Phishing que rouba credenciais do Gmail

Phishing é um método de ataque simples, que é baseado no desconhecimento da vítima — você pode saber mais sobre ele aqui. Acontece, muitos de vocês provavelmente sabem como identificar esses golpes e estão ilesos. Porém, um novo método está sendo espalhado pelo Gmail, e ele tem uma aparência que pode lhe enganar.

Como outros métodos de “pescaria”, ele começa de maneira simples: a vítima recebe um e-mail com um arquivo Word ou PDF como anexo. O arquivo é apresentado de maneira legítima pelo Gmail e, assim que a vítima clica no arquivo, ela é redirecionada para uma página de login da Google — como se você tivesse sido desconectado.

Acontece que essa página é falsa e ela que rouba as suas informações. Se a vítima não notar que a página não é legítima, ela vai escrever o endereço de e-mail e a senha para realizar o login.

Agora, como esse phishing engana o Gmail ao apresentar o arquivo Word ou PDF de maneira legítima? Na verdade, não é um arquivo dos formatos citados, mas uma imagem de como eles ficariam caso estivessem anexos.

Incrivelmente, quem notou o golpe não foi uma empresa de segurança, mas o youtuber Tom Scott — clique aqui para ver. De acordo com um tweet, ele comenta que percebeu o golpe porque a resolução de seu monitor é alta, e a página falsa havia ficado um pouco distorcida. Além disso, a URL da página não havia o padrão de segurança “https://”.

Fonte: Tecmundo

Ataque remoto: nova modalidade de roubo de bancos

Imagina se você é funcionário de um banco e vai fazer a reposição na máquina de autoatendimento. Quando vai realizar o trabalho, a encontra vazia, sem nenhuma cédula ou registros de transações bancárias. Não há também vestígios de interação física com a máquina nem malware — não aparentemente.

Em fevereiro deste ano, a Kaspersky, empresa de segurança digital, publicou em seu blog resultados de uma investigação sobre ataques misteriosos contra bancos, os quais incluíam casos no Brasil, usando um malware que não deixa vestígios. O caso foi chamado de “ATMitch”.

A investigação começou depois que o banco recuperou e compartilhou dois arquivos contendo logs de malware do disco rígido do caixa (kl.txt e logfile.txt) com a empresa de segurança. Esses foram os únicos arquivos deixados após o ataque: não foi possível localizar os executáveis maliciosos porque, após o roubo, os cibercriminosos tinham removido o malware.

Analisando os arquivos de log – que funcionam como um histórico de operações da máquina – os analistas encontraram, agruparam e categorizaram amostras de malware relacionadas e estabeleceram conexões entre elas com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades.

Depois de um dia de espera, os especialistas chegaram a uma amostra de malware desejada, chamada de “tv.dll” ou “ATMitch”, como foi mais tarde apelidado. Foi vista duas vezes: uma no Cazaquistão, e outra na Rússia.

Esse malware é instalado remotamente e executado em um caixa eletrônico a partir do banco-alvo. Depois de instalado e conectado ao terminal de autoatendimento, o vírus ATMitch se comunica com ele como se fosse o programa legítimo da instituição.

Essa invasão possibilita que os hackers realizem uma lista de ações — como a coleta de informações sobre o número de cédulas disponíveis. Dessa forma, eles conseguem dispensar dinheiro a qualquer momento, com apenas um comando.

Depois de retirar dinheiro, os criminosos o pegam e vão embora. Uma vez que um banco é roubado, o malware exclui seus traços.

Responsáveis pelo ataque

Ainda não se sabe quem está por trás dos ataques, já que o uso de ferramentas de exploração de código aberto, utilitários comuns do Windows e domínios desconhecidos torna quase impossível determinar o grupo responsável.

Porém, o arquivo “tv.dll”, usado no ataque, contém um recurso de idioma russo, e os grupos conhecidos que poderiam caber nesse perfil são GCMAN e Carbanak.
Para saber mais informações sobre a investigação, bem como os detalhes da análise, você pode acessar o site da Secure List [em inglês].

Fonte: Tecmundo

Crackers usam nova técnica para roubar caixas eletrônicos

Um caixa eletrônico vazio: sem sinal de dinheiro, nem vírus, com ausência também de vestígios de intervenção física bruta (como a quebra do gabinete ou até mesmo as já tradicionais explosões que obrigaram bancos a usar uma tinta especial para manchar as notas). O mistério sobre como as notas desapareceram torna o roubo um sucesso e também uma dor de cabeça para especialistas em segurança.

Segundo a Kaspersky Lab, foram necessárias cinco semanas de trabalho em laboratório com engenharia reversa para entender as ferramentas usadas pelos criminosos e reproduzir o ataque que resultou na descoberta de uma violação de segurança em caixas eletrônicos usados pela instituição bancária — que pediu sigilo de alguns detalhes, como os fabricantes das máquinas de autoatendimento (ATM) ou o nome do banco que sofreu o roubo.

Durante o Security Analyst Summit (SAS), evento que acontece nos dias 3 e 4 de abril, na Ilha de São Martinho (Caribe), especialistas da Kaspersky aprofundaram os resultados da análise e mostraram que os criminosos se conectam com computadores das empresas bancárias para acionar funções dos caixas remotamente. A conexão com a máquina é feita via hardware — ao todo, o valor de um kit com uma pequena placa matriz, um teclado sem fio com um dongle USB/Bluetooth e uma bateria custa menos que US$ 15.

Para tudo dar certo, é necessário fazer um furo simples e pequeno suficiente para introduzir o acessório dentro do gabinete, sem causar muitos danos aparentes ou ativar alertas de violação comuns em golpes mais tradicionais que usam malwares. Para disfarçar a intervenção, criminosos podem cobrir os buracos com adesivos ou mesmo deixar fios expostos, já que muitas das máquinas são antigas e estão em uso desde 1990.

Os caixas eletrônicos têm sido alvo de todos os tipos de golpes. Desprotegidos à noite, viram presa fácil de quem domina intervenções de hardware. Tal crime foi visto apenas duas vezes: uma no Cazaquistão e outra na Rússia.

Como funciona?

O acesso remoto é feito a partir de um teclado de notebook ou via Bluetooth, e executado com ajuda da placa dentro do caixa eletrônico. O pacote sem cabos e conexões externas permite aos invasores digitar uma lista de comandos que começa com a coleta de informações sobre o número de notas disponíveis para o saque. Com esse dado em mãos, o golpe ainda permite aos criminosos sacar o dinheiro a qualquer momento desde que o kit não seja descoberto e desfeito pelo banco alvo.

“Você pode fazer qualquer coisa com um computador, um cabo [ou Bluetooth] e um buraco no gabinete do caixa eletrônico. O caixa eletrônico vai aceitar todos os comandos e dispensar dinheiro de forma simples, usando apenas um microcomputador”, explica o analista de segurança Sergey Golovanov. Neste caso, a solução é desfazer a gambiarra do ladrão, já que não é possível, via software, bloquear as ordens enviadas pelo computador do invasor.

Golovalov e o também pesquisador Igor Soumenkov mostraram em um vídeo como é rápido liberar as notas após a instalação do kit e executando os comandos necessários. A rapidez do processo deixou os participantes do evento alarmados. Foi mais veloz que uma operação tradicional feita por um cliente comum.

A lição é de que, ainda que a proteção via software seja mais complexa, fica evidente a necessidade de uma segurança maior para os caixas eletrônicos a fim de evitar intervenções físicas que dispensam vírus. A prisão desse tipo de cibercriminoso que trabalha com hardware, sem rastreio da ação — já que não há transação bancária online — só ocorre com acompanhamento das câmeras de vigilância local e trabalho policial.

Fonte: Techtudo

Golpe financeiro via smartphone: relato de um caso impressionante

Um jornalista foi alvo de um golpe bancário no fim da tarde de quinta-feira (9) em Aracaju (SE). O chip do celular dele queimou e ele foi imediatamente a uma loja da operadora para trocar por um novo. O que ele não desconfiava era que, até então, isso poderia ser indício de um crime mais complexo.

No período em que o telefone dele ficou sem final devido ao problema no chip, acessaram os dados bancários dele e sacaram R$ 3 mil, agendaram uma transferência de R$ 3 mil para a conta de um suspeito e utilizaram quase R$ 5 mil em comprar pelo cartão de crédito. A vítima possuía um aplicativo no celular por onde acessava a conta no banco.

Depois de conseguir um chip novo na operadora de telefone, o jornalista voltou para casa e horas depois consultou a movimentação bancária pelo computador. Foi nesse momento que ele percebeu que tinha caído em um golpe financeiro.

“Uma coisa me deixou atento, acesso a minha conta pelo celular. Cerca de 40 minutos antes da movimentação fraudulenta do dinheiro, meu chip do telefone simplesmente queimou e precisei trocar na operadora. Só depois liguei os pontos e percebi que o golpista deve ter feito isso acontecer justamente para eu não notar a retirada do dinheiro, já que todo movimento na conta chega uma mensagem e seu eu percebesse teria bloqueado na hora. Acredito que o estrago não foi maior porque meu limite de retirada diária é de R$ 3 mil e eu acessei a conta a noite em casa”, relatou a vítima, que preferiu não ter a identidade revelada por questões de segurança.

O caso foi registrado na Delegacia Plantonista da capital sergipana e será investigado. Dados da conta suspeita para a qual o dinheiro foi transferido já foram entregues à polícia. “Fico preocupado e também vou cobrar do banco explicações sobre essa vulnerabilidade no sistema. A gente acha que é seguro usar o aplicativo do próprio banco ou acessar nossa conta pelo site da instituição bancária, mas pelo visto isso precisa ser melhorado para coibir movimentações não autorizadas”, finalizou a vítima que espera recuperar a quantia perdida.

Fonte: G1

App Meitu rouba dados dos smartphones

meituComo todo app que vira modinha, o Meitu deve cair no esquecimento dentro de algumas semanas. Mas, quando isso acontecer, os usuários já terão “vendido a alma” aos responsáveis pelo aplicativo: uma investigação aponta que o Meitu coleta discretamente diversos dados críticos do smartphone.

Para quem não sabe do que eu estou falando, o Meitu é uma app chinês com filtros e ferramentas que deixam as pessoas nas fotos com visual “fofinho”, cheio de brilho, maquiagem e olhos grandes. É uma brincadeira para selfies que atende, basicamente, a um público mais jovem. Deve servir também para quem quer sacanear os amigos, é claro.

Apesar de existir há algum tempo, o Meitu se tornou, nos últimos dias, um dos apps mais baixados do Google Play e da App Store. Você já deve ter notado isso: as redes sociais estão cheias de imagens modificadas por esse app.

Tamanha popularidade fez o Meitu cair no conhecimento de especialistas em segurança que, por alguma razão, decidiram analisá-lo minuciosamente. Foi aí que eles descobriram que o aplicativo está bem longe de ser inofensivo.

Segundo as análises, o Meitu coleta diversos dados do aparelho. Isso acontece com a maioria dos aplicativos, mas aqui a coisa atinge proporções muito grandes, começando pelo monte de permissões que o app pede no momento de sua instalação — não está claro o porquê de tantas permissões serem solicitadas.

A versão para Android se mostrou a mais intrusiva, mas a versão para iOS pode obter mais informações em aparelhos com jailbreak. De modo geral, o Meitu consegue coletar e enviar para servidores na China dados como IMEI do celular, modelo do aparelho, resolução de tela, versão do sistema operacional, IP, endereço MAC, lista de contato, mensagens SMS, entre outros.

São coletados dados suficientes para que um usuário seja identificado e localizado. E olha que a empresa responsável (também de nome Meitu) comemora em seu site o fato de ter 456 milhões de usuários no mundo todo (considerando todos os seus apps), embora a maioria deva estar na China — os aplicativos da Meitu já eram populares por lá.

O que a empresa faz com dados de tantas pessoas? Uma possibilidade forte é a venda de informações para companhias que elaboram estratégias de publicidade altamente segmentada e, portanto, potencialmente intrusiva.

À CNET, a Meitu se defendeu dizendo que, como a empresa está baseada na China, precisa incluir recursos de coleta de dados nos aplicativos para contornar os bloqueios que os serviços de rastreamento do Google Play e da App Store sofrem no país. A companhia também assegurou que os dados são enviados aos seus servidores de forma criptografada e com proteção contra ataques. Ata.

Não há planos para o lançamento de uma versão do app sem os recursos de captura de dados, pois, segundo a Meitu, ela teria que atuar fora da China para poder oferecer isso. Sair da China também não está nos planos.

Fonte: Tecnoblog

Trojans bancários burlam autenticação em dois fatores

crackerAutenticação de dois fatores com SMSs é amplamente usada por instituições bancárias. Claro que essa medida é mais segura que uma simples senha, porém isso não a torna intransponível. Especialistas em segurança descobriram como burlar esse sistema há dez anos, quando a prática começava a ficar mais famosa.

O problema é que os especialistas não foram os únicos a descobrir como fazer isso. Com esse conhecimento, desenvolvedores de malware foram capazes de violar sistemas com senhas por SMS sem dificuldade. Veja só como funciona:

  1. Um usuário abre o aplicativo do banco em seu celular.
  2. O Trojan detecta o aplicativo e sobrepõe sua interface com uma cópia. A tela falsa é igual a real.
  3. A vítima entra com suas informações de login e senha no aplicativo falso. .
  4. O Trojan envia as credenciais do usuário ao criminoso. Esse, por sua vez, usa os dados para acessar a conta do usuário. .
  5. Os criminosos fazem uma transferência para suas contas.
  6. A vítima recebe o SMS com a senha temporária.
  7. O Trojan extrai a senha do SMS e a envia aos cibercriminosos.
  8. Ele também esconde o SMS do usuário. Dessa forma, a vítima não sabe do ocorrido até verificar seu extrato.
  9. As pessoas mal-intencionadas usam a senha interceptada para confirmar a transação e roubar o dinheiro da vítima.

Não é precipitado afirmar que qualquer moderno Trojan bancário da atualidade consiga burlar sistemas de autenticação de dois fatores por meio de SMS. Considerando que a grande maioria dos bancos se apropriam dessa prática, os criadores de malwares se adaptaram.

Diversos aplicativos maliciosos são capazes de fazer isso. Durante os últimos dois meses, nossos especialistas divulgaram três relatórios meticulosos a respeito de três famílias de malwares. Um pior que o outro.

1. Asacub um aplicativo espião que evoluiu para um Trojan. Ele aprendeu a roubar dinheiro de aplicativos mobiles de bancos.

2. Acecard Trojan poderoso capaz de sobrepor a interface de quase 30 aplicativos bancários. Essa habilidade tem se tornado tendência entre os malwares mobiles. No começo, os Trojans dedicavam seus esforços ao aplicativo de um banco especifico ou serviço de pagamento, mas agora eles podem falsificar diversos aplicativos ao mesmo tempo.

3. Banloader Trojan de origem brasileira, capaz de invadir PCs e smartphones ao mesmo tempo.

Esse cenário deixa bem claro que a autenticação de dois fatores não é suficiente para nos proteger de Trojans bancários. Ela não conseguiu durante anos, não seria agora que seria totalmente eficaz. É por isso que você precisa de medidas de segurança adicionais.

A regra básica de não instalar aplicativos de fontes não oficiais continua de pé, mesmo que ela não elimine completamente as ameaças. A questão é que existem diversos casos nos quais Trojans conseguiram atravessar as proteções tanto da Play, quanto da App Store.

É por isso que a melhor medida é instalar uma boa solução de segurança no seu smartphone. Um bom começo é a versão básica do Kaspersky Internet Security. É de graça, mas você precisará verificar seu dispositivo manualmente. A versão completa tem melhor custo-benefício, ela detecta vírus em trânsito, intermitentes, antes de chegarem ao seu dispositivo, contudo demanda investimento.

Fonte: Kaspersky blog

Você usa caixas eletrônicos? Está cada vez mais arriscado…saiba porque

atm-jackpottingCaixas automáticos ou ATMs sempre foram um dos principais alvos de criminosos. No passado, atacar um ATM incluía aparatos pesadas como maçaricos e explosivos. No entanto, com a aurora da Era Digital, tudo mudou. Os criminosos de hoje podem atingir o mesmo objetivo sem esses efeitos especiais.

Olga Kochetova, especialista em testes de infiltração da Kaspersky Lab, explicou os motivos pelos quais os caixas são tão vulneráveis, em sua palestra “Formas de roubar ATMs com e sem malware.”

1. Em primeiro lugar, ATMs são basicamente computadores. Eles consistem em um número de sistemas eletrônicos, incluindo controles industriais, porém sempre há um computador comum no núcleo do sistema.

2. Além disso, é bem provável que esse computador seja controlado por um Sistema operacional bem antigo como o Windows XP. Você provavelmente já sabe o que tem de errado nisso: o XP não recebe mais suporte da Microsoft, então qualquer vulnerabilidade encontrada depois que o suporte foi interrompido jamais será corrigida. E você pode ter certeza que existem MUITAS como essa.

3. É possível que existam diversos programas vulneráveis sendo executados em sistemas de ATMs. Desde flash players desatualizados com mais de 9000 erros conhecidos até ferramentas de administração remota e muito mais.

4. Fabricantes de ATMs tendem a acreditar que sempre estão operando em “condições normais” e nada pode dar errado. Desse modo, dificilmente existe qualquer controle de integridade de software, solução de antivírus ou autenticação por aplicativo que envie comandos para o distribuidor de notas.

5. Em contraste às unidades de depósito e entrega de dinheiro que estão sempre bem protegidas e trancadas, a parte do computador de um ATM é facilmente acessível. Seu envoltório tende a ser feito de plástico, ou de metal fino na melhor das hipóteses, além de trancado com uma fechadura simples demais para barrar criminosos. A lógica dos fabricantes é a seguinte: se não tem dinheiro nessa parte, por que se importar em como mantê-la?

6. Módulos de ATM são interconectados com interfaces padrão, como portas COM e USB. Às vezes essas interfaces são acessíveis de fora da cabine do ATM. Se não, basta lembrar do problema anterior.

7. Por natureza, ATMs tem de estar conectados – e sempre estão. Já que a Internet é o meio mais barato de comunicação nos dias de hoje, bancos a usam para conectar os caixas aos centros de processamento.

Considerando todos os problemas mencionados, existem muitas oportunidades para os criminosos. Por exemplo, eles podem criar um malware, instalá-lo no sistema do ATM e sacar dinheiro. Esses trojans aparecem regularmente. Por exemplo, há um anofoi descoberto um chamado Tyupkin.

Outra forma é usar programas adicionais que podem ser conectados às portas USB dos caixas eletrônicos. Para provar sua ideia, Olga Kochetova e Alexey Osipov, usaram um pequeno computador Raspberry Pi, equipado com adaptador Wi-Fi e bateria. Veja o vídeo abaixo para saber o que aconteceu depois.

Um ataque por meio da Internet pode ser ainda mais perigoso. Criminosos podem estabelecer centros de processamentos de dados falsos, ou tomarem um verdadeiro. Nesse caso, criminosos podem roubar diversos ATMs sem precisarem ter acesso a seu hardware. Foi exatamente isso que os hackers do grupo Carbanak conseguiram fazer: eles obtiveram controle sobre PCs críticos nas redes de bancos e depois disso, foram capazes de enviar comandos diretos para os ATMs.

No fim, bancos e fabricantes de ATMs deviam ser mais atenciosos com a segurança das máquinas bancárias. Eles precisam reconsiderar tanto os softwares e medidas de segurança de hardware, produzir uma infraestrutura de rede segura e por aí vai. Também é importante que os bancos e fabricantes reajam rápido às ameaças e colaborem intensivamente com agências reguladoras da lei e empresas de segurança.

Fonte: Kaspersky blog