SMS usado para invadir e-mail da vítima

Um golpe que vem ganhando popularidade ultimamente utiliza técnicas de engenharia social e phishing para conseguir o acesso a contas de um usuário a partir do código de verificação enviado para o celular da vítima. A atividade foi percebida pela empresa de segurança Kaspersky, que publicou um texto com informações sobre como se proteger.

O esquema começa com uma pessoa enviando um SMS afirmando que era o antigo dono do celular da vítima. Muita gente pode acreditar na afirmação, já que as empresas de telefonia realmente costumam pegar números antigos que foram desativados e dá-los para clientes novos. O golpista então diz que está tentando ativar uma conta antiga, que ainda estaria associada ao número usado pela vítima. Para isso, ela só precisaria informar o código que seria enviado por SMS.

Não responda a mensagem

Como lembra a Kaspersky, a chance de que a mensagem seja mesmo de uma pessoa que perdeu o acesso à conta são mínimas. O mais provável é que esse criminoso tenha descoberto seu e-mail e número de telefone, possivelmente através de algum vazamento de informações, e está tentando invadir suas contas.

Para isso, ele precisa do código de ativação que é enviado para confirmar a sua identidade quando você esquece a senha de acesso ao e-mail. A partir desse ponto, é possível invadir praticamente qualquer outro serviço, já que a maioria deles depende apenas do e-mail para ter as senhas reiniciadas.

Por conta disso, uma das melhores formas de se proteger contra esse tipo de ataque é através da autenticação de dois fatores. Com ela ligada, será necessário aprovar todos os acessos à sua conta através do celular, o que vai proteger seus dados, mesmo no caso de um e-mail comprometido. Além disso, fique atento e nunca compartilhe esse tipo de código de verificação com ninguém, mesmo que ela peça com uma mensagem muito educada.

Fonte: Tecmundo

Ransomware usa arquivos de imagem para roubar informações do usuário

ransomNa rotina de comportamento de um malware, é comum o aproveitamento de sites legítimos para comando e controle (C&C) de sistemas infectados, para assim, evitar a desconfiança de novos alvos.

Apesar da maioria dos ransomware enviarem as informações coletadas diretamente para os servidores específicos de C&C, existem algumas variantes que trabalham de forma diferente. O CuteRansomware, por exemplo, usa o Google Docs para passar informações do sistema comprometido para os atacantes.

A Trend Micro, verificou, no entanto, uma novidade dentro desta modalidade: o ransomware CryLocker (identificado como RANSOM_MILICRY.A) passou a distribuir ameaças no Imgur, site gratuito para hospedagem de imagens.

Esta é a primeira vez que a equipe de Pesquisa em Ameaças Futuras (FTR) da Trend Micro mapeia arquivos PNG (Portable Network Graphics) como transporte para informações coletadas em um sistema infectado.

O arquivo PNG também é usado pelo cibercriminoso para monitorar suas vítimas e, após reunir dados do usuário, este ransomware envia os arquivos para um álbum Imgur.

Os autores do ataque usam essa técnica principalmente para não serem detectados e para continuarem escondidos no sistema.

Método e análise da entrada

A Trend Micro analisou de perto os arquivos PNG importados para o site Imgur e, segundo os registros, as primeiras informações foram criptografadas no dia 25 de agosto.

No dia 5 de setembro deste ano, a Trend Micro flagrou a ação dos exploit kits Rig e Sundown. Os atacantes mudam o papel de parede do computador, colocando a imagem de um bilhete de resgate chamado “CryLocker”. Após esta publicação, o número total de informações roubadas de vítimas aumentou para 8 mil.

Com base na pesquisa da Trend Micro, o CryLocker muda a extensão do arquivo criptografado para *.CRY. Curiosamente, antes de deletar os arquivos originais, este ransomware cria cópias dos arquivos selecionados para que sejam criptografados. É possível recuperar os arquivos com ferramentas de recuperação de disco, mas o tamanho do arquivo não deve passar de 20MB.

O CryLocker também coleta as informações do ponto de acesso de WiFi do usuário (Mac, SSID, SS, etc.). Além disso, ele tenta obter a geolocalização ou a localização de navegação do usuário com o Google Maps Geolocation API.

O CryLocker também obtém o layout do teclado, por meio do uso do windows API, GetKeyboardLayoutList.

Melhores práticas

Os cibercriminosos geralmente aproveitam brechas de sites e serviços em nuvem legítimos para esconder sua identidade e suas operações. Neste caso, recomenda-se que serviços de hospedagem de imagem adicionem um passo no processo de upload para verificar se o arquivo de imagem é o que realmente parece ser. Isto significa que, se os arquivos PNG forem malformados, o sistema poderá identificá-los e rejeitá-los automaticamente.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trend Micro blog

eBay é vítima de ciberataque e recomenda mudança de senha

ebay_ciberataqueEmpresa ‘não tem provas’ de que dados financeiros estão com hackers.

Gigante do comércio eletrônico dos EUA anunciou ataque nesta quarta (21).

O gigante americano do comércio eletrônico eBay anunciou nesta quarta-feira ter sido vítima de um ciberataque e recomendou a todos os usuários que modifiquem as senhas de acesso.
A empresa afirmou “não ter provas” de que os crackers tenham obtido acesso a informações financeiras ou vinculadas aos cartões de crédito.

Em um comunicado divulgado por sites americanos, o eBay assegurou aos usuários que eles não foram capazes de detectar qualquer “acesso não autorizado a informações financeiras ou de cartão de crédito dos clientes”. Informações sobre contas do PayPal também não teriam sido afetadas pelo ataque, segundo relato da empresa.

O eBay disse ainda que já começou a enviar avisos para todos os seus clientes. “A mesma senha nunca deve ser usada em vários sites ou contas”, disse o site. O ataque teve acesso, segundo o mesmo comunicado, a nomes, senhas criptografadas, endereços de email, endereços físicos, números de telefone e datas de nascimento dos clientes.

140 milhões de contas
No mundo, o eBay tem mais de 140 milhões de contas registradas e movimentou em 2013 mais de US$ 205 bilhões. A empresa diz que 250 milhões de produtos estão sendo comercializados no site. Um novo sistema de entrega faz a compra chegar em cerca de uma semana, inclusive para brasileiros. No começo deste mês, o eBay lançou a versão em português do serviço, trazendo ofertas locais para brasileiros.

Entre as novidades, ao acessar um produto para a compra, o valor aparece no valor local do vendedor, mas a conversão para reais é feita logo abaixo do preço conforme a cotação do dia. O aplicativo para smartphones também ganhou versão em português. Mais de 3,4 milhões de palavras foram traduzidas ou editadas por equipes do eBay e há novas experiências locais para as duas categorias mais populares no site entre os brasileiros: moda e eletrônicos.

Agradeço ao Davi, Domingos e Lucas, pela referência a essa notícia.

Fonte: G1