Botnets aumentam ataques com roubo de identidade

Pouco mais de um ano depois do devastador ataque DDOs da botnet Mirai, que usando uma rede zumbi de dispositivos de Internet das Coisas (incluindo câmeras de segurança) derrubou grandes serviços da internet como Twitter, Netflix e CNN, os bancos russos e toda a conexão IP da Libéria, o estado da segurança da internet global continua a exigir cuidado. Dados do estudo State of the Internet/Security Report, da Akamai Technologies, sobre o quarto trimestre de 2017, mostram que as botnets estão bem vivas e cada vez mais espertas e difíceis de combater.

O documento relata as descobertas da Akamai sobre as atividades cibercriminosas que circularam nas redes administradas por ela globalmente. Em linhas gerais, a companhia confirmou o aumento do número de ataques DDoS (negação de serviço) em 14% no último trimestre de 2017, comparado com o mesmo período de 2016. Além disso, identificou que a temida botnet Mirai não sumiu. No final de novembro, a botnet foi responsável por uma tentativa de ataque, bloqueada pela Akamai, de quase 1 milhão de endereços únicos de IP contra um cliente.

Uma das descobertas importantes aconteceu quase por acaso, por conta do uso de uma nova ferramenta da Akamai, a Bot Manager, que utiliza múltiplas heurísticas para identificar potenciais bots em tempo real e fazer análise comportamental de tráfego de bots em geral. Com a ferramenta, a Akamai analisou mais de 17 bilhões de logins em sites de seus clientes e, como resultado colateral, descobriu que 43% desse logins eram ataques maliciosos de credential stuffing, executados por bots “do mal’, digamos assim.

Roubo de identidade

Um ataque de credencial stuffing (preenchimento de credenciais) consiste de tentativas repetitivas de fazer login em diferentes sites, com credenciais (email e senha, por exemplo) roubadas, para tentar entrar com alguma delas. Esses ataques, nesse caso, foram empreendidos por botnets e esse dado, segundo a companhia, mostra uma novidade no comportamento das botnets que precisa ser monitorada. Os dados da Akamai mostram que os ataques de abuso de credenciais afetaram especialmente sites de varejo.

Segundo a companhia, as tentativas de login fraudulento por botnets foram mais intensas contra os sites de hospitalidade (hoteis, companhias aéreas, agências de viagem etc.). Do total de 1,2 bilhão de tentativas de login feitas nesses sites em novembro de 2017, 82% (ou 982 milhões) foram maliciosas. Ou seja, quase o dobro do percentual de 43% dos ataques contra todas as verticais analisadas. A segunda área mais atacada foi a de high tech, com 57% dos logins maliciosos, seguida do varejo, com 36% dos logins focados em abuso de credenciais roubadas.

Segundo o engenheiro da Akamai no Brasil, Thiago Marques, o mundo continua a ser um lugar muito perigoso para os cibercidadãos. “É impossível prever tudo. Ou você já foi atacado ou não sabe que foi atacado”, disse o engenheiro durante o webcast para apresentar o estudo no Brasil.

Fonte: IDG Now!

Crackers investem no roubo de dados via phishing

Estratégias de phishing também miram na iminente Copa do Mundo para lançar ciberataques, alerta Kaspersky Lab

O relatório “Spam e phishing em 2017”, produzido pela Kaspersky Lab, mostra que 29% dos usuários brasileiros foram afetados por campanhas de phishing no ano. Ao todo, a quantidade média de spam em 2017 diminuiu para 56,63%, o que representa 1,68% a menos do que em 2016. Ao mesmo tempo, o número de ataques de phishing aumentou. O sistema antiphishing da empresa russa de cibersegurança foi acionado 246 milhões vezes nos computadores de usuários da companhia – 59% mais do que no ano anterior.

Mas quais as principais estratégias dos crackers?

Segundo a Kaspersky Lab, os criminosos têm acompanhado os assuntos internacionais e usado temas em alta para enganar os usuários e roubar dinheiro ou informações pessoais. Os remetentes de spam se mostraram agentes atentos, monitorando instantaneamente questões globais com o objetivo principal de chamar e explorar a atenção das vítimas.

A Copa do Mundo de Futebol, que ocorre neste ano, foi um dos principais temas. Os remetentes de spam propagaram e-mails relacionados ao tema. Assim, enviaram às vítimas mensagens fraudulentas com logotipos oficiais do evento, incluindo informações dos organizadores e das marcas dos patrocinadores, que avisavam aos usuários sobre prêmios de sorteios e até prometendo ingressos gratuitos.

Outro tema em alta nos spams e golpes de phishing em 2017 são as criptomoedas, principalmente o bitcoin, que ganhou notoriedade com a disparada no seu preço. Os pesquisadores da Kaspersky Lab já tinham registrado um crescimento nos golpes com temas relacionados ao blockchain no terceiro trimestre de 2017. Até o final do ano, foi observado um amplo arsenal de ferramentas de envio de spam.

Estratégias

De acordo com as descobertas da empresa, os criminosos têm usado truques como sites disfarçados de bolsas de criptomoeda, serviços falsos oferecendo mineração na nuvem, ou seja, o uso de data centers especializados para locação. Mas, em todos os casos, os usuários se tornaram vítimas e perderam dinheiro.

Em esquemas de fraude mais tradicionais, como prêmios falsos de loterias, os criminosos também começaram a usar os bitcoins como isca. E, além dos bancos de dados de endereços visados anunciados por meio de spam, também foram oferecidos para compra bancos de dados com e-mails de usuários de criptomoedas, prometendo ótimas oportunidades.

Outras tendências e estatísticas importantes de 2017 destacadas pelos pesquisadores da Kaspersky Lab incluem:

– A fonte de spam mais popular foram os EUA (13,21%), seguidos da China (11,25%) e do Vietnã (9,85%). Outros dos dez países mais importantes incluem Índia, Alemanha, Rússia, Brasil, França e Itália.

– O país mais visado por envios de e-mails maliciosos foi a Alemanha (16,25%), com um leve aumento de 2,12 pontos percentuais em relação a 2016. Outros países dentre os dez principais incluem China, Rússia, Japão, Reino Unido, Itália, Brasil, Vietnã, França e Emirados Árabes Unidos.

– A maior porcentagem de usuários afetados por phishing ocorreu no Brasil (29,02%). No todo, 15,9% usuários exclusivos dos produtos da Kaspersky Lab no mundo todo foram atacados por golpes de phishing.

Fonte: IDGNow!

Cibercrime fatura 22 bilhões no Brasil em 2017

O Brasil é benchmark em cibercrime. Por aqui, os golpes de phishing costumam fazer muito sucesso e são a atividade maliciosa mais detectada pelas empresas de segurança. Como todo ano, a Symantec publica o estudo Norton Cyber Security Insights Report, que abrange o valor do cibercrime em todo o mundo — e, infelizmente, para o Brasil, a notícia não boa.

O cibercrime brasileiro cresceu de 2016 para 2017: US$ 10,3 bilhões para US$ 22,5 bilhões. Na cotação atual, estamos falando de um montante de R$ 72,1 bilhões que caíram nas mãos de agentes maliciosos em todo o mundo — 62 milhões de brasileiros caíram em golpes, cerca de 60% da população conectada.

Para entender como o governo deve lidar com o cibercrime, a Norton ainda realizou uma pesquisa global e descobriu que 81% dos consumidores Symantec acreditam que “o cibercrime deve ser tratado como qualquer ato criminoso”, enquanto 80% acredita que “o cibercrime é errado; as empresas e governo deveriam fazer mais para proteger a população”.

Mesmo assim, com US$ 172 bilhões roubados de usuários em todo o mundo, 1 a cada 4 consumidores da Norton acredita ter informações roubadas online não é tão ruim quanto ter algo roubado “no mundo real”.

Fonte: Tecmundo

App para Android rouba informações de motoristas e usuários do Uber

A Symantec descobriu um aplicativo malicioso que tem como alvo usuários e motoristas da Uber. No caso, o malware abre janelas de login em pop-ups, exigindo o email/nome de usuário e a senha da conta Uber — caso a vítima seja ludibriada, as informações são enviadas ao agente malicioso.

Segundo os pesquisadores que encontraram o malware, quando instalado no smartphone, ele utiliza links — deep links, como um acesso direto para páginas internas — com o próprio app original da Uber e exibe a localização exata do usuário/motorista no momento da ação. Dessa maneira, é mais fácil enganar a vítima.

Com uma conta Uber roubada em mãos, cibercriminosos podem realizar corridas e até vender o login na internet

“Para não alertar o usuário, o malware exibe a tela legítima do app que mostra a localização atual do usuário, o que não levantaria suspeitas normalmente”, comentou Dinesh Venkatesa, engenheiro da Symantec. “É um caso que, novamente, demonstra como os autores de malwares têm uma missão que nunca se acaba em encontrar novas técnicas de engenharia social, tudo para enganar e roubar os usuários”.

Felizmente, a Symantec deixa claro que o malware não encontrou caminho dentro da Google Play Store, então poucos usuários acabam sendo afetados. Em primeiro lugar, o usuário precisa ser ludibriado a baixar o app via phishing, por exemplo, para depois instalar o programa no celular de uma fonte desconhecida — e a maioria dos aparelhos tem essa capacidade travada por padrão.

Um porta-voz da Uber comentou sobre o caso e disse que, por isso, “é importante que os usuários baixem conteúdo apenas da Play Store”. “Contudo, queremos proteger nossos usuáruos e, caso aconteça um erro, é por isso que temos vários sistemas e controles de segurança para detectar e bloquear logins não autorizados”, finalizou.

Fonte: Tecmundo

Falha no Chrome possibilita o roubo de senhas

Se explorada com sucesso, a falha no navegador permite que o criminoso instale e execute automaticamente um arquivo malicioso que poderá roubar senhas e nomes de usuário.

O pesquisador de segurança Bosko Stankovic, da DefenseCode, detalhou o processo para o roubo de credenciais, que começa com o usuário sendo enganado para que ele baixe e execute um arquivo no formato . scf (Windows Explorer Shell Command File) disfarçado como um ícone para mostrar a área de trabalho. Esse formato existe desde a época do Windows 98.

O arquivo pode então ser usado para enganar o Windows e fazer com que ele tente se logar em um servidor SMB controlado remotamente pelo criminoso. Este servidor capturará o hash da senha do usuário usada para autenticação.

O hash poderá ser quebrado offline ou usado pelo criminoso para se passar pela vítima em um serviço, como o Microsoft Exchange, que aceita o mesmo tipo de autenticação baseada em NTLM.

O ataque se aproveita da forma como o navegador do Google e o Windows lidam com arquivos no formato .scf. O problema no Google Chrome é que ele não toma os mesmos cuidados com arquivos .scf que toma com os no formato .lnk, que recebem uma extensão .download.

Os arquivos .lnk começaram a receber a extensão depois que foi descoberto que hackers a serviço de agências governamentais estavam utilizando arquivos neste formato para infectar dispositivos com Windows com o malware Stuxnet.

O Google confirmou que está trabalhando em uma correção para a falha no Google Chrome e que ela também afeta outras versões do Windows além do Windows 10.

Um segundo problema com o navegador é que ele depende do comportamento padrão do Windows após o download de arquivos no formato formato .scf. Segundo Stankovic, o Google Chrome baixa automaticamente arquivos considerados como “seguros”.

Isso pode parecer algo positivo caso o usuário precise executar manualmente o arquivo, mas no Windows o arquivo .scf iniciará a requisição de autenticação no servidor SMB do criminoso assim que o diretório de download for aberto no Explorador de Arquivos.

Não é necessário clicar nele ou abrir o arquivo – o Explorador de Arquivos tentará exibir o “ícone” automaticamente.

Stankovic testou o diversos antivírus e nenhum deles foi capaz de barrar os arquivos formato .scf.

Até que uma correção definitiva seja disponibilizada, os usuários do navegador do Google podem se proteger temporariamente desativando os downloads automáticos, o que pode ser feito marcando a opção abaixo, ou restringindo/desativando o tráfego do protocolo SMB:Esta falha depende de dois fatores, que aparentemente podem facilmente ser encontrados. Por um lado, a facilidade nos downloads oferecida pelo Chrome e por outro, a falta de controle sobre os arquivos SCF e suas ações.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: R7 e  pplware

Descoberta base de dados com 560 milhões de senhas roubadas

Publicação descoberta pela MacKeeper reúne logins vazados de ataques variados contra serviços como LinkedIn, Dropbox, Tumblr e LastFM.

Hora de trocar as senhas. Isso porque a empresa de segurança MacKeeper descobriu nesta semana uma base de dados anônima com centenas de milhões de senhas roubadas.

A base reúne mais de 560 milhões informações de login, com e-mails e senhas de acesso, que teriam origem em vazamentos separados, de datas variadas, de serviços como LinkedIn, Dropbox, Tumblr e LastFM.

O site Have I Been Pwned possui uma ferramenta para você verificar se o seu endereço de e-mail aparece em alguma das base de dados que foi comprometida pelos criminosos.

Além de habilitar a autenticação de dois fatores sempre que possível, também é recomendado utilizar programas de gerenciamento de senhas – apesar de que nem mesmo esses softwares são 100% seguros como provado pelo recente hack contra o LastPass.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDGNow!

Phishing que rouba credenciais do Gmail

Phishing é um método de ataque simples, que é baseado no desconhecimento da vítima — você pode saber mais sobre ele aqui. Acontece, muitos de vocês provavelmente sabem como identificar esses golpes e estão ilesos. Porém, um novo método está sendo espalhado pelo Gmail, e ele tem uma aparência que pode lhe enganar.

Como outros métodos de “pescaria”, ele começa de maneira simples: a vítima recebe um e-mail com um arquivo Word ou PDF como anexo. O arquivo é apresentado de maneira legítima pelo Gmail e, assim que a vítima clica no arquivo, ela é redirecionada para uma página de login da Google — como se você tivesse sido desconectado.

Acontece que essa página é falsa e ela que rouba as suas informações. Se a vítima não notar que a página não é legítima, ela vai escrever o endereço de e-mail e a senha para realizar o login.

Agora, como esse phishing engana o Gmail ao apresentar o arquivo Word ou PDF de maneira legítima? Na verdade, não é um arquivo dos formatos citados, mas uma imagem de como eles ficariam caso estivessem anexos.

Incrivelmente, quem notou o golpe não foi uma empresa de segurança, mas o youtuber Tom Scott — clique aqui para ver. De acordo com um tweet, ele comenta que percebeu o golpe porque a resolução de seu monitor é alta, e a página falsa havia ficado um pouco distorcida. Além disso, a URL da página não havia o padrão de segurança “https://”.

Fonte: Tecmundo