A configuração de segurança em redes sociais é muito importante para prevenir situações incômodas. A seguir, falaremos de um caso de uma conta do Twitter que pode ser utilizada para enviar publicidade de forma indiscrimanada aos seguidores e como fazer para preveni-lo.

Faz uns dias nos chegou ao laboratório da ESET Latinoamerica o caso de um usuário que nos comentou que através de sua conta no Twitter estavam enviando mensagens a seus seguidores sem sua aprovação, ou em outras palavras mensagens spam sobre produtos que nunca utilizaram.l Depois de investigar um pouco a respeito nos demos conta que eram vários os usuários que tinham o mesmo problema: Envío de mensagens massivas a seus seguidores sobre o mesmo produto.

Todas estas mensagens tem associado um link curto que leva os usuários a uma página web onde se oferece um produto para perder peso de forma rápida. Dentro desta página há muitos links que supostamente servem para navegar e obter mais informação sobre o produto, mas realmente conduzem a uma mesma página web:

A página a qual se redireciona o usuário é um formulário que solicita sua informação pessoal e seu número de cartão de crédito para concretizar  a transação. Esta nova página web cabe destacar que não utiliza o protocolo HTTPS para fazer de forma segura a transação e tampouco conta com um certificado de segurança que garanta a segurança da informação na troca da mesma. Isto podemos verificar através da seguinte imagem:

Na verdade, esta forma é detectada por soluções de segurança ESET como uma página com o conteúdo potencialmente perigoso, que nos dá mais um sinal de que as informações inseridas não podem ser garantidas quanto à segurança:

É importante notar que não estamos dizendo para não utilizar o produto para a perda de peso ou não para a enviar dados. O que estamos enfatizando é que o método pelo qual a publicidade é invasivo e não é garantida a segurança dos dados do usuário quando você enviar suas informações pessoais e financeiras.

O que os usuários podem fazer com este problema?

Esses casos geralmente ocorre quando os usuários indiscriminadamente aceitar aplicativos que podem acessar seu perfil, com permissão para enviar e receber mensagens e até mesmo o usuário para enviar mensagens em nome do usuário. A melhor prática, nesses casos, é que o usuário é direcionado para a seção de configuração na opção Aplicações remover o acesso a todos aqueles que não usam ou não sabem.

Além de ter uma solução de segurança instalada para ajudar o usuário a saber se os sites que são seguros estão entrando ou podem constituir um perigo para a sua informação. Recordamos, também, a importância do comportamento seguro enquanto navega na Internet, bem como cuidados de compartilhar suas informações pessoais.
H. Camilo Gutierrez Amaya

Especialista em Awareness & Research

Categories: Alertas, Engenharia Social
No Comments »

Dado o crescimento do uso de dispositivos móveis e computadores como meios para efetuar as compras é necessário lembrar a todos
os usuários algumas recomendações importantes de segurança que deveriam levar em conta ao utilizar sites de e-commerce:

1-      Proteger o dispositivo: Antes de iniciar as compras é necessário contar com um dispositivo protegido, seja um computador ou um dispositivo móvel. Isto se alcança com a atualização do sistema operacional e das aplicações, especialmente os navegadores, para reduzir as possibilidades de infectar-se com ameaças que utilizam erros e vulnerabilidades. Além disso, independentemente do sistema operacional utilizado, é importante contar com uma solução de segurança que protege o usuário de infecção com códigos maliciosos ou outras ameaças durante sua navegação com ESET Smart Security.

2-      Comprar através de websites conhecidos:  Para evitar ser enganado ao realizar uma compra ou ser vítima de um roubo de dados bancários e pessoais é aconselhável realizar uma compra ou ser vítima de um roubo de dados bancários ou pessoais é aconselhável realizar as compras através de serviços com boa reputação.

3-      Cuidado com os links em e-mails e redes sociais: É muito comum que os cibercriminosos utilizem Engenharia Social em mensagens de e-mail ou publicidade em redes sociais para atrair suas vítimas e assim roubar seu dinheiro. O mais recomendável neste caso e não clicar diretamente sobre os links que chegam. Em lugar disto, o melhor a fazer é ir diretamente ao site pelo navegador e verificar a veracidade da informação.

4-      Prestar atenção aos supostos prêmios surpresa: Encontrar publicidades e pop-ups advertindo sobre ganhos extraordinários ou prêmios fabulosos, enquanto se navega pela internet é bastante comum. Vale a pena parar por um momento e pensar que não é lógico ganhar algo do qual nunca se inscreveu ou que pop-ups que oferecem milhões de dólares para responder umas simples perguntas não é algo coerente.

5-      Verifique a segurança do e-Commerce: É muito importante verificar que o site web através do qual se faz as compras cumpra com algumas normativas de segurança como o funcionamento sob o protocolo HTTPS, isto pode ver-se na barra de endereço diante do endereço de acesso ao site e dependendo do navegador pode observar-se um cadeado fechado ou através do menu propriedades do site se indica que o mesmo conta com um certificado digital legítimo.

6-      Acessar a redes WiFi seguras:  O uso de redes WiFi públicas pode ser um risco para a troca de informações sensíveis , já que o tráfego através da rede pode ser interceptado. O mais recomendado neste caso é realizar estas transações somente através de uma rede própria ou através de uma VPN.

7-      Fornecer informação com precaução: São muito comuns os códigos maliciosos que como parte de sua ação solicitam muitas informações pessoais dos usuários. Para tanto é muito importante estar atento a que tipo de informação está sendo solicitada e analisar se é realmente necessário fornecê-la.

8-      Colocar senha nos dispositivos: A informação armazenada nos dispositivos móveis e computadores portáteis é muito valiosa e por isso é recomendado proteger o dispositivo com alguma senha forte , para que em caso de perda ou roubo não se possa utilizá-la inapropriadamente.

Se os usuários levarem em conta estes simples conselhos, aumentarão drasticamente as probabilidades de manter a salvo seu dinheiro, ficando tranquilos para apreciar este feriado tranquilamente. Pode soar como medidas extremas ou para gerar mais trabalho, mas evitar qualquer inconveniente é muito melhor do que lamentar a perda e  estragar as festas. Se você conhece algumas dicas que podem ajudar a segurança das transações eletrônicas neste feriado, nós convidamos você a compartilhar conosco, esperamos seu feedback.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Engenharia Social
No Comments »

Segundo análise da ESET América Latina durante o ano de 2012, o spam continua sendo o tipo de golpe mais propagado por e-mail. Neste caso, vamos apresentar algo bastante particular que ocorre no Brasil. Trata-se de uma carta que chega por correio físico à casa da vítima cujo remetente é a Receita Federal.

Ao fazer a comparação com os ataques de spam eletrônico, no qual os cibercriminosos utilizam um assunto que gere interesse para alcançar uma maior quantidade de vítimas, neste caso se utiliza como isca uma informação que parece ser de bastante interesse para a vítima em potencial – sendo esta uma das estratégias para poder propagar ameaças de forma mais eficiente.

Na carta, é dito que há inconsistências com os dados bancários que foram declarados na Receita, solicitando que a pessoa acesse um endereço na web para inserir seus dados pessoais, além de dados bancários.

Apesar do impacto que a pessoa possa ter ao receber uma carta dizendo que há problemas com a declaração de impostos, é importante revisar com cuidado a informação para determinar se é verídica ou não. Por exemplo, ao revisar a carta menciona, nota-se que o endereço eletrônico que o usuário deve acessar tem domínio mexicano. Isso é um sinal de alerta suficiente que deve alertar o usuário que se trata de algo falso.

Há algumas recomendações que podemos ter em conta para evitar sermos vítimas desses golpes. Por exemplo, neste tipo de caso, podemos verificar por telefone antes de inserir qualquer dado na Internet, ainda mais se for o caso de um link suspeito como o da carta. É preciso também ter em mente que não é comum que instituições públicas solicitem informação financeira sensível através de sites que não têm relação com os sites oficiais, além de não serem seguros – como neste caso podemos ver que não se utiliza o protocolo HTTPS.

Esse tipo de técnica demonstra a versatilidade que podem chegar a ter os ataques dos cibercriminosos. Por isso é importante que os usuários estejam atentos de como manejam sua informação pessoal na rede.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Alertas
No Comments »

Conversores gratuitos de Youtube para mp3 – com malware como bônus

Quer tocar faixas de áudio do Youtube no seu iPod mas não deseja pagar pelo aplicativo? Você não está sozinho. Recentemente, surgiram alguns sites prometendo converter áudio de vídeos para arquivos mp3 que você pode baixar sem custo. Parece ótimo, não? O golpe: scammers estão tentando capturar o alto tráfego de usuários e direcioná-lo a sites de scam, onde você pode acabar sendo vítima de malware e outras coisas desagradáveis como bônus.

Então, o que acontece se você cair em um golpe deste tipo? Abaixo, demonstramos um caso que acompanhamos, com capturas de tela de todo o processo.

Neste exemplo, eu cliquei em um resultado de busca bem posicionado no Google, que direcionava a um vídeo no próprio Youtube dando supostas instruções para converter os vídeos do site para mp3s. Ao clicar, ele demonstrou uma captura de tela dentro do próprio player de vídeo, me instruindo a acessar um site diretamente. A descrição do vídeo veio completamente cheia de palavras-chave para impulsionar o posicionamento. Aqui está uma captura de tela do que me foi apresentado:

Quando digitei no browser a URL recomendada pelo “vídeo”, fui levado a um site altamente carregado de javascript (que meu browser bloqueou através de um plugin), conteúdo de terceiros e anúncios me dizendo para pegar meu “cartão presente de US$ 500” – o que também liberaria o download do conversor de vídeo para mp3. Como eu adoraria ganhar um cartão presente de US$ 500, cliquei no link.

E então uma tela mostra o suposto arquivo com download bloqueado, que eu teria que desbloquear.

Eu escolhi a oferta de cartão presente da Best Buy. Quando cliquei no link, fui direcionado a uma página que me mostrava que poderia ganhar um cartão de US$ 1.000 – melhor ainda!

Eu também notei que a página queria usar bastante javascript e conteúdo de terceiros, gerando uma notificação de segurança do ESET Smart Security, informando que o site foi bloqueado por tentar enviar cookies de rastreamento. Também notei que o site usava significativo tráfego de Internet ao tentar baixar todos seus componentes. Após ter respondido a última pergunta, eu fui sido solicitado a inserir meu e-mail para receber o cartão presente. Quando inseri um e-mail falso, eu fui levado a uma tela onde teria que inserir ainda mais informações pessoais, incluindo meu endereço físico, idade, sexo, e número de telefone. Eu também teria de concordar em ser contatado por empresas terceiras sobre assinaturas de revistas, etc.

Clicando em “Continue”, passamos para a seguinte tela:

Nesse ponto, eu notei que a senha original que seria liberada para que eu pudesse destravar o arquivo mp3 convertido do vídeo não foi mais mencionada. Parecia que a trilha que eu vinha seguindo não estava perto de terminar, e então eu fechei todos os sites e escrevi esse artigo, contando com que esse relato impeça outras pessoas de caírem em golpes semelhantes.

Mas qual é o prêmio dos scammers? Eles costumam adaptar continuamente suas plataformas de golpes para fazer novas vítimas, e esse caso não é exceção. Ao ganhar altos posicionamentos nas buscas através de técnicas de BlackHat SEO (BHSEO), sempre que um usuário clica nos links, seu posicionamento no ranking de popularidade, e o lucro associado, sobe. Mesmo que o usuário não caia na história do “conversor para mp3 gratuito” (recheado de malware), o site de scam ainda consegue gerar lucro simplesmente pelo tráfego.

E muitos usuários acreditam ter feito download de um player baseado em java, levando malware como bônus.

Recapitulando, esse scam (até o momento) tentou enviar conteúdo bloqueado pelo ESET Smart Security, executar ocultamente javascript em diversas páginas, coletar meu endereço de e-mail e dados pessoais, e me fazer confirmar que tenho mais de 18 anos, consentindo com todo o processo. Isso não soa muito como “gratuito”, e parece o começo de uma longa cadeia de atividade má intencionada. No final das contas, optei por adquirir uma música de uma loja virtual de mp3 confiável, deixando de lado a coleta de informações pessoais “gratuita”.

Cameron Camp
Security Researcher – ESET USA

Categories: Black Hat SEO, Engenharia Social, Phishing
1 Comment »

Em várias oportunidades, falamos em nosso blog de diferentes casos de phishing. Além disso, analisamos um caso que utilizava uma tecnologia conhecida como geolocalização, que permite determinar a partir de que país a vítima em potencial está acessando. Há um novo caso de phishing sobre uma conhecida companhia aérea que está afetando usuários brasileiros, e que utiliza justamente essa técnica.

Esse site de phishing em particular implementa a geolocalização como mecanismo para impedir o acesso de usuários que estejam fora do Brasil. Dessa forma, fica mais difícil detectar esses sites fraudulentos, além de indicar os usuários que realmente são de importância para o criminoso virtual. A tela abaixo mostra a mensagem de “proibido” que aparece quando o usuário se encontra fora do país:

Devido a esse tipo de limitação, conseguimos acessar o site utilizando um proxy do Brasil para poder driblar a proteção e ter acesso ao próprio site malicioso. A tela abaixo mostra sua entrada:

Há uma série de fatores que chamam a atenção. Em primeiro lugar, o site conta com um painel de busca de voos, que dispõe de funcionalidade completa. Em outras palavras, caso seja feita uma busca sobre esse formulário, é feito um redirecionamento ao site original, com os dados inseridos no formulário, e a seguir é executada a própria busca sobre o servidor legítimo. Essa é uma das formas os criminosos utilizam para não despertar suspeitas no usuário. O formulário pode ser visto na imagem a seguir:

Contudo, a finalidade deste site falso se encontra no formulário em que é solicitado ao usuário uma série de dados críticos para poder participar de um suposto sorteio. A seguir, você pode ver uma imagem do formulário:

O suposto concurso promete sortear 200 mil pontos diários que podem ser trocados por produtos e até mesmo voos nacionais e internacionais. Porém, para participar do sorteio, o usuário deve inserir seu “número fidelidade” e a “senha de resgate” (quatro ou cinco dígitos para certificar que é o cliente que utiliza os pontos). Ou seja, com essa informação, o criminoso poderia ter acesso aos pontos que a vítima possui na companhia aérea.

Foi feita uma análise do tráfego gerado para determinar que ações este site de phishing realiza assim que os dados requeridos são informados para o suposto sorteio. Especificamente, é feita a conexão a outro servidor remoto onde a informação é processada a partir de um arquivo PHP embutido. Possivelmente a informação será coletada e armazenada de alguma forma para que seja utilizada posteriormente pelos criminosos. Na imagem a seguir, você pode observar a informação do tráfego de rede:

Ao acessar o servidor, especificamente a pasta log lista três arquivos PHP. Esses arquivos podem ser utilizados para processar a informação roubada através de diferentes campanhas. A imagem a seguir mostra os arquivos mencionados:

Essa campanha combina, então, métodos de geolocalização e redirecionamento ao site legítimo para poder preservar por mais tempo o site de phishing online. Dessa forma, o criminoso se assegura de obter os dados dos usuários que realmente são de seu interesse e minimiza a possibilidade de ser detectado. Por esse tipo de situação, é recomendável contar com alguma solução de software com capacidade de detecção proativa que permita estar protegido contra esse tipo de ameaça. Além disso, a educação é um pilar fundamental que o usuário deve considerar para completar sua segurança.

Fernando Catoira
Analista de Segurança

Categories: Phishing
No Comments »