Dado o crescimento do uso de dispositivos móveis e computadores como meios para efetuar as compras é necessário lembrar a todos
os usuários algumas recomendações importantes de segurança que deveriam levar em conta ao utilizar sites de e-commerce:

1-      Proteger o dispositivo: Antes de iniciar as compras é necessário contar com um dispositivo protegido, seja um computador ou um dispositivo móvel. Isto se alcança com a atualização do sistema operacional e das aplicações, especialmente os navegadores, para reduzir as possibilidades de infectar-se com ameaças que utilizam erros e vulnerabilidades. Além disso, independentemente do sistema operacional utilizado, é importante contar com uma solução de segurança que protege o usuário de infecção com códigos maliciosos ou outras ameaças durante sua navegação com ESET Smart Security.

2-      Comprar através de websites conhecidos:  Para evitar ser enganado ao realizar uma compra ou ser vítima de um roubo de dados bancários e pessoais é aconselhável realizar uma compra ou ser vítima de um roubo de dados bancários ou pessoais é aconselhável realizar as compras através de serviços com boa reputação.

3-      Cuidado com os links em e-mails e redes sociais: É muito comum que os cibercriminosos utilizem Engenharia Social em mensagens de e-mail ou publicidade em redes sociais para atrair suas vítimas e assim roubar seu dinheiro. O mais recomendável neste caso e não clicar diretamente sobre os links que chegam. Em lugar disto, o melhor a fazer é ir diretamente ao site pelo navegador e verificar a veracidade da informação.

4-      Prestar atenção aos supostos prêmios surpresa: Encontrar publicidades e pop-ups advertindo sobre ganhos extraordinários ou prêmios fabulosos, enquanto se navega pela internet é bastante comum. Vale a pena parar por um momento e pensar que não é lógico ganhar algo do qual nunca se inscreveu ou que pop-ups que oferecem milhões de dólares para responder umas simples perguntas não é algo coerente.

5-      Verifique a segurança do e-Commerce: É muito importante verificar que o site web através do qual se faz as compras cumpra com algumas normativas de segurança como o funcionamento sob o protocolo HTTPS, isto pode ver-se na barra de endereço diante do endereço de acesso ao site e dependendo do navegador pode observar-se um cadeado fechado ou através do menu propriedades do site se indica que o mesmo conta com um certificado digital legítimo.

6-      Acessar a redes WiFi seguras:  O uso de redes WiFi públicas pode ser um risco para a troca de informações sensíveis , já que o tráfego através da rede pode ser interceptado. O mais recomendado neste caso é realizar estas transações somente através de uma rede própria ou através de uma VPN.

7-      Fornecer informação com precaução: São muito comuns os códigos maliciosos que como parte de sua ação solicitam muitas informações pessoais dos usuários. Para tanto é muito importante estar atento a que tipo de informação está sendo solicitada e analisar se é realmente necessário fornecê-la.

8-      Colocar senha nos dispositivos: A informação armazenada nos dispositivos móveis e computadores portáteis é muito valiosa e por isso é recomendado proteger o dispositivo com alguma senha forte , para que em caso de perda ou roubo não se possa utilizá-la inapropriadamente.

Se os usuários levarem em conta estes simples conselhos, aumentarão drasticamente as probabilidades de manter a salvo seu dinheiro, ficando tranquilos para apreciar este feriado tranquilamente. Pode soar como medidas extremas ou para gerar mais trabalho, mas evitar qualquer inconveniente é muito melhor do que lamentar a perda e  estragar as festas. Se você conhece algumas dicas que podem ajudar a segurança das transações eletrônicas neste feriado, nós convidamos você a compartilhar conosco, esperamos seu feedback.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Engenharia Social
No Comments »

Segundo análise da ESET América Latina durante o ano de 2012, o spam continua sendo o tipo de golpe mais propagado por e-mail. Neste caso, vamos apresentar algo bastante particular que ocorre no Brasil. Trata-se de uma carta que chega por correio físico à casa da vítima cujo remetente é a Receita Federal.

Ao fazer a comparação com os ataques de spam eletrônico, no qual os cibercriminosos utilizam um assunto que gere interesse para alcançar uma maior quantidade de vítimas, neste caso se utiliza como isca uma informação que parece ser de bastante interesse para a vítima em potencial – sendo esta uma das estratégias para poder propagar ameaças de forma mais eficiente.

Na carta, é dito que há inconsistências com os dados bancários que foram declarados na Receita, solicitando que a pessoa acesse um endereço na web para inserir seus dados pessoais, além de dados bancários.

Apesar do impacto que a pessoa possa ter ao receber uma carta dizendo que há problemas com a declaração de impostos, é importante revisar com cuidado a informação para determinar se é verídica ou não. Por exemplo, ao revisar a carta menciona, nota-se que o endereço eletrônico que o usuário deve acessar tem domínio mexicano. Isso é um sinal de alerta suficiente que deve alertar o usuário que se trata de algo falso.

Há algumas recomendações que podemos ter em conta para evitar sermos vítimas desses golpes. Por exemplo, neste tipo de caso, podemos verificar por telefone antes de inserir qualquer dado na Internet, ainda mais se for o caso de um link suspeito como o da carta. É preciso também ter em mente que não é comum que instituições públicas solicitem informação financeira sensível através de sites que não têm relação com os sites oficiais, além de não serem seguros – como neste caso podemos ver que não se utiliza o protocolo HTTPS.

Esse tipo de técnica demonstra a versatilidade que podem chegar a ter os ataques dos cibercriminosos. Por isso é importante que os usuários estejam atentos de como manejam sua informação pessoal na rede.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Alertas
No Comments »

As Olimpíadas são um dos espetáculos que mais dão audiência no mundo todo, portanto é comum que sejam usadas para propagar ataques maliciosos. Durante esses eventos, surgem várias páginas que oferecem a transmissão ao vivo das diferentes competições, mas muitas delas têm um objetivo muito diferente: em alguns casos, são utilizadas para disseminar propaganda e em outros casos tentam infectar o computador do usuário com algum tipo de malware.

Quando o usuário busca por páginas para ver a transmissão de algum evento ao vivo através da Internet, geralmente é direcionado a blogs onde supostamente está o reprodutor do sinal, mas em muitos casos são somente blogs com spam onde o criminoso obtém lucro enganando os usuários.

Esse é o caso da página acima, que está relacionada a um domínio na América Latina, e que contém nada mais que uma imagem na qual o usuário deve clicar para ser direcionado a uma página de spam. Cada vez que uma pessoa clica na imagem para ver o suposto vídeo, é gerado lucro ao criminoso.

Outro tipo de site comum é aquele que o usuário acessa buscando ver a transmissão ao vivo de algum evento olímpico, sendo baixado diretamente um código malicioso. Esses sites não tem uma aparência suspeita, e assim que o usuário acessa, é feita a tentativa automática de download de uma variante do malware. Na página mostrada a seguir, é feita a tentativa de baixar o vírus detectado pelos produtos ESET como HTML/ScrInject.B.Gen.

Nesses casos, é muito importante que o usuário esteja muito atento a onde clicar e quais links acessar nos resultados de suas buscas. O mais recomendável para o usuário é entrar diretamente no site da organização dos Jogos Olímpicos de Londres 2012 para ver quais são as páginas autorizadas a fazer a distribuição oficial do sinal em cada região do planeta.

Além desse tipo de ameaça, é importante que o usuário tenha em conta outros vetores de propagação de códigos maliciosos muito utilizados durante esse tipo de evento. Um foco importante são os dispositivos móveis, para os quais surgem aplicativos em abundância de para fazer o acompanhamento dos jogos. Além de utilizar os portais oficiais dos desenvolvedores dos sistemas operacionais do dispositivo, uma alternativa segura é baixar os aplicativos oficiais do evento diretamente a partir da página oficial da organização.

Eventos com uma repercussão tão grande a nível mundial representam um desafio para o usuário, já que a falta de boas práticas no uso da Internet pode trazer consequências negativas. Portanto, a responsabilidade ao navegar e o uso de ferramentas que ofereçam segurança são a primeira linha de defesa para a sua proteção.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Alertas, Engenharia Social
1 Comment »

A realidade do mercado atual exige que as empresas realizem a avaliação de segurança de seus sistemas. Dessa forma, é possível avaliar qual é o nível de segurança da organização. Esse tipo de avaliação é denominado Penetration Test (teste de penetração).

O que é um Penetration Test?

Um teste de penetração consiste em provas de ataque contra os mecanismos de defesa existentes no ambiente que está sendo analisado. Essas provas compreendem desde a análise de dispositivos físicos e digitais, até a análise do fator humano utilizando engenharia social. O objetivo desses testes é verificar sob situações extremas qual é o comportamento dos mecanismos de defesa, especificamente, buscando encontrar vulnerabilidades. Além disso, são identificadas as faltas de controle e as brechas que podem existir entre a informação crítica e os controles existentes.

Por que é necessário realizar um Penetration Test?

Há muitos casos em que as organizações sofrem incidentes que poderiam ter evitado se os mecanismos de proteção fossem reforçados no devido momento. Os incidentes compreendem casos tais como fuga de informação, acessos não autorizados, perda de dados, entre muitos outros. A análise dos mecanismos de proteção deve ser uma tarefa proativa permitindo ao pentester (pessoa que realiza a auditoria) encontrar as vulnerabilidades e oferecer uma solução antes que um cibercriminoso se aproveite da deficiência.

Quais atividades fazem parte de um Penetration Test?

Um Penetration Test compreende múltiplas etapas com diferentes tipos de atividades em diferentes ambientes. A profundidade com que são feitas as atividades irá depender de certos fatores, dentre os quais se destaca os riscos que os métodos usados durante a avaliação podem gerar ao cliente.

É estabelecido um acordo prévio com o cliente para realizar as diferentes fases da análise, que são descritas a seguir:

• Fase de reconhecimento: Possivelmente, esta é uma das etapas que demanda mais tempo. Ainda assim, são definidos objetivos e são coletadas todas as informações possíveis que logo serão utilizadas ao longo das fases seguintes. A informação pela qual se busca abrange desde nomes e endereços de e-mail dos empregados da organização, até a topologia da rede, endereços IP, dentre outros. Vale destacar que o tipo de informação ou a profundidade da pesquisa irão depender dos objetivos definidos na auditoria.
• Fase de rastreamento: Utilizando a informação obtida no passo anterior, buscamos possíveis vetores de ataque. Essa etapa envolve o rastreamento de portas e serviços. Em seguida, é realizado o rastreamento de vulnerabilidades que permitirá definir os vetores de ataque.
• Fase de enumeração: O objetivo desta etapa é a obtenção dos dados referentes aos usuários, nomes dos computadores, serviços de rede, dentre outros. A esta altura da auditoria, são feitas conexões ativas com o sistema e executadas consultas dentro dele.
• Fase de acesso: Nesta etapa finalmente é feito o acesso ao sistema. Esta tarefa é feita a partir da exploração das vulnerabilidades detectadas que foram aproveitadas pelo auditor para comprometer o sistema.
• Fase de manutenção de acesso: Após ter obtido o acesso ao sistema, se busca uma maneira de manter o sistema comprometido à disposição de quem o tenha atacado. O objetivo é manter o acesso ao sistema durante a operação.

Ainda que as fases que compõem um Penetration Test sejam as mencionadas anteriormente, cabe destacar que a partir dos resultados obtidos é gerada a documentação correspondente com os detalhes que compreendem a auditoria. Esta documentação é a que o cliente irá ver, e a que servirá como guia para tomar futuras decisões pertinentes.

Finalmente, é importante tomar os cuidados necessários para evitar sofrer ataques e incidentes na organização. Ainda assim, a segurança deve ser gerenciada contemplando a necessidade de se fazer auditorias periodicamente. O mais aconselhável é contratar empresas especializadas em serviços de auditoria de segurança, para que identifiquem vulnerabilidades na infraestrutura da rede, para poder trabalhar com direção à melhoria da proteção das informações corporativas.

Fernando Catoira
Analista de Segurança

Categories: Corporativo, Vulnerabilidades
No Comments »

Conversores gratuitos de Youtube para mp3 – com malware como bônus

Quer tocar faixas de áudio do Youtube no seu iPod mas não deseja pagar pelo aplicativo? Você não está sozinho. Recentemente, surgiram alguns sites prometendo converter áudio de vídeos para arquivos mp3 que você pode baixar sem custo. Parece ótimo, não? O golpe: scammers estão tentando capturar o alto tráfego de usuários e direcioná-lo a sites de scam, onde você pode acabar sendo vítima de malware e outras coisas desagradáveis como bônus.

Então, o que acontece se você cair em um golpe deste tipo? Abaixo, demonstramos um caso que acompanhamos, com capturas de tela de todo o processo.

Neste exemplo, eu cliquei em um resultado de busca bem posicionado no Google, que direcionava a um vídeo no próprio Youtube dando supostas instruções para converter os vídeos do site para mp3s. Ao clicar, ele demonstrou uma captura de tela dentro do próprio player de vídeo, me instruindo a acessar um site diretamente. A descrição do vídeo veio completamente cheia de palavras-chave para impulsionar o posicionamento. Aqui está uma captura de tela do que me foi apresentado:

Quando digitei no browser a URL recomendada pelo “vídeo”, fui levado a um site altamente carregado de javascript (que meu browser bloqueou através de um plugin), conteúdo de terceiros e anúncios me dizendo para pegar meu “cartão presente de US$ 500” – o que também liberaria o download do conversor de vídeo para mp3. Como eu adoraria ganhar um cartão presente de US$ 500, cliquei no link.

E então uma tela mostra o suposto arquivo com download bloqueado, que eu teria que desbloquear.

Eu escolhi a oferta de cartão presente da Best Buy. Quando cliquei no link, fui direcionado a uma página que me mostrava que poderia ganhar um cartão de US$ 1.000 – melhor ainda!

Eu também notei que a página queria usar bastante javascript e conteúdo de terceiros, gerando uma notificação de segurança do ESET Smart Security, informando que o site foi bloqueado por tentar enviar cookies de rastreamento. Também notei que o site usava significativo tráfego de Internet ao tentar baixar todos seus componentes. Após ter respondido a última pergunta, eu fui sido solicitado a inserir meu e-mail para receber o cartão presente. Quando inseri um e-mail falso, eu fui levado a uma tela onde teria que inserir ainda mais informações pessoais, incluindo meu endereço físico, idade, sexo, e número de telefone. Eu também teria de concordar em ser contatado por empresas terceiras sobre assinaturas de revistas, etc.

Clicando em “Continue”, passamos para a seguinte tela:

Nesse ponto, eu notei que a senha original que seria liberada para que eu pudesse destravar o arquivo mp3 convertido do vídeo não foi mais mencionada. Parecia que a trilha que eu vinha seguindo não estava perto de terminar, e então eu fechei todos os sites e escrevi esse artigo, contando com que esse relato impeça outras pessoas de caírem em golpes semelhantes.

Mas qual é o prêmio dos scammers? Eles costumam adaptar continuamente suas plataformas de golpes para fazer novas vítimas, e esse caso não é exceção. Ao ganhar altos posicionamentos nas buscas através de técnicas de BlackHat SEO (BHSEO), sempre que um usuário clica nos links, seu posicionamento no ranking de popularidade, e o lucro associado, sobe. Mesmo que o usuário não caia na história do “conversor para mp3 gratuito” (recheado de malware), o site de scam ainda consegue gerar lucro simplesmente pelo tráfego.

E muitos usuários acreditam ter feito download de um player baseado em java, levando malware como bônus.

Recapitulando, esse scam (até o momento) tentou enviar conteúdo bloqueado pelo ESET Smart Security, executar ocultamente javascript em diversas páginas, coletar meu endereço de e-mail e dados pessoais, e me fazer confirmar que tenho mais de 18 anos, consentindo com todo o processo. Isso não soa muito como “gratuito”, e parece o começo de uma longa cadeia de atividade má intencionada. No final das contas, optei por adquirir uma música de uma loja virtual de mp3 confiável, deixando de lado a coleta de informações pessoais “gratuita”.

Cameron Camp
Security Researcher – ESET USA

Categories: Black Hat SEO, Engenharia Social, Phishing
1 Comment »