Criptomineradores estão tomando o lugar de ramsomwares

A Kaspersky fez uma previsão no final de 2017 que se concretizou neste ano: os criptomineradores roubaram o primeiro lugar dos ransomwares na lista de ameaças mais temidas entre consumidores e empresas.

“Podemos afirmar que os ransomware estão em declínio”, comentou a empresa. “Apesar de continuarem com seus impactos dramáticos e grande potencial de assustar as vítimas, que vão desde usuários domésticos manipulados por ameaças de arquivos ilícitos e constrangedores em seus computadores até empresas pressionadas a pagarem grandes valores para recuperar acesso a arquivos críticos”.

Alguém que usa secretamente seus recursos eletrônicos pode esconder suas intenções, mas não é possível agir em total sigilo

Segundo dados da Kaspersky, o número de usuários atacados por criptomalwares caiu quase pela metade, de 1,1 milhão em 2016/2017 para 751 mil em 2017/2018. Dessa maneira, os criptomineradores assumiram o lugar: o número de detecções subiu de 1,9 para 2,7 milhões, assim como a proporção de ameaças detectadas, de 3% para 4%.

“Enquanto o ransomware aparece e aterroriza suas vítimas, os criptomineradores fazem de tudo para ficarem escondidos — quanto mais tempo trabalharem, maiores os lucros dos criminosos — e, como resultado, as vítimas podem não notá-los por um tempo”, afirma a Kaspersky. “Se você quiser testar a mineração de criptomoedas, deve levar em conta o impacto. Alguém que usa secretamente seus recursos eletrônicos pode esconder suas intenções, mas não é possível agir em total sigilo. Um computador ou dispositivo móvel que esteja executando esse tipo de atividade pode refletir algumas mudanças sutis ou mais óbvias”.

Se você quiser saber quais são as mudanças que um criptominerador pode causar no seu PC ou smartphone, veja abaixo:

  • A capacidade de resposta do sistema vai ficar mais lenta — já que a memória, o processador e o adaptador gráfico do dispositivo estão atolados para completar as tarefas de mineração
  • As baterias vão acabar muito mais rápido do que antes e os dispositivos podem superaquecer
  • Se o dispositivo tem um plano de dados, os usuários vão ver esse uso disparar

Já para se proteger, melhores práticas:

  • Atualize regularmente o seu sistema operacional e todos os programas. Sugerimos que comece agora
  • Desconfie sempre dos anexos de e-mail. Antes de clicar para abrir um anexo ou seguir um link, reflita: é de alguém que você conhece e confia? É esperado? Está limpo? Passe o mouse sobre os links e anexos para ver como estão nomeados ou para onde realmente direcionam
  • Não instale programas de fontes desconhecidas. Podem conter, e frequentemente contêm, criptomineradores maliciosos
  • Utilize uma boa solução de segurança.
Fonte: Tecmundo

Falha expõe 100 milhões de usuários do Android e iOS

A Google oferece os servidores do Firebase para desenvolvedores que precisam de soluções de nuvem para armazenar recursos e informações dos usuários de seus aplicativos. Ele é uma ótima saída para quem não pode bancar toda essa infraestrutura por conta e deseja algo funcional e seguro.

Contudo, o descuido de alguns desenvolvedores na hora de configurar a sua própria base de dados no Firebase tem gerado um grande problema. Com isso, tanto aplicativos de iOS quanto de Android que usam o serviço de nuvem da Google deixaram expostos dados pessoais de mais de 100 milhões de pessoas.

Segundo o site iMore, são mais de 2,2 mil bancos de dados vulneráveis. Uma pesquisa feita pelo Appthority indica que 113 GB de dados de 3.046 aplicativos que utilizam o Firebase estavam vulneráveis. Desses apps, 600 são de iOS e outros 2.446 são de Android.

De acordo com os especialistas, as informações vazadas contêm 26 milhões de nomes de usuário e senhas em textos simples, mais de 4 milhões de registros de informações de saúde protegidas, 25 milhões de registros de GPS, dados de 50 mil transações financeiras (inclusive com bitcoins) e ainda 4,5 milhões de dados corporativos de usuários do Facebook e do LinkedIn.

Diante da polêmica gerada pela revelação, a Google se posicionou e informou que mantém um aviso na página de configuração de cada base de dados quando ela está configurada de uma maneira insegura, além de enviar um email notificando o desenvolvedor. A empresa garante que a sua ferramenta é segura e não sofreu qualquer tipo violação, portanto, é o descuido de alguns desenvolvedores que deixa as informações expostas.

Fonte: Tecmundo

Cuidado com extensões maliciosas

Um trojan bancário é um malware que rouba as credenciais dos usuários – como logins, senhas e números de identificação – e, claro, dinheiro. Apesar de serem comuns entre os cibercriminosos, usar uma extensão maliciosa em um navegador não é a primeira escolha – principalmente por razões técnicas, é mais fácil que hackers criem as próprias extensões de adware (propaganda).

No final de abril, produtos da Kaspersky detectaram uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”) que se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos. Essa extensão maliciosa, segundo nossos especialistas, atacou quase 100 clientes brasileiros de vários bancos.

Extensões maliciosas tendem a utilizar diferentes técnicas para impedir detecções por soluções de segurança. Devido ao protocolo WebSocket, os autores do golpe conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, que age como um servidor proxy para quando a vítima visitar sites de bancos brasileiros.

O código malicioso copiou o botão “Fazer login” para que, quando o usuário insere suas credenciais, elas são passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto ataque Man-in-the-Middle.

“Extensões de navegador destinadas a roubar logins e senhas são menos comuns em comparação às extensões de adware. Mas, dado o possível dano, vale a pena levá-las a sério. Recomendamos escolher extensões conhecidas, que tenham um considerável número de instalações e avaliações na Chrome Web Store ou em outros serviços oficiais. Afinal, apesar das medidas de proteção tomadas pelos proprietários de tais serviços, extensões maliciosas ainda podem infiltrá-las”, diz Vyacheslav Bogdanov, autor da pesquisa.

Extensão maliciosa na Chrome Store

“Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky Lab.

Fonte: Kaspersky

Apps populares podem vazar seus dados pessoais

Este artigo não fala de Trojans, mas sobre aplicativos genuínos que, ainda assim, podem vazar seus dados online. Nossos especialistas analisaram um total de 13 milhões de APKs (arquivos de pacote para Android) e descobriram que aproximadamente um quarto deles transmite dados sem criptografia na internet. Alguns desses aplicativos têm centenas de milhões de downloads, às vezes mais de meio bilhão! Não dá para chamar algo assim de “probleminha”.

Por vezes, informações são expostas online em função de algum erro do desenvolvedor – todavia não é isso que acontece na grande parte dos casos. Quando solicitados para o envio de dados de usuários para um servidor, a maioria dos apps vai usar um protocolo HTTPS seguro, que impede a interceptação. O problema está nos serviços de terceiros que os desenvolvedores incorporam sem verificação de antecedentes. Por exemplo, alguns analíticos ou de publicidade conduzem informações pela internet por meio do protocolo HTTP padrão, que não é seguro.

Que informações podem ser afetadas?

A maior parte dos vazamentos de dados que detectamos tinha a ver com o modelo do dispositivo, suas especificações técnicas, dados relacionados à rede ou aos provedores de internet, e o nome do APK (pelo qual o sistema reconhece o pacote); muitos serviços também revelaram as coordenadas do smartphone ou tablet.

Em alguns casos, informações sobre o uso dos aplicativos foram transmitidas pelo HTTP por um serviço terceirizado integrado. Dentre esses dados estavam curtidas, publicações, páginas visitadas, além de detalhes sobre o dono do aparelho – nome, telefone, data de nascimento. Descobriu-se que as chaves únicas criadas para cada pedido de autorização também eram transferidas de forma insegura. Felizmente, a maioria dos serviços não repassa logins e senhas sem criptografia, apesar de alguns o terem feito.

O que há de perigoso nisso?

Informações transmitidas por HTTP são enviadas como um texto simples, e podem ser lidas por qualquer pessoa – inclusive seu provedor de internet, por exemplo. Além disso, o caminho entre o aplicativo e o servidor da outra parte provavelmente tem vários “pontos de trânsito”, na forma de dispositivos que recebem e armazenam informação por um determinado período de tempo.

Qualquer equipamento de rede, o que inclui seu roteador doméstico, pode ser vulnerável. Se hackeado, vai permitir que criminosos tenham acesso as suas informações – o provedor de internet, por outro lado, não precisa hackear nada para isso. E a obtenção de qualquer informação sobre o dispositivo (especificamente códigos IMEI e IMSI) é o suficiente para monitorar suas ações futuras. Quanto mais completa a informação, mais você se torna um livro aberto para os outros – de anunciantes até amigos falsos que oferecem arquivos maliciosos para download.

Entretanto, os vazamentos de dispositivos e dados são apenas parte do problema; informações sem criptografia também podem ser substituídas. Por exemplo, em resposta a um pedido de HTTP de um aplicativo, o servidor pode enviar um anúncio em vídeo, que os cibercriminosos podem interceptar e substituir por uma versão menos inofensiva. Ou então podem simplesmente mudar o link dentro de um anúncio – e ao invés de baixar um jogo bonitinho ou um aplicativo para fins corporativos, os usuários correm o risco de fazer o download de algo muito mais nefasto.

O que pode ser feito

Essas questões devem realmente ser solucionadas pelos desenvolvedores de aplicativos. Mas não se pode confiar completamente que irão resolver, assim, temos algumas dicas simples que podem protegê-lo melhor.

Verifique as permissões solicitadas por um aplicativo – pode demorar, mas nunca é uma perda de tempo, mesmo quando o app tem milhões de downloads. Se, digamos, um aplicativo de mensagem instantânea quer saber sua localização, não se sinta obrigado a revelar. Saiba mais detalhes sobre as permissões do Android aqui.
Compre versões pagas dos aplicativos, se possível. Elas não mostram anúncios, o que significa menor risco de vazamento de dados. No entanto, pode ser que ainda utilizem módulos analíticos terceirizados que muitas vezes se comportam do mesmo jeito.
Utilize uma VPN – essa conexão segura vai proteger seus dados mesmo que os desenvolvedores não consigam.

Fonte: Kaspersky

HTTPS (cadeado verde) não é garantia de segurança

Sejamos honestos, quando a maioria das pessoas veem um cadeado verde com a palavra seguro à esquerda de uma URL, pensam que realmente estão em um ambiente protegido. O mesmo vale para “esse site usa uma conexão segura” ou URLs que começam com as letras “https”. Cada vez mais sites passam para HTTPSL. A maioria não tem escolha. Mas afinal, qual o problema? Quanto mais medidas de segurança melhor, não é mesmo?

Estamos prestes a revelar um pequeno segredo: aqueles símbolos de “segurança” não garantem que um endereço está seguro. Um site de phishing, por exemplo, pode de forma legítima exibir esse cadeado verde reconfortante ao lado do endereço https. Então o que está acontecendo? Vamos descobrir.

Conexão segura não significa um site idem

O cadeado verde significa que o site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informação transmitida entre você e a página. Nesse caso, a URL começa com HTTPS, com o último “S” significando “Seguro”.

Claro, dados transmitidos criptografados são ótimas premissas. Significam que a informação trocada entre seu navegador e o site não está ao alcance de terceiros – provedores, administradores de rede, cibercriminosos, entre outros. Isso permite a inserção de senhas e detalhes de cartão de crédito sem olhos curiosos.

O problema é que cadeados verdes e os certificados não dizem nada sobre o site em si. Uma página de phishing pode simplesmente obter esse certificado e criptografar todo o fluxo com você.

De forma simples, o cadeado simplesmente garante que ninguém mais pode espionar os dados inseridos. No entanto, sua senha ainda pode ser roubada pelo site, caso seja falso.

Phishers usam e abusam disso: de acordo com a Phishlabs, um quarto dos ataques desse tipo são executados por sites HTTPS (há dois anos, eram menos de 1%). Além disso, mais de 80% dos usuários acreditam que a mera presença do símbolo significa que o site é seguro, o que os leva a não pensar duas vezes antes de inserir seus dados.

Mas e se o cadeado verde não estiver onde deveria?

Se a barra de endereço não tiver cadeado, significa que o site não usa criptografia, ou seja, troca informação com seu navegador por meio de HTTP comum. O Google Chrome começou a rotular tais páginas como inseguras. Embora possam ser legítimas, não criptografam tráfego entre você e o servidor. A maioria dos proprietários não querem que o Google classifique seus sites como inseguros, de forma que a migração para HTTPS é questão de tempo. De qualquer forma, digitar dados sensíveis em qualquer ambiente sem o “s”é má ideia – qualquer pessoa mal-intencionada pode estar de olho.

A segunda variante se trata de uma fechadura cruzada com linhas vermelhas acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido. Ou seja, a conexão entre você e o servidor é criptografada, mas não há garantia que o domínio de fato pertence a empresa indicada no site. Esse é o caso mais suspeito -normalmente tais certificados são usados apenas para testes.

De maneira alternativa, se o certificado expirou e o proprietário não foi atrás de renová-lo, navegadores trataram a página como insegura, o que visualmente, reflete em um aviso com uma fechadura vermelha. Nesse caso, considere esse alerta como indicação para evitá-los -a preocupação deve ser duplicada se pensar em digitar dados pessoais.

Como não cair em uma armadilha?

Para resumir, a presença do certificado e do cadeado verde significam apenas que a transmissão entre você e o site está criptografada, e o certificado foi emitido por uma autoridade confiável. Entretanto, isso não previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.

Portanto, fique ligado, não importa se a primeira impressão sobre o site parece segura.

  • Nunca digite informações de login, senhas, credenciais bancárias, ou outra informação pessoal em sites sobre os quais você não tem certeza acerca da autenticidade. Para isso, verifique o nome do domínio – e com bastante cautela. Os nomes de sites falsos podem diferir do original, até mesmo por apenas simples letra. Certifique-se que links são confiáveis antes de clicar.
  • Sempre leve em conta o que um site em particular oferece, caso pareça suspeito e se você realmente precisa se registrar.
  • Faça uma verificação do link em um site como o Virus Total.
Fonte: Kaspersky

Crimes cibernéticos podem causar prejuízo de até US$ 8 tri para empresas

Os crimes cibernéticos podem causar prejuízos de até US$ 8 trilhões para empresas no mundo todo nos próximos cinco anos. Os cálculos constam do estudo Global Risks Report 2018, produzido pelo World Economic Forum (WEF), com o apoio da seguradora suíça Zurich. O montante equivale ao Produto Interno Bruto (PIB) do Reino Unido, França e Alemanha juntos.

Prevenir, prevenir

A saída para conter a escala dos custos é a adoção de medidas que incorporem o risco cibernético no dia a dia das organizações, segundo a corretora de seguros Aon. Para 2018, a consultoria prevê uma exposição ainda maior do mundo corporativo graças à convergência de três tendências: dependência crescente da tecnologia nas empresas; foco intensificado das agências reguladoras em proteger dados dos consumidores e o valor crescente de ativos intangíveis.

Fonte: Estadão

Promoção imperdível para a copa na Rússia? Desconfie…

A Kaspersky Lab identificou uma nova campanha de phishing disseminada por e-mail com uma falsa promoção para a Copa do Mundo de Futebol, que ocorre a partir de junho na Rússia. O e-mail, escrito em português e direcionado para os usuários brasileiros, promete uma viagem exclusiva aos ganhadores da promoção com dez pacotes com tudo pago para assistir à uma partida de futebol.

Os usuários que recebem a falsa promoção intitulada #PartiuRússia são instigados a clicar em um link, que direciona para uma página com um formulário com o passo a passo. Nesta página, os clientes devem fornecer informações sobre seu cartão de crédito e informar se a bandeira é Visa Infinite ou Black.

Para executarem essa campanha de phishing, os cibercriminosos registraram um novo domínio que parece legítimo – o website conta com uma seção de Perguntas Frequentes, Como Participar, bem como descrição dos prêmios – porém todo o conteúdo no servidor da Web não passa de uma fraude. Além das informações do cartão de crédito, os cibercriminosos roubam informações pessoais da vítima, como data de nascimento, CPF, entre outros – como na imagem abaixo.

“Mais uma vez fica claro como os cibercriminosos brasileiros têm utilizado campanhas de phishing com assuntos atuais para atrair cada vez mais vítimas. Por ser um país grande e com muitos usuários online, o Brasil é muito visado, o que aumenta a disseminação de campanhas maliciosas de uma forma fácil e rápida”, diz Thiago Marques, analista de segurança da Kaspersky Lab.

A campanha maliciosa é bem agressiva e está direcionada especificamente para vítimas brasileiras que estejam morando no País ou ligadas a ele de alguma forma.

Recomendações

Para evitar cair em golpes que prometem viagens, descontos e promoções, a Kaspersky Lab recomenda:

Desconfie de links recebidos

Mesmo que a conversa não seja com um desconhecido, é preciso duvidar da veracidade da mensagem, ainda mais se inclui uma promoção; procure sempre confirmar no site oficial da empresa qualquer informação.

Cuidado com o mouse (ou o touch)

Nunca clique em links de e-mails suspeitos, banners em sites ou acesse sites desconhecidos. Quando você tiver que visitar um banco on-line ou uma loja de varejo, digite manualmente o URL em vez de clicar em um link.

Tenha uma solução de segurança robusta no seu celular e outros dispositivos

Usar um software, como o Kaspersky Internet Security, que irá bloquear o acesso aos sites maliciosos, scripts que tentam alterar seu roteador e assim você terá uma navegação mais tranquila.

Notificações

Não autorize as notificações em qualquer website, mesmo que a pergunta não seja relacionada a isso. Revise sempre as configurações avançadas no seu navegador, seja no desktop ou smartphone e remova os sites desconhecidos que estão autorizados a emitir notificações.

Fonte: Computer World