada linguística exiba o endereço que eles querem. É assim que eles conseguem registrar domínios que, para você, vai aparecer como se fosse apple.com, google.com ou qualquer outra página aparentemente de confiança.

Como dito, até o momento os pesquisadores identificaram o problema somente no Chrome, Firefox e Opera — também conhecidos como os programas mais utilizados para navegação. Enquanto isso, Internet Explorer, Microsoft Edge, Safari, Brave e Vivaldi seguem invulneráveis a esse truque.

Como se prevenir

Infelizmente, não tem muito o que os usuários possam fazer para contornar a situação, já que depende muito mais de uma solução apresentada pelas empresas do que ações que você possa fazer em casa. O Google, por exemplo, já está trabalhando em atualizações que corrigem o problema e a previsão é que o update seja liberado para o grande público nos próximos dias. Já a Mozilla segue em discussão sobre o que fazer.

No caso dos usuários do Firefox, há uma saída paliativa para amenizar o problema. Para isso, basta digitar about:config na barra de endereços e confirmar. Em seguida, pesquise por Punycode na área de busca. Isso vai fazer com que somente um parâmetro seja exibido — network.IDN_show_punycode. Clique com o botão direito do mouse sobre ele e selecione a opção Inverter Valor, fazendo com que ele faça a substituição automática e desative a conversão automático desses códigos.

Fonte: Canaltech

Cuidado com os golpes de phishing da Receita

Faltando poucos dias para o fim do prazo de entrega da Declaração do Imposto de Renda Pessoa Física, a Receita Federal alerta para tentativas de phishing scan, ou golpes por e-mail, que aumentam nessa época. Golpistas utilizam como “iscas” o nome do Órgão e temas a ele correlatos para “pescar” suas vítimas no mundo virtual.

O phishing scan consiste no envio de e-mails sugerindo que os internautas baixem arquivos, acessem links ou visitem sites maliciosos. Quadrilhas especializadas em crimes pela Internet transmitem mensagens eletrônicas que servem como meio para os criminosos obterem ilegalmente informações fiscais, bancárias e cadastrais do contribuinte. Ao clicarem em links ou baixarem anexos, os usuários têm seus computadores infectados por vírus e programas que permitem esse acesso ilegal aos dados.

Em uma das modalidades de golpe, a pessoa recebe um e-mail dizendo que a Receita Federal disponibilizou certa quantia de restituição do Imposto de Renda. O usuário deveria então clicar em um link para acessar formulário para o resgate. Outras mensagens fraudulentas indicam a existência de pendência na declaração ou de débito em aberto.

A Receita Federal esclarece que não manda mensagens via e-mail sem a autorização do contribuinte, nem autoriza terceiros a fazê-lo em seu nome.
A única forma de comunicação eletrônica com o contribuinte é por meio do Centro Virtual de Atendimento ao Contribuinte (e-CAC), localizado em sua página na Internet.

A orientação ao internauta que se deparar com esse tipo de mensagem é não responder, não abrir arquivos anexados, nem acionar links para endereços da Internet, excluindo imediatamente o e-mail.

Fonte: Estadão

Phishing que rouba credenciais do Gmail

Phishing é um método de ataque simples, que é baseado no desconhecimento da vítima — você pode saber mais sobre ele aqui. Acontece, muitos de vocês provavelmente sabem como identificar esses golpes e estão ilesos. Porém, um novo método está sendo espalhado pelo Gmail, e ele tem uma aparência que pode lhe enganar.

Como outros métodos de “pescaria”, ele começa de maneira simples: a vítima recebe um e-mail com um arquivo Word ou PDF como anexo. O arquivo é apresentado de maneira legítima pelo Gmail e, assim que a vítima clica no arquivo, ela é redirecionada para uma página de login da Google — como se você tivesse sido desconectado.

Acontece que essa página é falsa e ela que rouba as suas informações. Se a vítima não notar que a página não é legítima, ela vai escrever o endereço de e-mail e a senha para realizar o login.

Agora, como esse phishing engana o Gmail ao apresentar o arquivo Word ou PDF de maneira legítima? Na verdade, não é um arquivo dos formatos citados, mas uma imagem de como eles ficariam caso estivessem anexos.

Incrivelmente, quem notou o golpe não foi uma empresa de segurança, mas o youtuber Tom Scott — clique aqui para ver. De acordo com um tweet, ele comenta que percebeu o golpe porque a resolução de seu monitor é alta, e a página falsa havia ficado um pouco distorcida. Além disso, a URL da página não havia o padrão de segurança “https://”.

Fonte: Tecmundo

Phishing é a maior ameaça para os donos de iPhone

golpe-iphoneA situação é triste: seu iPhone é roubado, você faz o boletim de ocorrência, cancela o chip e compra um novo para colocar em outro aparelho. Após algum tempo, eis que você recebe um SMS pedindo para acessar um link em que é necessário digitar um login do iCloud para ver a localização do seu aparelho.

Isto é um típico ataque de phishing, isto é, uma tentativa de conseguir dados pessoais (como senha) de um usuário por meio de fraude. Geralmente, com essas informações em mãos, o golpista pode desbloqueá-lo para ter acesso aos dados pessoais (como fotos ou vídeos comprometedores) e extorquir o dono ou até mesmo revender o dispositivo.

“Este tipo de ataque tem aumentado consideravelmente nos últimos anos. Uma das possíveis razões é o alto valor de revenda de iPhones”, afirmou Fábio Assolini, analista de segurança da Kaspersky Lab Brasil.

Como ocorre o ataque

Com um aparelho em mãos e bloqueado via iCloud, a única solução do golpista para que o iPhone deixe de ser um peso de papel é tentar burlar os sistemas de segurança. Passar pelo sistema de desbloqueio por código do aparelho é difícil, porém não impossível, como já foi mostrado algumas vezes.

O passo seguinte, porém, envolve tentar hackear a conta do iCloud da pessoa. E aí é que entra o phishing por SMS. No iPhone, é possível saber o número da linha do usuário de duas formas: indo ao menu Ajustes, se ele estiver sem senha; ou simplesmente tirando o SIM card dele e colocando num outro aparelho. Com essa informação em mãos, o atacante tenta enviar uma “isca” via mensagem de texto.

“Phishing é a maior ameaça contra donos de iPhone”

Sabemos que as empresas de tecnologia melhoraram os mecanismos de segurança nos smartphones para tornar o roubo desse tipo de aparelho uma atividade menos atraente para os ladrões. No entanto, essa prática de phishing tem sido comum entre usuários de iOS, segundo a Kaspersky.

“Phishing é a maior ameaça contra donos de iPhone. A Apple consegue com algum sucesso coibir vírus no ambiente móvel. No entanto, este tipo de golpe sempre acha vítimas que acabam cedendo seus dados para golpistas”, afirmou Assolini.

Em um mundo ideal, seria interessante que os provedores e fabricantes monitorassem esse tipo de iniciativa e encerassem essas páginas o quanto antes.

Como os golpistas são rápidos e acham formas de hospedar páginas em plataformas distintas, resta ao usuário ficar esperto ao abrir links estranhos e tomar alguns cuidados específicos. Ative a autenticação de dois fatores da Apple, para que qualquer tipo de mudança seja verificada em um segundo meio, como um código enviado a outro aparelho; e após um furto ou roubo, bloqueie o iPhone via iCloud o mais rápido possível.

Fonte: Gizmodo