A utilização de técnicas de Engenharia Social para o roubo de informação é um dos recursos favoritos dos criminosos virtuais. Utilizando assuntos como promoções, informações exclusivas ou oportunidades de ganhar muito dinheiro, as campanhas de phishing chegam à caixa de entrada dos usuários, e aqueles que caem no golpe podem ter suas informações comprometidas. Neste post, iremos compartilhar com vocês um ataque de phishing para usuários brasileiros que está se propagando na região. Além disso, compartilhamos com você algumas recomendações para poder identificar esse tipo de ataque e manter-se longe.

Conforme comentamos anteriormente, tudo começa com o recebimento de uma suposta promoção na caixa de entrada do usuário. O e-mail falso diz que o usuário teria sido vencedor de uma promoção para o carnaval, e que para poder receber o prêmio deveria clicar no link. Nesse momento, o usuário é encaminhado a uma página com duas opções: A primeira é para clientes registrados do programa de promoções da companhia aérea, e o segundo para se cadastrar no programa.  Na segunda opção está o ataque de phishing, no qual o usuário é levado a uma página falsa para participar das promoções, que incluem vinte carros esportivos, dez prêmios de cem mil reais e muitos outros prêmios, solicitando a inserção de suas informações pessoais.

Claramente, esta grande quantidade de prêmios é a desculpa utilizada para convencer o usuário a tentar se inscrever. Para poder participar dos sorteios, é necessário inserir suas informações pessoais e todos os dados de seu cartão de crédito, o que inclui número, códigos e data de vencimento. Caso o usuário ignore todas as medidas de segurança recomendas e ofereça suas informações ao site falso, passa a ser uma das vítimas deste ataque, passando a sofrer gastos adicionais em seu cartão de crédito.

Agora vamos recapitular um pouco o que aconteceu e em que etapas o usuário poderia ter se dado conta de que se tratava de um ataque de phishing. Primeiramente, e principalmente, voltemos à imagem do e-mail. Como se pode observar, o e-mail é muito simples – quase não tem conteúdo, e convida o usuário a clicar em um link de procedência duvidosa. Diante desse tipo de situação, sempre é recomendável verificar se não se trata de um link malicioso e comprovar se a página é oficial ou não.

Caso ainda não tenha se dado conta do ataque ao abrir o e-mail, o usuário acabou acessando o site da web e ficou prestes a clicar no link de cadastro no programa de benefícios. Antes de clicar, é sempre recomendável observar no canto inferior esquerdo do navegador o endereço URL que será acessado. Neste caso, podemos ver que se trata de um endereço IP no lugar de um endereço URL. Ou seja, vemos que não é uma página oficial. Esse é outro indício de que se trata de um golpe, e a deixa para fechar o site.

Por último, está o formulário de inscrição, que pode não parece nocivo para o usuário, mas tem algo importante a ser observado a respeito: São solicitados os dados do cartão de crédito, portanto, com essa informação, é possível realizar uma compra gerando um gasto para o usuário. Em casos como este, vemos a necessidade de contar com boas práticas para navegar na Internet e poder detectar se um e-mail é falso, para não cair no golpe. Além disso, sempre é recomendável contar com uma solução antivírus com capacidade de detecção proativa como o ESET NOD32 Antivirus, que conta com uma blacklist para bloquear sites de phishing.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Phishing
No Comments »

Hoje vamos falar sobre o que pode acontecer quando duas vulnerabilidades conhecidas se combinam, afetando a segurança de uma empresa. Em particular, vamos analisar como a combinação da vulnerabilidade utilizada pelo Stuxnet (MS10-046) e outra, implementada pelo Conficker (MS08-068), poderiam permitir o acesso remoto por parte de um cibercriminoso.

A primeira das vulnerabilidades se refere à exploração dos acessos diretos do Windows (arquivos com extensão LNK) e sua data de publicação é de 2010. Seus efeitos permitem que, através de um arquivo LNK, seja possível baixar e executar um conjunto de arquivos maliciosos (de forma local ou remota), utilizando o caminho do ícone de acesso direto. Já a segunda vulnerabilidade tem mais de três anos e é amplamente utilizada pelo Conficker para se propagar através de uma rede infectada, graças a uma falha de segurança na autenticação do protocolo SMB.

Combinando ambas as vulnerabilidades, um criminoso poderia obter o acesso a um sistema remoto sem a necessidade de obter as senhas do usuário. Um acesso direto, alojado nas pastas compartilhadas forçaria a execução do exploit do Stuxnet para obter uma sessão válida na máquina da vítima. Esse ataque poderia ser utilizado tanto de maneira interna na rede como de maneira remota, mas, para o segundo caso, a complexidade aumenta um pouco. O resultado deste ataque permite ao criminoso obter as credenciais da pessoa que cai no golpe e carrega o acesso direto. O maior impacto ocorre quando um usuário com permissão de administrador da rede acessa a pasta compartilhada e o exploit é executado.

Há certos pontos que devem ser levados em conta sobre este caso. O primeiro deles reforça a importância de manter o sistema atualizado com todos os pacotes de segurança instalados. Anos depois da publicação do pacote que mitiga a vulnerabilidade utilizada pelo Conficker, esta ainda continua entre os códigos maliciosos com maior índice de detecção. Além disso, confirma que não se deve adicionar usuários com permissão de administrador, e que oferecer tais privilégios não é uma boa prática. Para conhecer mais sobre as boas práticas para a segurança empresarial, recomendamos ler nossos 10 mandamentos da segurança da informação na empresa.

Pablo Ramos
Especialista em Awareness & Research

Categories: Corporativo, Vulnerabilidades
No Comments »

No dia 28 de janeiro, celebramos o Dia da proteção dos dados, ou DPD (Data Privacy Day). O objetivo desta data é a conscientização dos usuários no que diz respeito aos seus hábitos de navegação e a privacidade de suas informações. A Microsoft realizou um relatório detalhado sobre a importância da privacidade e a proteção dos dados online, no que diz respeito aos usuários, organizações e entidades governamentais. Vejamos a importância de gerir nossa presença online, assim como as consequências e benefícios das ações dos usuários.

Um dos dados mais relevantes que o relatório traz é o que diz que somente 44% dos adultos e menores de idade (entre oito e 17 anos) pensam sobre as consequências em longo prazo que suas atividades online podem causar em sua reputação. É necessário ter em mente que atividades negativas online podem ser consideradas após uma entrevista de emprego, ou ao solicitar empréstimo a um banco. Contudo, esse valor cai em 38% no que diz respeito a afetar a reputação de outra pessoa com suas atividades em longo prazo.

Por outro lado, 14% das pessoas que responderam à pesquisa foram afetados pelos comentários de outras pessoas na rede. Entre as consequências relatadas, duas de cada dez pessoas que tiveram problemas perderam seu emprego e 16% perderam uma oportunidade de novo emprego. Outros problemas comentados foram o cancelamento de convênio médico e a impossibilidade de obter crédito bancário ou hipoteca.

No momento de publicar na Internet algum tipo de conteúdo ou informação, seja pessoal ou sobre outra pessoa, é necessário ter consciência do impacto que isso poderia chegar a ter na vida real e dentro de quanto tempo. Há informações que a pessoa deseja estar disponível para todo mundo, outros dados que somente se deseja compartilhar com pessoas mais íntimas e outras coisas que não queremos que ninguém tenha acesso. Para os que desejam revisar suas práticas, recomendo que leiam nosso Guia de Segurança nas Redes Sociais.

A privacidade e a segurança online são dois temas que os usuários devem tomar em consideração ao acessar as redes sociais, fóruns e páginas da Internet – principalmente ao publicar conteúdo que possa prejudicar sua imagem ou a de outras pessoas. Mesmo que o estudo tenha sido realizado na Alemanha, Canadá, Espanha, Estados Unidos e Irlanda, os resultados se refletem aos usuários do mundo todo. É recomendável revisar periodicamente suas políticas de privacidade e o conteúdo que se pode encontrar sobre si mesmo na Internet, para evitar qualquer tipo de prejuízo.

Pablo Ramos
Especialista de Awareness & Research

Categories: Curiosidades
No Comments »

Como parte do trabalho que realizamos no Laboratório da ESET América Latina, costumamos fazer o acompanhamento de campanhas de propagação de malware na região. Contudo, muitas vezes é preciso conhecer o motivo dos usuários estarem propensos a cair em determinados tipos de ataque. No post de hoje, vamos comentar a situação em que o usuário é levado a enviar mensagens maliciosas a seus contatos, seja através de e-mails ou serviços de mensagens instantâneas, e o que acontece quando alguém os avisa sobre o ocorrido.

Quando esse tipo de situação ocorre, o usuário pode se encontrar em dois cenários distintos. No primeiro deles, ele é o receptor de uma mensagem ou e-mail falso proveniente de um contato conhecido. O que você faz nessa situação? Bom, normalmente existem dois caminhos a se tomar: Avisar o contato sobre o que acontece com sua conta, ou apagar a mensagem como se nada tivesse acontecido. O mais recomendável é dizer ao contato o que está acontecendo e que deveria mudar sua senha imediatamente.

No segundo caso, o usuário é a vítima do ataque e suas senhas são utilizadas por criminosos para propagar malware. A não ser que seja avisado por alguém, pode nem se dar conta do ocorrido. Então, num belo dia, quando tenta acessar seu e-mail, recebe uma notificação sobre as atividades suspeitas de sua conta e o motivo dela ter sido bloqueada. Que problema, não?

Muitos poderiam se perguntar sobre o motivo de um usuário não se dar conta de que seu computador está infectado e os criminosos tem acesso à sua conta. Na realidade, isto vai um pouco além. Lembre-se que o importante é a educação em segurança da informação, já que permite ao usuário reconhecer e-mails ou sites de phishing e evitar cair neste erro. Poderia um sistema infectado enganar o usuário a cada vez que quiser se conectar a um site? A resposta é sim, e em muitas ocasiões, a não ser que algum contato o avise, o usuário não se dá conta do que está acontecendo com sua conta.

Durante 90 dias de acompanhamento a um ataque de phishing no Brasil, milhares de usuários acessaram uma página falsa do Hotmail, onde deixaram suas informações de login e senha. Durante esse período, alguns usuários caíram mais de 400 vezes e não conseguiram perceber que tratava de uma página falsa. Tirando uma média, isso significa que algumas vítimas acessaram quatro vezes por dia e inseriram suas informações no site falso, sem perceber que se tratava de um golpe.

Com as credenciais obtidas, os criminosos virtuais enviam e-mails falsos propagando outros códigos maliciosos, atingindo cada vez mais usuários. Além desse tipo de propagação, devem-se considerar os softwares de mensagem instantânea: ameaças como o Dorkbot utilizam o chat do Facebook ou o Windows Live Messenger para enviar mensagens aos contatos da vítima com um link direcionando ao malware. Quantas vezes algum contato enviou a você esse tipo de mensagem? O que você fez a respeito?

Concluindo, caso você seja vítima desse tipo de atividade, é recomendável que mude suas senhas de acesso a e-mail, redes sociais e outros serviços para evitar que continuem enviando mensagens em seu nome. Além disso, também aconselhamos instalar uma solução antivírus com capacidade de proteção proativa, como o ESET NOD32 Antivirus, e rastrear o computador com o objetivo de garantir que está livre de ameaças. Já do outro lado da história, caso você receba esse tipo de mensagem de algum de seus contatos, seria bom comentar que ele pode ter sido vítima de um código malicioso, que alguém mais teve acesso à sua conta e o que deveria fazer para se proteger.

Pablo Ramos
Especialista em Awareness & Research

Categories: Malware
No Comments »

Todos os meses os leitores compartilham conosco tendências e estatísticas sobre diversos assuntos em resposta às pesquisas mensais da ESET América Latina. Em janeiro, a pesquisa abordou o tema “redes sociais”, e como os usuários compartilham informação sensível através delas.

A alta popularidade de redes como Facebook e Twitter, devido às suas características únicas como a possibilidade de compartilhar informação e notícias atingindo um grande alcance e impacto em poucos segundos, ou a possibilidade de reencontrar pessoas que não se vê há certo tempo, levaram os usuários a mudar seus hábitos com respeito aos dados que publicam através da rede.

No seguinte gráfico é possível observar a porcentagem de utilização de algumas redes sociais segundo as estatísticas coletadas:

Sobre o tipo de informação compartilhada, 68,6% das pessoas que responderam a pesquisa afirmaram não compartilhar nada pessoal nas redes sociais. Contudo, 31,4% responderam o contrário. Dentre esse grupo, os que publicam seu número de telefone representam 57,8%, seguidos dos que publicam seu horário e local de trabalho, com 33,3%, sua residência com 22%, e finalmente a data de suas férias com 20%. Apesar de a maioria não publicar esse tipo de informação, recomendamos a quem o faz ser muito cauteloso, já que não somente os criminosos virtuais podem utilizar essa informação em seu benefício, como também criminosos “de carne e osso”, que poderiam aproveitar a data em que você não se encontra em sua residência para cometer algum delito, como roubo.

Por outro lado, 32,7% dos participantes da pesquisa afirmaram adicionar contatos desconhecidos em suas contas, sendo o motivo “conhecer gente nova” o mais citado, com 73% dos votos. Isso é extremamente preocupante para menores de idade, que podem ser vítimas de pessoas adultas sem escrúpulos. O alerta é para os pais ou responsáveis, que devem zelar pelo uso seguro das redes sociais pelas crianças. No hotsite “Família Segura” da ESET Brasil você pode encontrar guias completos com dicas e informações sobre o assunto.

Também destaco que 45,6% dos entrevistados informaram acessar redes sociais utilizando celulares com conexão sem fio. Além dos riscos inerentes a esse tipo de acesso à Internet, como a possibilidade de alguém interceptar as credenciais de início de sessão em um Wi-Fi público, é possível que os criminosos virtuais utilizem táticas de engenharia social para esse tipo de usuário. Por isso mesmo, recomendamos proteger seu smartphone com uma solução de segurança integral que seja capaz de detectar de forma proativa códigos maliciosos desenvolvidos para dispositivos móveis.

Por fim, convidamos você a participar do sorteio de uma licença do ESET Smart Security 5, respondendo nossa pesquisa de fevereiro sobre dispositivos móveis.

André Goujon
Especialista de Awareness & Research

Categories: Estatísticas, Redes sociais
No Comments »