Fóruns na dark web negociam dados de usuários

security_riskFuncionários que possuem acesso privilegiado a informações confidenciais estão encontrando compradores para essas informações no submundo da web, segundo um relatório elaborado pelas empresas de segurança RedOwl e IntSights.

Atraídos pela promessa de dinheiro fácil e pela facilidade de execução do golpe, funcionários de bancos e instituições financeiras são recrutados por donos de sites na Dark Web para disponibilizarem dados sensíveis, tais como informações financeiras e meios de acesso a servidores de bancos ou outros ambientes corporativos.

A Dark Web, ou “web obscura”, refere-se a sites que precisam de softwares e autorizações específicas para serem acessados. Seus endereços, ou URLs, normalmente não se encontram em sites de busca e o método de acesso costuma ter proteções para garantir o anonimato dos usuários.

Segundo o relatório, há páginas nesses espaços que se dedicam à monetização da informação privilegiada, mediando o contato entre comprador e vendedor. Os vendedores são funcionários de instituições financeiras ou grandes corporações, e nesses fóruns são chamados de “Insiders”. Criadores de vírus fornecem as ferramentas necessárias para realizar ataques mais sofisticados, sem que seja necessário muito conhecimento do insider. A adesão a esses sites só é permitida àqueles que têm conhecimentos valiosos para oferecer.

O fórum Kick Ass Marketplace, por exemplo, cobra uma taxa de adesão de US$ 820 e o seu proprietário afirma que existem membros do clube que ganham mais de US$ 5.000 por mês negociando dados vazados, tais como números de cartões de crédito roubados. A atividade dos insiders neste fórum movimenta aproximadamente US$ 35.800 por semana.

As transações financeiras normalmente ocorrem por meio de moedas virtuais, como o Bitcoin.

Ainda segundo o relatório, recentemente surgiram sites voltados exclusivamente a informações sensíveis para manipulação do mercado de ações e outros dedicados à venda de acesso a sistemas corporativos e seus recursos,. Outros serviços comercializados incluem acesso ao mercado de câmbio, venda de commodities e até técnicas do tipo “saber antes dos outros o que vai acontecer”.

O fórum “The Stock Insiders”, que é dedicado somente ao comércio de “Insiders”, exibe anúncios solicitando funcionários de empresas conforme o perfil desejado. Em um anúncio, o solicitante buscava por um operador de caixa que trabalhasse em lojas com estoques de iPhones; em outro anúncio, um criminoso solicitava algum funcionário de banco que tivesse acesso ao computador do banco operando em mais alto nível para poder implantar um vírus na rede interna da instituição.

Em outras palavras, o invasor suborna um funcionário do banco para burlar todos mecanismos técnicos de segurança utilizados pela instituição.

A RedOwl acredita que as equipes de gerenciamento de risco precisam criar ativamente programas que lidem com ameaças internas — ou seja, dos próprios funcionários — e não apenas se concentrar em ameaças externas. Segundo a empresa, embora 80% das iniciativas de segurança se concentrem na defesa do perímetro — acessos de fora para dentro –, menos de metade das organizações investem na proteção contra ameaças internas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Linha Defensiva

Cibercriminosos clonam contas do WhatsApp para pedir dinheiro aos seus contatos

whatsappSua conta do WhatsApp pode ser clonada por criminosos para roubar dinheiro de amigos e parentes. Um golpe divulgado recentemente conta com a ajuda de funcionários de operadoras, que transferem seu número de celular para outro chip e permitem que o aplicativo de mensagens seja ativado em outro aparelho. De posse da sua conta, criminosos se passam por você para pedir dinheiro a contatos próximos.

O golpe foi divulgado no último domingo pelo programa Fantástico, mas vem sendo aplicado há bastante tempo. Em julho de 2016, um funcionário da Vivo foi preso em flagrante no Maranhão depois de ter sido pego desativando os celulares das vítimas e habilitando as linhas em chips em poder dos criminosos. Na semana passada, dez pessoas de Porto Alegre procuraram a polícia para denunciar o esquema.

Na prática, é como se você fosse a uma loja da sua operadora dizendo que precisa trocar seu chip, mas manter o número. Sua linha, então, sai do ar e vai para o aparelho do golpista, que consegue entrar na sua conta do WhatsApp. Enquanto você não percebe nada de errado, o criminoso envia mensagens para pais, amigos ou até secretárias, se passando por você — em um dos casos, um empresário teve prejuízo de R$ 100 mil depois que sua secretária transferiu dinheiro e até pagou contas de criminosos.

Não é muito difícil perceber que seu WhatsApp foi clonado. Para que sua linha seja transferida temporariamente para o chip de um golpista, você ficará sem sinal no chip atual. E, enquanto estiver usando o smartphone, o aplicativo de mensagens pedirá que você verifique seu número de celular novamente, como se tivesse reinstalado o WhatsApp — no entanto, como você está sem sinal, não conseguirá receber o SMS de verificação e ficará impossibilitado de se comunicar.

Também é simples se proteger: na quinta-feira (9), o WhatsApp liberou para todos os usuários um recurso de verificação em duas etapas. Com a proteção ativada, caso você (ou um golpista) ative seu WhatsApp em outro celular, precisará, além do SMS de verificação (que poderia ser interceptado ou desviado para outro chip), uma senha de 6 dígitos que só você possui. É melhor se precaver.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecnoblog

Maioria das VPNs para Android são um risco para o usuário

vpn_the_worstEsteja você tentando aumentar sua privacidade durante a navegação na internet, acessar conteúdos restritos para a sua localização ou então contornar situações como um bloqueio do WhatsApp pela Justiça, é provável que já tenha usado uma VPN. Como supostamente criptografam suas informações e as roteiam para outros países, essas redes parecem ser a solução ideal para situações como as descritas. No entanto, um estudo recente indica que elas podem também representar um risco para os usuários.

Feito com a participação de uma série de pesquisadores de instituições que incluem a Universidade da Califórnia em Berkeley e a CSIRO, uma agência federal australiana, o trabalho analisou quase 300 VPNs para Android e descobriu dados alarmantes sobre elas. De acordo com a pesquisa, nada menos que 84% das redes disponíveis para os dispositivos com o sistema operacional da Google vazam os dados de tráfego das pessoas que as utilizam.

Além disso, 38% das VPN estudadas no Android continham algum tipo de malware ou de anúncio mal-intencionado e 18% simplesmente não contavam com qualquer tipo de encriptação real. Três dos aplicativos (Neopard, Dash VP e DashNet) chegam até a interceptar as informações de tráfego diretamente, permitindo que operadores lessem emails de usuários que abrissem suas contas do Gmail, entre outras atividades nefastas – embora eles alegassem que coletavam esses dados apenas para aumentar a velocidade das conexões.

Questão de confiança

Um dos coautores do estudo, o pesquisador Narseo Vallina-Rodriguez da IMDEA Networks e da ICSI disse não ter ficado surpreso com os resultados. “Para mim, o fato chocante é que as pessoas confiam nesse tipo de tecnologia”, disse o cientista ao site The Verge. Segundo ele, ao instalar esses apps, os usuários estão simplesmente entregando suas conexões, e, se a companhia que a está recebendo não for confiável, pode acabar abusando desse acesso.

Embora a pesquisa tenha se focado em opções de VPNs gratuitas para Android, o estudioso afirma que pagar por um serviço do tipo também não é garantia de que você estará livre desses riscos. Ainda assim, nesses casos a questão é puramente de confiança na companhia que você está pagando, algo similar ao que já acontece normalmente com seus fornecedores de conexão com a internet.

Outro ponto que merece atenção é o fato de o trabalho ter analisado apps no ano passado, alguns dos quais já foram removidos da Google Play Store desde então. Além disso, o estudo não avalia se todas as brechas de segurança encontradas existem por motivos maliciosos ou não. Por fim, a pesquisa também não investigou VPNs para iOS, mas Vallina-Rodriguez diz acreditar que a avaliação mais rígida da App Store provavelmente elimina opções mais suspeitas. Em todo caso, vale o alerta: fique atento à empresa à qual você está confiando sua conexão.

A imagem de abertura deste post traz a lista dos 10 piores apps de VPN para Android no que diz respeito a malwares.

Agradecemos ao Davi e ao Igor pela referência a essa notícia.

Fonte: Tecmundo

Autopreenchimento dos navegadores pode ser um risco

SegurançaPara muitas pessoas, o sistema de autopreenchimento encontrado em navegadores pode ser uma mão na roda, mas o que talvez muitos não saibam é que ele pode fazer algo mais: passar as suas informações para pessoas mal-intencionadas. E, evidentemente, isso não é algo muito bom.

Viljami Kuosmanen, um desenvolvedor e hacker finlandês, descobriu que diversos navegadores, entre eles o Chrome, o Safari e o Opera (e até mesmo plugins como o LastPass), podem estar passando informações pessoais por conta do sistema de autopreenchimento. E de uma maneira bem simples: quando o usuário coloca algumas informações como nome e endereço de email em formulários, esse recurso acaba entregando dados que podem aparecer em outras caixas, ainda que essas não estejam visíveis.

O Chrome, por exemplo, é capaz de guardar informações como endereço de email, números de telefone e até mesmo dados de cartão de crédito. Aparentemente, o Firefox acaba ficando imune a esse problema, já que ele ainda não possui um sistema que acaba usando a ideia de preenchimento automático de uma maneira programada.

Se você ficou preocupado com essa possibilidade de ataque, há uma maneira bem simples de se proteger deles: basta desabilitar o sistema de autopreenchimento do navegador ou das configurações de extensões.

Fonte: Tecmundo

Você usa caixas eletrônicos? Está cada vez mais arriscado…saiba porque

atm-jackpottingCaixas automáticos ou ATMs sempre foram um dos principais alvos de criminosos. No passado, atacar um ATM incluía aparatos pesadas como maçaricos e explosivos. No entanto, com a aurora da Era Digital, tudo mudou. Os criminosos de hoje podem atingir o mesmo objetivo sem esses efeitos especiais.

Olga Kochetova, especialista em testes de infiltração da Kaspersky Lab, explicou os motivos pelos quais os caixas são tão vulneráveis, em sua palestra “Formas de roubar ATMs com e sem malware.”

1. Em primeiro lugar, ATMs são basicamente computadores. Eles consistem em um número de sistemas eletrônicos, incluindo controles industriais, porém sempre há um computador comum no núcleo do sistema.

2. Além disso, é bem provável que esse computador seja controlado por um Sistema operacional bem antigo como o Windows XP. Você provavelmente já sabe o que tem de errado nisso: o XP não recebe mais suporte da Microsoft, então qualquer vulnerabilidade encontrada depois que o suporte foi interrompido jamais será corrigida. E você pode ter certeza que existem MUITAS como essa.

3. É possível que existam diversos programas vulneráveis sendo executados em sistemas de ATMs. Desde flash players desatualizados com mais de 9000 erros conhecidos até ferramentas de administração remota e muito mais.

4. Fabricantes de ATMs tendem a acreditar que sempre estão operando em “condições normais” e nada pode dar errado. Desse modo, dificilmente existe qualquer controle de integridade de software, solução de antivírus ou autenticação por aplicativo que envie comandos para o distribuidor de notas.

5. Em contraste às unidades de depósito e entrega de dinheiro que estão sempre bem protegidas e trancadas, a parte do computador de um ATM é facilmente acessível. Seu envoltório tende a ser feito de plástico, ou de metal fino na melhor das hipóteses, além de trancado com uma fechadura simples demais para barrar criminosos. A lógica dos fabricantes é a seguinte: se não tem dinheiro nessa parte, por que se importar em como mantê-la?

6. Módulos de ATM são interconectados com interfaces padrão, como portas COM e USB. Às vezes essas interfaces são acessíveis de fora da cabine do ATM. Se não, basta lembrar do problema anterior.

7. Por natureza, ATMs tem de estar conectados – e sempre estão. Já que a Internet é o meio mais barato de comunicação nos dias de hoje, bancos a usam para conectar os caixas aos centros de processamento.

Considerando todos os problemas mencionados, existem muitas oportunidades para os criminosos. Por exemplo, eles podem criar um malware, instalá-lo no sistema do ATM e sacar dinheiro. Esses trojans aparecem regularmente. Por exemplo, há um anofoi descoberto um chamado Tyupkin.

Outra forma é usar programas adicionais que podem ser conectados às portas USB dos caixas eletrônicos. Para provar sua ideia, Olga Kochetova e Alexey Osipov, usaram um pequeno computador Raspberry Pi, equipado com adaptador Wi-Fi e bateria. Veja o vídeo abaixo para saber o que aconteceu depois.

Um ataque por meio da Internet pode ser ainda mais perigoso. Criminosos podem estabelecer centros de processamentos de dados falsos, ou tomarem um verdadeiro. Nesse caso, criminosos podem roubar diversos ATMs sem precisarem ter acesso a seu hardware. Foi exatamente isso que os hackers do grupo Carbanak conseguiram fazer: eles obtiveram controle sobre PCs críticos nas redes de bancos e depois disso, foram capazes de enviar comandos diretos para os ATMs.

No fim, bancos e fabricantes de ATMs deviam ser mais atenciosos com a segurança das máquinas bancárias. Eles precisam reconsiderar tanto os softwares e medidas de segurança de hardware, produzir uma infraestrutura de rede segura e por aí vai. Também é importante que os bancos e fabricantes reajam rápido às ameaças e colaborem intensivamente com agências reguladoras da lei e empresas de segurança.

Fonte: Kaspersky blog

Falha grave de segurança em cartões de crédito é preocupante

cartoes_creditoPesquisadores da Universidade de Newcastle, no Reino Unido, provaram que existe um falha na segurança de cartões de crédito que facilmente expõe os dados sensíveis de titulares. De acordo com a pesquisa, “se o número do cartão estiver registrados em muitos sites diferentes, os sistemas de segurança do cartão não são ativados e o dono também não é notificado de uma possível atividade fraudulenta”.

O software desenvolvido pelos pesquisadores foi capaz de compilar dados importantes de cartões de créditos registrados em diferentes websites, como data de validade, endereço do titular, código de segurança etc. No começo do mês, mais de 20 mil contas do Tesco Bank acabaram vazando, e rumores indicam que hackers utilizaram a mesma técnica demonstrada no estudo.

A pesquisa foi publicada no IEEE Security & Privacy 2017 e a Universidade confirmou que enviou avisos para a Visa sobre a falha, mas a companhia não “levou muito a sério”, segundo o TNW.

“A pesquisa não leva me conta as múltiplas camadas de prevenção que existem com os sistemas de pagamento, cada um deles precisam ser completos para uma transação ser realizada no mundo real”, comentou a Visa ao The Independent.

Os efeitos da liberação dessa pesquisa ainda serão sentidos. Assim que tivermos mais novidades, atualizaremos essa notícia.

Fontes: Tecmundo e TNW

Redes de Wi-Fi grátis são convite à ação de cibercriminosos

danger-free-wi-fiEm um exemplo perfeito de como redes públicas wireless podem ser perigosas para privacidade e segurança, um hacker de Israel mostrou que poderia ter assumido uma rede Wi-Fi gratuita de toda uma cidade.

No caminho para voltar para casa um dia, o diretor de pesquisas da empresa israelense Equus Technologies, Amihai Neiderman, viu um hotspot wireless que não tinha visto antes. O que lhe chamou a atenção é que isso foi em uma área sem prédios.

Acontece que o hotspot que ele viu, nomeado como “FREE_TLV”, fazia parte da rede Wi-Fi gratuita disponibilizada pela prefeitura de Tel Aviv, em Israel. Isso fez Neiderman pensar: o quanto essa rede é segura?

Nas semanas seguintes, descobrir uma maneira de comprometer essa rede tornou-se um projeto alternativo para fazer no seu tempo livre. Primeiro ele se conectou à rede por meio de um dos pontos de acesso espalhados pela cidade e verificou qual era seu novo endereço de IP. Esse costuma ser o endereço publicado designado para o roteador por meio do qual todos os clientes Wi-Fi acessam a Internet.

Ele então se desconectou e verificou que o endereço de IP da Internet em busca de portas abertas. Ele descobriu que o aparelho estava servindo uma interface de login baseada na web pela porta 443 (HTTPS).

Essa interface mostrava o nome da fabricante – Peplink – mas não trazia outras informações sobre o tipo ou modelo do aparelho. Uma análise da interface web também não revelou nenhuma vulnerabilidade básica, como injeção SQL, credenciais de login padrão ou fracas ou falhas de autenticação.

O especialista então percebeu que era necessário uma análise mais detalhada do firmware em si do aparelho. Identificar o aparelho e descobrir o firmware exato para baixar a partir do site da fabricante não foi fácil, uma vez que a Peplink cria e vende muitos tipos de aparelhos de redes para diferentes segmentos de mercado. No entanto, Neiderman eventualmente chegou à versão 5 do firmware do roteador Balance 380, da Peplink.

O firmware usava criptografia básica baseada em XOR para dificultar a vida de terceiros que tentassem aplicar engenharia reversa no seu sistema de arquivos, mas isso foi relativamente fácil de superar. Uma vez que tudo tinha sido “desempacotado” e carregado em um emulador, Neiderman conseguiu a acessar os scripts da CGI (Common Gateway Interface) que formavam a interface web do roteador.

Não demorou muito até que o pesquisador encontrasse uma vulnerabilidade de buffer overflow no script CGI que lidava com o processo de logout. A falha podia ser explorada ao enviar um cookie de sessão muito longa para o script e a exploração bem-sucedida resultava na execução arbitrária de código e controle completo sobre o aparelho.

Nedeirman apresentou suas descobertas nesta semana durante a conferência de segurança DefCamp, em Bucareste, na Romênia. O especialista se recusou a dizer se chegou a testar seu exploit nos roteadores da Peplink usados para operar a rede Wi-Fi pública de Tel Aviv.

No entanto, quando ele informou a falha para a Peplink, a empresa confirmou o problema e enviou um patch em uma atualização de firmware. Por isso, o firmware dos roteadores da rede de Tel Aviv estavam realmente vulneráveis quando Neiderman descobriu a falha.

Apesar de descobertas de vulnerabilidades não serem incomuns, esse caso se destaca porque mostra que pessoas com conhecimentos podem potencialmente atacar milhares ou dezenas de milhares de usuários ao comprometer redes de Wi-Fi público como essas as operadas por cidades pelo mundo.

Ao controlar um roteador, os invasores podem espionar todo o tráfego não criptografado dos usuários que passa por ele e capturar informações sensíveis. Eles também podem realizar ataques ativos, como redirecionar usuários para servidores web maliciosos.

Fonte: IDGNow!