Apps populares podem vazar seus dados pessoais

Este artigo não fala de Trojans, mas sobre aplicativos genuínos que, ainda assim, podem vazar seus dados online. Nossos especialistas analisaram um total de 13 milhões de APKs (arquivos de pacote para Android) e descobriram que aproximadamente um quarto deles transmite dados sem criptografia na internet. Alguns desses aplicativos têm centenas de milhões de downloads, às vezes mais de meio bilhão! Não dá para chamar algo assim de “probleminha”.

Por vezes, informações são expostas online em função de algum erro do desenvolvedor – todavia não é isso que acontece na grande parte dos casos. Quando solicitados para o envio de dados de usuários para um servidor, a maioria dos apps vai usar um protocolo HTTPS seguro, que impede a interceptação. O problema está nos serviços de terceiros que os desenvolvedores incorporam sem verificação de antecedentes. Por exemplo, alguns analíticos ou de publicidade conduzem informações pela internet por meio do protocolo HTTP padrão, que não é seguro.

Que informações podem ser afetadas?

A maior parte dos vazamentos de dados que detectamos tinha a ver com o modelo do dispositivo, suas especificações técnicas, dados relacionados à rede ou aos provedores de internet, e o nome do APK (pelo qual o sistema reconhece o pacote); muitos serviços também revelaram as coordenadas do smartphone ou tablet.

Em alguns casos, informações sobre o uso dos aplicativos foram transmitidas pelo HTTP por um serviço terceirizado integrado. Dentre esses dados estavam curtidas, publicações, páginas visitadas, além de detalhes sobre o dono do aparelho – nome, telefone, data de nascimento. Descobriu-se que as chaves únicas criadas para cada pedido de autorização também eram transferidas de forma insegura. Felizmente, a maioria dos serviços não repassa logins e senhas sem criptografia, apesar de alguns o terem feito.

O que há de perigoso nisso?

Informações transmitidas por HTTP são enviadas como um texto simples, e podem ser lidas por qualquer pessoa – inclusive seu provedor de internet, por exemplo. Além disso, o caminho entre o aplicativo e o servidor da outra parte provavelmente tem vários “pontos de trânsito”, na forma de dispositivos que recebem e armazenam informação por um determinado período de tempo.

Qualquer equipamento de rede, o que inclui seu roteador doméstico, pode ser vulnerável. Se hackeado, vai permitir que criminosos tenham acesso as suas informações – o provedor de internet, por outro lado, não precisa hackear nada para isso. E a obtenção de qualquer informação sobre o dispositivo (especificamente códigos IMEI e IMSI) é o suficiente para monitorar suas ações futuras. Quanto mais completa a informação, mais você se torna um livro aberto para os outros – de anunciantes até amigos falsos que oferecem arquivos maliciosos para download.

Entretanto, os vazamentos de dispositivos e dados são apenas parte do problema; informações sem criptografia também podem ser substituídas. Por exemplo, em resposta a um pedido de HTTP de um aplicativo, o servidor pode enviar um anúncio em vídeo, que os cibercriminosos podem interceptar e substituir por uma versão menos inofensiva. Ou então podem simplesmente mudar o link dentro de um anúncio – e ao invés de baixar um jogo bonitinho ou um aplicativo para fins corporativos, os usuários correm o risco de fazer o download de algo muito mais nefasto.

O que pode ser feito

Essas questões devem realmente ser solucionadas pelos desenvolvedores de aplicativos. Mas não se pode confiar completamente que irão resolver, assim, temos algumas dicas simples que podem protegê-lo melhor.

Verifique as permissões solicitadas por um aplicativo – pode demorar, mas nunca é uma perda de tempo, mesmo quando o app tem milhões de downloads. Se, digamos, um aplicativo de mensagem instantânea quer saber sua localização, não se sinta obrigado a revelar. Saiba mais detalhes sobre as permissões do Android aqui.
Compre versões pagas dos aplicativos, se possível. Elas não mostram anúncios, o que significa menor risco de vazamento de dados. No entanto, pode ser que ainda utilizem módulos analíticos terceirizados que muitas vezes se comportam do mesmo jeito.
Utilize uma VPN – essa conexão segura vai proteger seus dados mesmo que os desenvolvedores não consigam.

Fonte: Kaspersky

HTTPS (cadeado verde) não é garantia de segurança

Sejamos honestos, quando a maioria das pessoas veem um cadeado verde com a palavra seguro à esquerda de uma URL, pensam que realmente estão em um ambiente protegido. O mesmo vale para “esse site usa uma conexão segura” ou URLs que começam com as letras “https”. Cada vez mais sites passam para HTTPSL. A maioria não tem escolha. Mas afinal, qual o problema? Quanto mais medidas de segurança melhor, não é mesmo?

Estamos prestes a revelar um pequeno segredo: aqueles símbolos de “segurança” não garantem que um endereço está seguro. Um site de phishing, por exemplo, pode de forma legítima exibir esse cadeado verde reconfortante ao lado do endereço https. Então o que está acontecendo? Vamos descobrir.

Conexão segura não significa um site idem

O cadeado verde significa que o site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informação transmitida entre você e a página. Nesse caso, a URL começa com HTTPS, com o último “S” significando “Seguro”.

Claro, dados transmitidos criptografados são ótimas premissas. Significam que a informação trocada entre seu navegador e o site não está ao alcance de terceiros – provedores, administradores de rede, cibercriminosos, entre outros. Isso permite a inserção de senhas e detalhes de cartão de crédito sem olhos curiosos.

O problema é que cadeados verdes e os certificados não dizem nada sobre o site em si. Uma página de phishing pode simplesmente obter esse certificado e criptografar todo o fluxo com você.

De forma simples, o cadeado simplesmente garante que ninguém mais pode espionar os dados inseridos. No entanto, sua senha ainda pode ser roubada pelo site, caso seja falso.

Phishers usam e abusam disso: de acordo com a Phishlabs, um quarto dos ataques desse tipo são executados por sites HTTPS (há dois anos, eram menos de 1%). Além disso, mais de 80% dos usuários acreditam que a mera presença do símbolo significa que o site é seguro, o que os leva a não pensar duas vezes antes de inserir seus dados.

Mas e se o cadeado verde não estiver onde deveria?

Se a barra de endereço não tiver cadeado, significa que o site não usa criptografia, ou seja, troca informação com seu navegador por meio de HTTP comum. O Google Chrome começou a rotular tais páginas como inseguras. Embora possam ser legítimas, não criptografam tráfego entre você e o servidor. A maioria dos proprietários não querem que o Google classifique seus sites como inseguros, de forma que a migração para HTTPS é questão de tempo. De qualquer forma, digitar dados sensíveis em qualquer ambiente sem o “s”é má ideia – qualquer pessoa mal-intencionada pode estar de olho.

A segunda variante se trata de uma fechadura cruzada com linhas vermelhas acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido. Ou seja, a conexão entre você e o servidor é criptografada, mas não há garantia que o domínio de fato pertence a empresa indicada no site. Esse é o caso mais suspeito -normalmente tais certificados são usados apenas para testes.

De maneira alternativa, se o certificado expirou e o proprietário não foi atrás de renová-lo, navegadores trataram a página como insegura, o que visualmente, reflete em um aviso com uma fechadura vermelha. Nesse caso, considere esse alerta como indicação para evitá-los -a preocupação deve ser duplicada se pensar em digitar dados pessoais.

Como não cair em uma armadilha?

Para resumir, a presença do certificado e do cadeado verde significam apenas que a transmissão entre você e o site está criptografada, e o certificado foi emitido por uma autoridade confiável. Entretanto, isso não previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.

Portanto, fique ligado, não importa se a primeira impressão sobre o site parece segura.

  • Nunca digite informações de login, senhas, credenciais bancárias, ou outra informação pessoal em sites sobre os quais você não tem certeza acerca da autenticidade. Para isso, verifique o nome do domínio – e com bastante cautela. Os nomes de sites falsos podem diferir do original, até mesmo por apenas simples letra. Certifique-se que links são confiáveis antes de clicar.
  • Sempre leve em conta o que um site em particular oferece, caso pareça suspeito e se você realmente precisa se registrar.
  • Faça uma verificação do link em um site como o Virus Total.
Fonte: Kaspersky

Crimes cibernéticos podem causar prejuízo de até US$ 8 tri para empresas

Os crimes cibernéticos podem causar prejuízos de até US$ 8 trilhões para empresas no mundo todo nos próximos cinco anos. Os cálculos constam do estudo Global Risks Report 2018, produzido pelo World Economic Forum (WEF), com o apoio da seguradora suíça Zurich. O montante equivale ao Produto Interno Bruto (PIB) do Reino Unido, França e Alemanha juntos.

Prevenir, prevenir

A saída para conter a escala dos custos é a adoção de medidas que incorporem o risco cibernético no dia a dia das organizações, segundo a corretora de seguros Aon. Para 2018, a consultoria prevê uma exposição ainda maior do mundo corporativo graças à convergência de três tendências: dependência crescente da tecnologia nas empresas; foco intensificado das agências reguladoras em proteger dados dos consumidores e o valor crescente de ativos intangíveis.

Fonte: Estadão

Promoção imperdível para a copa na Rússia? Desconfie…

A Kaspersky Lab identificou uma nova campanha de phishing disseminada por e-mail com uma falsa promoção para a Copa do Mundo de Futebol, que ocorre a partir de junho na Rússia. O e-mail, escrito em português e direcionado para os usuários brasileiros, promete uma viagem exclusiva aos ganhadores da promoção com dez pacotes com tudo pago para assistir à uma partida de futebol.

Os usuários que recebem a falsa promoção intitulada #PartiuRússia são instigados a clicar em um link, que direciona para uma página com um formulário com o passo a passo. Nesta página, os clientes devem fornecer informações sobre seu cartão de crédito e informar se a bandeira é Visa Infinite ou Black.

Para executarem essa campanha de phishing, os cibercriminosos registraram um novo domínio que parece legítimo – o website conta com uma seção de Perguntas Frequentes, Como Participar, bem como descrição dos prêmios – porém todo o conteúdo no servidor da Web não passa de uma fraude. Além das informações do cartão de crédito, os cibercriminosos roubam informações pessoais da vítima, como data de nascimento, CPF, entre outros – como na imagem abaixo.

“Mais uma vez fica claro como os cibercriminosos brasileiros têm utilizado campanhas de phishing com assuntos atuais para atrair cada vez mais vítimas. Por ser um país grande e com muitos usuários online, o Brasil é muito visado, o que aumenta a disseminação de campanhas maliciosas de uma forma fácil e rápida”, diz Thiago Marques, analista de segurança da Kaspersky Lab.

A campanha maliciosa é bem agressiva e está direcionada especificamente para vítimas brasileiras que estejam morando no País ou ligadas a ele de alguma forma.

Recomendações

Para evitar cair em golpes que prometem viagens, descontos e promoções, a Kaspersky Lab recomenda:

Desconfie de links recebidos

Mesmo que a conversa não seja com um desconhecido, é preciso duvidar da veracidade da mensagem, ainda mais se inclui uma promoção; procure sempre confirmar no site oficial da empresa qualquer informação.

Cuidado com o mouse (ou o touch)

Nunca clique em links de e-mails suspeitos, banners em sites ou acesse sites desconhecidos. Quando você tiver que visitar um banco on-line ou uma loja de varejo, digite manualmente o URL em vez de clicar em um link.

Tenha uma solução de segurança robusta no seu celular e outros dispositivos

Usar um software, como o Kaspersky Internet Security, que irá bloquear o acesso aos sites maliciosos, scripts que tentam alterar seu roteador e assim você terá uma navegação mais tranquila.

Notificações

Não autorize as notificações em qualquer website, mesmo que a pergunta não seja relacionada a isso. Revise sempre as configurações avançadas no seu navegador, seja no desktop ou smartphone e remova os sites desconhecidos que estão autorizados a emitir notificações.

Fonte: Computer World

Cuidado com os falsos apps para guarda de criptomoedas

Mesmo em meio a um cenário incerto, o interesse pelas criptomoedas tem crescido. Ao mesmo tempo, como qualquer outra tendência digital, cresce também as ações de cibercriminosos. Neste caso, o foco tem sido inserir aplicativos maliciosos que fingem ser falsas carteiras nas lojas de aplicativos.

Recentemente, usuários do Reddit relataram a existência de carteiras falsas de criptomoedas chamadas “ADA Cardano Crypto Wallet” e “All Crypto Currency Wallet” na Loja do Google Play. Os aplicativos são do desenvolvedor “CryptoWallmart” e estima-se que foram baixados entre cem a 500 vezes cada, com o objetivo de fraudar e roubar o dinheiro dos usuários.

A empresa de cibersegurança Avast explica que o “ADA Cardano Crypto Wallet” representa a carteira de criptografia oficial Daedalus, usada para a criptomoeda ADA Cardano. Identificado com o logotipo da própria Daedalus, o aplicativo diz ser capaz de converter outras moedas como o Bitcoin e o Litecoin na moeda ADA Cardano. Porém, quando o usuário envia suas criptomoedas para os endereços listados no aplicativo, elas simplesmente desaparecem.

Já o app “All Crypto Currency Wallet” afirma ser uma carteira de várias moedas. No entanto, em vez de o aplicativo armazenar as criptomoedas enviadas pelos usuários, sua intenção é na verdade roubá-las. Este app oferece ainda um link de afiliado da Changelly, para ajudar os proprietários de criptomoedas a obter o melhor câmbio para a troca.

Nesse caso, porém, o que ocorre é que o desenvolvedor acaba recebendo aproximadamente 50% da receita gerada com esse tipo de transação.

Para ajudar usuário a ficarem longe dessas ameaças, a Avast preparou uma lista com cinco recomendações. Confira:

1. Antivírus mobile

O primeiro passo fundamental com relação à proteção dos dispositivos móveis é fazer o download de um aplicativo de antivírus, que funcionará como uma rede de segurança para proteger o usuário contra um falso aplicativo.

2. Download do app nas lojas oficiais

Usuários devem baixar aplicativos somente diretamente das lojas oficiais de apps, pois aplicam verificações rigorosas de segurança antes que qualquer aplicativo seja disponibilizado publicamente.

3. Desenvolvedor confiável

É preciso certificar que o aplicativo desejado é de uma fonte confiável, pois eventualmente falsos apps podem passar pelas verificações das lojas oficiais. Portanto, a recomendação é visitar o site oficial do desenvolvedor, para obter o link correto da loja e baixar o aplicativo legítimo.

4. Atenção às recomendações do aplicativo

O usuário deve sempre ler as críticas, tanto positivas quanto negativas, antes de fazer o download do app. Mesmo em meio às avaliações positivas, podem existir críticas negativas com relatos de que o aplicativo é falso.

5. Atenção às permissões solicitadas pelo app

Recomenda-se verificar detalhadamente todas as permissões que são requisitadas pelo aplicativo. Quando o app requerer uma permissão que não faz sentido, ou seja, que não pareça ser necessária para que ele funcione, o usuário deve pensar duas vezes se realmente deseja baixá-lo.

Fonte: IDG Now!

Cuidar bem das suas senhas: Fundamental, sabe por que?

Há algumas semanas, talvez você tenha visto algumas notícias preocupantes: pesquisadores analisaram cada cantinho da dark web e encontraram uma coletânea secreta com 1,4 bilhão de logins e senhas violados.

É isso mesmo: 1,4 BILHÃO. Seus dados de acesso podem estar entre eles e, caso você use a mesma senha para várias contas, você está desprotegido contra os hackers. Há anos os usuários encontram dificuldades para administrar suas senhas, então – digamos – que já passou da hora de melhorar sua segurança online.

O que aconteceu?

A descoberta da semana passada é um alerta para todos que usam a Internet e enfrentam dificuldades para administrar suas senhas online. O banco de dados de 41 GB foi encontrado em um fórum clandestino. Além disso, pacotes com logins/senhas foram armazenados em texto simples para que os hackers possam facilmente encontrar o que procuram.

De acordo com a análise feita até o momento, a maioria das senhas violadas é verdadeira e foi obtida por meio de centenas de violações de dados de sites como o LinkedIn, MySpace, Last.FM, e Netflix. Muitos nomes de usuários e senhas podem ser antigos, talvez de sites e serviços que você nem use mais. Mas, considerando que os usuários geralmente usam as mesmas senhas em diversas contas, ainda assim elas podem ser muito valiosas para os hackers, possibilitando violações de contas em uso.

Resumindo, o banco de dados fornece aos cibercriminosos uma forma rápida de realizar fraudes e roubar identidades.

O problema com as senhas

A descoberta evidenciou um problema de longo prazo com as senhas. Elas foram muito úteis nos primórdios da Internet, quando só precisávamos lembrar de uma ou duas senhas. Mas tudo mudou. Há dez anos, a Microsoft notou que um usuário da internet tinha cerca tinha 25 contas online. Esse número deve ter crescido absurdamente.

Cerca de 80% dos americanos fazem compras pela internet e não pensamos duas vezes antes de criar uma nova conta online. Afinal, salvar nossas informações nestas contas torna nossas vidas mais fáceis, certo? A resposta é sim até sua conta ser hackeada e suas informações de pagamento serem roubadas.

Bom, mas o que pode ser feito?

Como tornar a vida mais fácil… e mais segura

Felizmente, há uma solução: use um administrador de senhas. Ele ajuda a gerar senhas muito seguras, exclusivas e difíceis de usar para cada uma das suas contas online. Além disso, a ferramenta:

• Armazena e insere seus dados de acesso com segurança para que possa acessar a conta quando navega na web, ou seja, você não precisa se lembrar delas;

• Fornece uma maneira fácil de mudar senhas. Se já usou mais de uma vez ou alguma informação vazou ou foi roubada, o Password Manager da Trend Micro, por exemplo, pode te ajudar a atualizar todas as suas contas com senhas fortes e exclusivas;

• Agiliza e facilita a administração de suas senhas em qualquer local, em qualquer dispositivo ou navegador, incluindo um Mac – e pode ser aberto com um simples toque em dispositivos Android e iOS;

• Te ajuda a importar as senhas salvas em seu navegador, que não é um lugar seguro;

• Identifica e reporta senhas fracas;

Não importa o quão bem você acha que protegeu a sua vida digital, as organizações com as quais você interage online continuam a ser violadas, expondo seus logins no processo. Os administradores de senha devolvem o controle da situação para que você possa economizar tempo (e memória!) para fazer o que realmente importa na vida. Guardar senhas, definitivamente, não precisa ser uma delas.

Fonte: IDG Now!

Como proteger seu cartão de crédito no mundo on line

A praticidade das transações realizadas online trouxe consigo uma série de cuidados extras que são necessários a quem costuma usar cartão de crédito para realizar compras via web. Embora cada vez mais os brasileiros estejam usando a internet para adquirir bens e serviços, como indica pesquisa recente realizada pelo Serviço de Proteção ao Crédito (SPC Brasil) e pela Confederação Nacional de Dirigentes Lojistas (CNDL), ainda existe muito receio em torno da segurança envolvendo as transações.
Segundo a mesma pesquisa, apenas 20% dos consumidores de e-commerce se sentem seguros fazer compras via internet.

Cuidados básicos envolvendo compras online

  • A princípio, é necessário se atentar a uma sequência de preocupações essenciais que precisam se tornar habituais. Seguir esses pontos básicos já garante proteção aos casos de fraudes mais comuns envolvendo clonagem de cartão ou delitos similares.
  • Dê preferência ao uso de cartão de crédito. O uso cartão de débito não garante o mesmo nível de prevenção contra golpes e proteção na hora de efetivar as transações online.
  • Saiba identificar sites seguros para se comprar. É possível identificar as páginas com conexão segura quando o protocolo HTTP, no início da barra de endereços, no canto superior esquerdo da tela está verde.
  • De modo algum deixe informações sobre o cartão de crédito salvas no email ou em redes sociais, ainda que estejam em campos acessíveis apenas a você.
  • Mantenha o antivírus do celular e do computador atualizado e evite fazer transações em conexões de internet de lugares públicos, como cafés, shoppings etc.

Além de ter esses cuidados, é possível investir em um plano mais elaborado de segurança. Hoje em dia, você consegue adquirir proteção adicional junto a administradoras do cartão de crédito. O Mastercard SecureCode, por exemplo, é uma proteção adicional para manter transações seguras e privadas. Por meio do serviço, o portador do cartão conta com um código privado para realizar a compra, o qual funciona como uma camada adicional de segurança, já que apenas você e a instituição financeira têm conhecimento dele. A Visa possui um sistema de segurança próprio também, no qual confirma o pedido enviando um PIN para o celular do dono do cartão segundos após a compra, a fim de legitimar a transação.

Considere reservar cartões apenas para transações online

Para quem precisa realizar constantemente transações via internet, uma alternativa interessante é separar o cartão de crédito convencional e realizar transações online com um cartão reservado unicamente para essa finalidade. O mercado de transações online já oferece alternativas como cartões com função pré-paga, que permite carregar previamente uma quantidade de dinheiro específica capaz de suprir as necessidades.

Outras instituições financeiras também operam com cartões de crédito virtuais. Nesse modelo, o número, o limite e a data de validade são temporários. Isso significa que, em uma eventual publicação das informações privadas, a volatilidade que caracteriza o serviço pode proteger o usuário de maiores consequências.

Por fim, falando justamente em navegador, não deixe de conferir as configurações do seu browser, sobretudo a função de autopreenchimento, que pode acabar liberando dados salvos anteriormente do seu cartão. Para fazer isso, vá em configurações, selecione a opção “Avançado”, em seguida “senhas e formulários” e então desative a opção de preenchimento automático.

Fonte: Tecmundo