Os ataques de Negação de Serviço (DoS) e ataques Distribuídos de Negação de Serviço (DDoS) se tornaram cada vez mais
frequentes, e muitas vezes são utilizados pelos hacktivistas como meio de protesto, ou inclusive são realizados por meio das redes botnet que utilizam seus computadores zumbi com esta finalidade. A seguir, apresentamos algumas informações mais técnicas para compreender seu funcionamento.

Em que consiste um ataque de DOS?

Um ataque de Negação de Serviço tem como objetivo deixar determinado recurso inacessível (geralmente um servidor web). Esses ataques geralmente se realizam com o uso de ferramentas que enviam uma grande quantidade de pacotes de forma automática para sobrecarregar os recursos do servidor, conseguindo, desta maneira, que o próprio serviço fique inoperante. Além disso, costumam coordenar ataques envolvendo um grande número de pessoas para que iniciem este tipo de ataque simultaneamente, constituindo assim um ataque de negação de serviço distribuído, o qual muitas vezes é um pouco mais difícil de conter.

Que métodos de defesa existem?

Devemos revisar a configuração de roteadores e firewalls para deter IPs inválidas, assim como filtrar protocolos não necessários. Alguns firewalls e roteadores oferecem a opção de prevenir inundações (floods) nos protocolos TCP/UDP. Além disso, é mais aconselhável habilitar a opção de logging (logs) para levar um controle adequado das conexões que existem com os ditos roteadores.

Como medida de resposta, é muito importante contar com um plano de resposta a incidentes. Caso ocorra algo dessa natureza, cada pessoa dentro da organização deveria saber qual é sua função específica.

Outras das alternativas que devemos ter em conta é a ajuda solícita ao Provedor de Serviços da Internet (ISP). Isso pode ajudar ao bloquear o tráfego mais próximo à sua origem sem a necessidade de alcançar a organização.

No caso de contar com IDS/IPS (intrusão-detecção/prevention system), esses podem detectar o mal uso de protocolos válidos como possíveis vetores de ataque. Devemos ter em conta, além disso, a configuração dessas ferramentas. Isso deve se realizar com o tempo necessário e mediante pessoas capacitadas, tentando o máximo possível manter atualizadas as assinaturas desses dispositivos. Cabe destacar que é de suma importância analisar os casos de falsos positivos para realizar uma possível reconfiguração desse tipo de ferramenta.

Alguns conselhos um pouco mais técnicos que podem ajudar são:

• Limitar a taxa do tráfego proveniente de um único host.
• Limitar o número de conexões simultâneas ao servidor.
• Restringir o uso da largura de banda pelos hosts que cometam violações.
• Realizar um monitoramento das conexões TCP/UDP feitas no servidor (permite identificar padrões de ataque).

Possivelmente, este tipo de ataque seguirá ocorrendo ao longo do tempo. É por isso que é necessário adotar medidas preventivas para tentar evita-los, assim como também contar com os recursos necessários na hora de responder em caso de ataque bem sucedido.

Fernando Catoira
Analista de Segurança

Categories: Gestão
1 Comment »

A engenharia social sem dúvida é um dos métodos mais eficazes para os cibercriminosos  obterem lucro com a manipulação dos usuários desprevenidos para que executem algum código malicioso. Ou ainda, como no caso que iremos abordar neste post, que entreguem todas as informações de seu cartão de crédito, como seu número completo, data de expiração, código de segurança, nome e sobrenome do titular e número de CPF.

Mediante a falsa promessa sobre um concurso associado à marca do cartão de crédito, os criminosos atraem a vítima em potencial para que entregue as informações citadas anteriormente, tudo através de três passos para não levantar suspeitas. Primeiramente, solicitam os primeiros seis dígitos do cartão de crédito. Em seguida, os outros dígitos restantes e mais dados como data de expiração e código de segurança. Finalmente, a vítima é levada a inserir seu CPF. Uma vez completadas as etapas da fraude, o usuário recebe uma confirmação de registro para o suposto concurso, incluindo um número falso como forma de passar ideia de legitimidade ao processo.

A seguir, mostramos as três etapas em que é solicitado ao usuário que insira seus dados e a quarta que afirma que o registro foi realizado com sucesso:

Ainda que para muitos usuários mais bem informados e precavidos este tipo de phishing, em que se solicita uma grande quantidade de informação sensível de forma tão direta, possa parecer absurdo, fraudes similares aparecem diariamente. Isso indica que a prática continua sendo uma tática bem sucedida, considerado que, geralmente, esse tipo de e-mail é propagado massivamente para aumentar a probabilidade de que vários usuários se tornem vítimas.

Se algum usuário chega a entregar informações bancárias sensíveis como dados de cartão de crédito, credenciais de acesso para trâmites financeiros, entre outros dados, ele deve contatar sua instituição financeira imediatamente para bloquear o cartão e mudar as senhas. Uma forma simples de prevenir ataques de phishing como este é lembrar-se que jamais um banco ou instituição séria irá pedir informações comprometedoras através de e-mail, redes sociais ou qualquer meio similar, não importa o motivo alegado. Geralmente os criminosos virtuais recorrem à tática do scareware, ou seja, amedrontam o usuário para que ele entregue informações que não entregaria de outra maneira, ou ainda oferecem prêmios ou algo tentador em troca. Com base nisso, é imprescindível acessar o site do banco escrevendo o endereço correto diretamente na barra de navegação, e não seguir links.

Por outro lado, uma conduta precavida e informada somada à implementação de uma solução antivírus com capacidade de detecção proativa diminuirá consideravelmente o risco de que uma pessoa seja afetada por alguma ameaça digital.

André Goujon
Especialista de Awareness & Research

Categories: Phishing
No Comments »

Alerta aos usuários da plataforma Mac: O malware OSX/Imuler, descoberto no ano passado, que atua roubando informações do sistema operacional, volta a ter evidência. Desta vez, ao invés de ser instalado pelo OSX/Revir.A, a nova variante do OSX/Imuler se esconde em um arquivo ZIP, dentro de uma pasta de imagens eróticas, esperando que o usuário abra o aplicativo malicioso.

A nova variante é muito similar às anteriores em termos de comunicação de comando e controle (C&C) e funcionalidades (o OSX/Imuler rouba informações que podem coletar e transmitir arquivos, capturas de tela, e outros dados para um servidor remoto). O protocolo de rede ainda é baseado em HTTP e o volume de dados transmitidos (payload) é compactado utilizando o zlib. Está sendo utilizado um novo domínio para comando e controle, registrado em 13 de fevereiro deste ano, através de um escritório de registros web chinês. O domínio aponta para o mesmo endereço IP das variantes anteriores, localizadas nos Estados Unidos e que ainda estão ativas.

Isso tudo parece indicar que a nova variante foi criada para reforçar sua evasão aos antivírus.

O OSX/Imuler tem a funcionalidade de enviar arquivos locais do usuário ao servidor do malware. O responsável por essa ação é um arquivo executável chamado CurlUpload, que é baixado do servidor sempre que o malware entra em atividade. Esse arquivo executável, primeiramente detectado no início de 2011, apresenta linhas interessantes em seu código, que sugerem ter sido desenvolvido inicialmente para o Windows e depois recompilado para o OS X:

O ESET Cybersecurity para Mac (software antivirus da ESET específico para a plataforma da Apple) já identifica a nova variante sob o nome OSX/Imuler.C, desde a atualização 6970 do banco de dados de assinaturas de vírus.

Alexis Dorais -Joncas
Security Intelligence Team Lead (ESET USA)

Categories: Alertas, Botnet, Malware em imagens
No Comments »

Foi lançada uma nova campanha de phishing direcionada a clientes de um importante banco brasileiro. Essa campanha consiste na clonagem do site da instituição com a finalidade de roubar as credenciais de acesso e outros dados importantes que detalhamos a seguir.

A campanha começa com um site exatamente idêntico ao do conhecido banco. A primeira característica para suspeitar de que se trata de um golpe é a origem do domínio. Como podemos visualizar na imagem, o domínio pertence ao Vietnã (.vn), o que não tem sentido para o site de uma instituição brasileira. Outro aspecto que devemos destacar é que o falso domínio não conta com nenhum link habilitado, a não ser o que oferece acesso ao serviço de home banking.

Quando o usuário insere o número da agência e o número da conta, e clica no botão OK (único link habilitado) começará uma série de passos para obter todos os dados que vinculam o usuário à sua conta bancária.

Neste passo, solicitamos ao usuário que insira os quatro dígitos correspondentes ao seu cartão utilizando os botões que se encontram no site. Surpreendentemente, uma vez inseridos os dígitos, o site informa que a senha está incorreta e que deve ser inserida novamente.

Isso ocorre, possivelmente, devido ao fato de os desenvolvedores exigirem duas vezes a senha para evitar possíveis erros do usuário. Seguindo o processo do golpe, o site aceita a senha inserida pelo usuário, e agora solicita três dígitos de segurança que se encontram no cartão de chaves do usuário.

A essa altura do golpe, de forma inacreditável, o site falso oferece conselhos de segurança ao usuário informando que, para não sofrer acessos indevidos à sua conta, é necessário realizar a ativação do cartão de chaves.

Se o usuário pressiona o botão de “ativar agora”, o site falso mostra um formulário para acessar todos os dígitos do cartão de chaves.

Assim que o usuário insere todos os números correspondentes ao seu cartão de chaves e pressiona “avançar”, o site falso redireciona o usuário ao site original do banco.

Como podemos ver na imagem obtida a partir da captura do tráfego de dados, podemos observar como os dados que foram inseridos pelo usuário são enviados de forma conjunta ao site sem nenhum tipo de encriptação, colocando-os à disposição dos criminosos virtuais que desenvolveram o golpe.

Esse tipo de golpe é cada vez mais frequente, por isso é recomendável contar com uma solução antivírus com capacidade de detecção proativa.

Fernando Catoira
Analista de Segurança

Categories: Alertas, Phishing
2 Comments »

Os Quick Response Codes (QR Codes) são “códigos de barras” de duas dimensões projetados para serem lidos e interpretados rapidamente. Atualmente, e somado à grande proliferação de smartphones no mercado, são muito utilizados para publicidade e campanhas de marketing. Isso ocorre devido à sua grande facilidade de manuseio, já que basta ao usuário apontar a câmera do smartphone para o código de barras para acessar sites relacionados.

Essa facilidade de acesso também pode significar uma desvantagem para o usuário quando se trata de acessar páginas desconhecidas. Lamentavelmente, os códigos QR podem ser utilizados com fins maliciosos. Um criminoso virtual, por exemplo, poderia direcionar os usuários a páginas que hospedem golpes de phishing, download de malware e demais ameaças. Tudo isso devido ao fato de os códigos não exibirem de forma explítica a URL que será acessada. Assim, temos uma nova alternativa para que os desenvolvedores de malware propaguem suas ameaças.

Além disso, é comum que esses códigos sejam acessados em smartphones que não contam com uma proteção de segurança. Para isso, pode ser utilizada uma página web contendo um código malicioso que explore uma vulnerabilidade no sistema operacional do telefone, e o usuário não teria como se proteger. Lembremos que o Android é uma das plataformas móveis mais atacadas e que já foram relatados casos de códigos maliciosos deste tipo para esta plataforma. Por isso, é muito importante que os usuários comecem a prestar atenção a essa problemática.

Não somente os smartphones podem representar um alvo para essa modalidade de ataque, como também os tablets. Os sistemas operacionais de ambos dispositivos são muitas vezes o mesmo, e a maioria dos tablets já possui câmera integrada.

Sugestões

Por isso, nos parece útil considerar alguns conselhos diante da massificação dessa tecnologia. A seguir, compartilhamos com vocês alguns pontos que acreditamos ser importantes para a utilização dos QR codes:

• Utilizar sempre um antivírus específico para smartphones
• Evitar o acesso a QR codes que não estejam associados a empresas conhecidas
• Evitar acessar URLs encurtadas
• Ficar atento a possíveis assinaturas indesejadas de serviços de SMS através de QR codes

Como costumamos dizer, evitar o uso de novas ferramentas não soluciona problemas, mas estar atento e tomar algumas precauções já pode ser o suficiente para minimizar boa parte dos riscos associados.

Raphael Labaca Castro
Especialista em Awareness & Research

Categories: Alertas, Curiosidades
No Comments »