Noticias

Ataque ao TSE 2018 – Análise na ótica de segurança

Diego PiffarettiDeixe um comentário

Recentemente foi disponibilizado os autos de investigação da PF da invasão ocorrida no TSE em abril de 2018.

Sem entrar em um discurso politico, me prendendo somente a temática de segurança da informação, analisei os detalhes do incidente que são contados no relatório e resolvi trazer pontos de lições aprendidas.

DOWNLOAD do documento

Resumo do ataque (bem resumo mesmo)

O documento inicia falando sobre comprometimento de um web server do Rio Grande do Norte e movimentação para servidores de outras regionais. Foram feitos diversos scans de rede, depois é citado a máquina da regional TRE-AP foi acessada com um usuário que deveria estar desativado e com senha de fácil dedução. O documento segue dizendo que houve a utilização de uma webshell para comprometer uma das máquinas. Também é mostrado um acesso a uma máquina utilizando o Teamviwer. O documento segue citando que o webshell foi instalado em outras máquinas. Em seguida é citado que existia uma VPN destinada a uma empresa de manutenção de centrais telefônicas. na sequencia, é falado sobre tentativas de acesso a portas Oracle e também de scans de rede focados nas portas 80, 443, 8080, 8081, 8180, 21 e 3389. Depois é citado que foram identificados ataques a procura de fragilidades no PHP. Na sequencia é falado sobre acesso ao ILO, software da HP para gerenciamento de máquinas.

Mais para frente o documento fala sobre obtenção de senhas que não eram triviais e de uma suspeita de obtenção da base do AD com posterior quebra das senhas. O atacante cita que obteve acesso por vários meses na infra do TSE e que ele percebeu nas trocas de e-mail que cortaram o acesso a VPN, porém ele manteve o acesso. Foi identificado um servidor que fazia a compilação do código fonte das urnas utilizando jenkins sem senha.

Lições

Diante do resumo que fiz acima, alguns pontos que podemos destacar como lições que podemos tomar na ótica de segurança:

Usuário legado – Importante sempre estar fazendo sanitizações em usuários locais e na base do AD. Se possível evitar a utilização de usuário local, já que é algo difícil de gerenciar. Aconselho utilizar em ambiente Windows o LAPS da Microsoft para gestão de usuários administradores locais e de suas credenciais. Além disso para o AD pode-se fazer buscas periódicas em atributos como de “lastlogon”, estipular um prazo que se adeque ao se negocio, mas uma sugestão seria algo em torno de 7 meses, já que podem ter mulheres grávidas que se afastam pelo período de 6 meses e emendam férias. Passado esse timming, pode-se criar algum tipo de script ou processo manual para bloqueio do usuário e movimentação para uma quarentena. Caso você tenha um poder ferramental ou investimentos, uma ferramenta de gestão de identidades conseguiria lidar bem com esse processo.

Senha de Fácil dedução – Senha seja ela fácil ou difícil, por si só é um conceito que não dá mas para ser usado como único fator. É importante que se utilize o conceito de duplo fator de autenticação. Uma recomendação é que minimamente sistemas externos tenham 100% implementado 2FA para autenticação. Contas de serviço/robôs e afins que não podem digitar um 2FA, podem entrar numa regra condicional com IP de origem bem amarrado para que somente essas exceções possam interagir externamente sem 2FA. Obviamente o ideal é ter 2FA em tudo, mas partindo de estratégias por etapas, acredito que essa parte de fechar bem os acessos e sistemas externos já seja uma boa estratégia.

Scan de rede – Este ponto é um que vejo uma dificuldade maior nas empresas em geral para mitigar. Minha sugestão que uma das coisas que pode jogar ao seu favor é o seu endpoint, isso mesmo seu antivírus. Existem muitas soluções de antivírus que possuem a feature de detectar e barrar scans de rede e que funcionam perfeitamente. Outro ponto, na verdade até mais adequado, é o próprio firewall com módulos de segurança corretamente configurados. Uma ferramenta de IPS/IDS também ajuda nesse assunto. Scans de rede devem ser permitidos somente de servidores com essa função, como por exemplo o pessoal de gestão de vulnerabilidades.

Webshell – Importante aqui alguns processos. Um deles é a realização constante de pentest que assegurem que não sejam possíveis de serem feitos upload de arquivos maliciosos. Outra camada importante de proteção é o próprio endpoint que deve ter a capacidade de detectar a inserção desse tipo de arquivo. WAF seria uma camada adicional que pode ajudar também nessa temática.

Teamviwer – Aqui a minha sugestão é: quais ferramentas de acesso remoto você permite em sua empresa? Depois de definido quais, em que redes você o permite? A utilização de ferramentas como essa se não forem bem implantadas trazem grande risco. Sugiro regras fortes de firewall bloqueando todas essas ferramentas e liberar somente em redes especificas, garantindo além disso que somente usuários com alto privilegio possa ter a capacidade de instalação em servidores e em estações também.

Software de gerenciamento de servidores – Tome cuidado com softwares como Ilo e IDRAC principalmente. O IDRAC é algo manjado em testes de invasão, onde a maioria dos atacantes vão tentar de cara a famosa senha padrão root-calvin. Se possível faça single sign on nessas plataformas e garanta um login corporativo com 2FA ou então minimamente certifique-se que nenhuma senha de fácil dedução ou padrão está sendo utilizada.

Base do AD – Neste ponto não foi claro que realmente houve obtenção da base do AD, até acho que podem ter sido utilizado outras técnicas como obtenção de senha em memória, já que quebra de senha exigiria tempo e se a sena fosse realmente muito boa como foi citado, exigiria bastante tempo. Existe também a possibilidade de obtenção da senha em texto claro nas famosas anotações, arquivos txt ou as famosas planilhas com diversas senhas anotadas. Se prendendo a temática de replicação da base do AD, aqui um ponto é que para tal ação é necessário ter um usuário Domain Admin. Um chefe meu me falou uma vez uma frase que eu tomo como um mantra: Domain Admin você tem que conseguir contar na palma de uma mão, se passar disso tem algo errado. Enterprise e Schema Admin então não deveria ter ninguém inserido nunca. Para isso siga muito estritamente o conceito de menor privilégio possível. Só se eleve quando necessário. Outra lição é , servidores de AD, devem ser estritamente protegidos, com acessos muito restrito e dificultados, de preferência com regras de acesso a nível de firewall bem restrita. Outra sugestão é, faça ao menos 1 vez ao ano ataques de força bruta contra a sua base! Eu já fiz um post sobre isso por aqui.

Outros pontos – Foi citado por exemplo uso de um jenkins aberto, importante que que o processo de gestão de vulnerabilidades seja efetivo e que sempre busque essas falhas, as que vejo mais comuns são FTP com acesso anônimo, telnet, RDP com guest habilitado, mongodb sem senha, ELK sem senha.

Também foi falado sobre uma VPN que foi utilizada, a qual era destinada a uma empresa terceira. Minha sugestão, quanto mais flores para cuidar mais complexo fica seu jardim! Menos as vezes é mais, no meu ponto de vista uma arquitetura bacana é uma VPN única para tudo com as devidas regras para cada publico que nela se conecta, assim você tem uma coisa só pra cuidar. Você vai ter regras específicas de acessos para funcionários, outras para administradores e outras para terceiros e demais.

Segregação de rede é muito importante, inclusive na temática de ransomware que tem crescido em larga escala, nesse tipo de ataque, segregação de rede é uma das grandes camadas de proteção. No caso do TSE uma segregação de rede mais adequada teria evitado ou pelo menos dificultado a movimentação lateral.

Outro ponto é resposta de incidentes efetiva. Foi citado que foi feito a derrubada da VPN mas que o acesso foi mantido pois não era por ali que o hacker estava entrando. Para isso é necessário como primeiro passo se investir em um time sólido e com conhecimento, além disso ter o ferramental adequado e logs além de um bom SIEM para uma boa analise e uma resposta rápida. Pessoas, processos e ferramentas, isso vale para tudo!

O conceito de jump server também merece ser citado. Pelo documento parece que houve muita movimentação lateral com acesso RDP direto de um lugar ao outro. Importante ter uma arquitetura com conceito de jump server, onde usuários só podem acessar a rede de servidores a partir de servidores específicos. Tendo investimento, ferramentas de gerenciamento de acessos são grandes aliados (EX: Cyberark ou senha segura).

Por último mas não menos importante: Tenha bons processos de gestão de vulnerabilidades e pentest implementados!

E por fim…

Meu intuito no post não é apontar defeitos na rede do TSE ou de sua equipe, mas sim a partir da analise do ocorrido o que podemos tirar de melhorias que outras empresas que tenham problemas parecidos possam refletir. Diversos pontos fiz explicações mais rápidas, mas é bom eu explicar que foi um resumo de ações, existem diversas outras estratégias que demandaria um texto muito longo.

Top tecnologias estratégicas para 2021 segundo o Gartner

Diego PiffarettiDeixe um comentário

O Gartner lança anulamente um relatório com as principais tendências de tecnologia estratégica, e o report deste ano destacam as tendências que irão gerar oportunidades e interrupções significativas nos próximos cinco a 10 anos. Selecionadas por seu potencial transformador, as tendências deste ano se enquadram em três temas: Centricidade nas pessoas, independência de localização e entrega resiliente. Os líderes de TI devem decidir que combinação dessas tendências gerará mais inovação e estratégia para sua empresa.

Centricidade nas pessoas: Apesar da pandemia ter mudado a forma como
muitas pessoas trabalham e interagem com organizações, as pessoas
ainda estão no centro de todos os negócios e precisam de
processos digitalizados para operar no ambiente de hoje.

Independência de localização: O COVID-19 mudou para onde
funcionários, clientes, fornecedores e organizações
estejam fisicamente. Independência de localização
requer uma mudança de tecnologia para suportar esta nova versão
de negócios.

Entrega resiliente: seja uma pandemia ou recessão,
a volatilidade existe no mundo.

CENTRICIDADE NAS PESSOAS

Internet of Behaviors (IoB): Aqui o Gartner descreve esse temos como a coleta de dados pessoais para serem processados e utilizados de volta para inflenciar no seu comportamento. Aqui entra uma questão social, ético e de priviacidade muito grande , mas que vem de forma crescente num mundo onde Big Data está acelerado.

Experiência total: Aqui é a junção da multiexperiência (MX), experiência do cliente (CX), experiência do funcionário (EX) e experiência do usuário (UX), e os vincula para criar uma melhor experiência geral. Muito na linha de cadê vez mais agregar vários dados e extrair informações com mais potencialidade

Melhorar a privacidade: Aqui o Gartner destaca 3 subtópicos: Criar um ambiente confiável, incluindo os terceiros, processamento e análise de forma descentralizada e por último a recuperação de informação de forma privada utilizando a transformação de dados e algoritmos antes do processamento ou análise da informação. Especilamente no Brasil, é o ano da LGPD e e esse tema de privacidade virá cadê vez mais forte.

INDEPENDÊNCIA DE LOCALIDADE

Cloud distribuida: Aqui o Gartner foca na questão da nuvem publica, que pode ajudar inclusive na questão de privacidade, já que seus dados podem estar armazenados em qualquer lugar do mundo de sua escolha, facilitando as leis de privacidade. Além disso ele destaca que a utilização das nuvens publicas ajudaram as empresas a amnterem suas operações com menor de depência de uma localidade física específica.

Operar de qualquer lugar: O modelo deve oferecer experiências únicas de valor agregado. Forner uma experiência digital contínua e escalável requer mudanças na infraestrutura de tecnologia, práticas de gestão,
políticas de segurança e governança e funcionários e modelos de engajamento do cliente.

Cybersecurity mesh: A malha de cibersegurança é uma arquitetura distribuída abordagem de segurança cibernética escalável, flexível e confiável ao controle. Aqui eu destacaria o poder de elasticidade/escalação de operação de segurança, mediante as lições aprendidas nos modelos impostos pela pandemia de 2020.

ENTREGA RESILIENTE

Combinação de negócios inteligentes: Muitos processos de negócios eram muito frágeis para rapidamente
se adaptar e eles simplesmente quebraram durante a pandemia.
Durante o processo de reconstrução, os líderes devem projetar uma arquitetura que:
• Permite um melhor acesso às informações
• Pode aumentar essas informações com novos insights
• É combinável, modular e pode mudar e responder mais rapidamente conforme as decisões são tomadas

Engenharia de IA: Os projetos de IA (Inteligência Artificial) muitas vezes falham devido a problemas de manutenção, escalabilidade e governança. No entanto, uma robusta engenharia de IA e estratégia irá facilitar o desempenho, escalabilidade, interpretabilidade e confiabilidade dos modelos de IA ao mesmo tempo em que oferece o valor total de Investimentos em IA.

Hyperautomação: é um processo no qual as empresas automatizam os processos de negócios e TI o quanto for possível, usando ferramentas como IA, aprendizado de máquina, software orientado a eventos, processo robótico, automação e outros tipos de ferramentas de automação. A hiperautomação é irreversível e
inevitável. Tudo que pode e deve ser automatizado será automatizado.


MINHAS CONSIDERAÇÕES

Os itens que eu gostaria de destacar como apostas para esse ano de 2021 é a qestão da privicaidade onde leis de proteção de dados cada vêz mais operantes e em contrapartida a aposta na Internet do comportameto (IoB) onde cada vez mais nossos dados pessoais serão “vendidos” para anlise de empresas e governos.

Com relação a estratégia dos gestores de TI para esse ano, eu aposto fortemente na questão da hiperautomatização, onde deve-se sim acelar e apostar mais fichas na automatização das mais diversas tarfas que sejam possíveis. Por fim com a pandêmia acho que ficou claro que o modelo de trabalho remoto ou semipresencial veio para ficar para a maioria das empresas e nesse ano de 2021 as empresas precisam melhorar suas tecnolgias para oferecer a melhor forma e experiência e trabalho assim como reduzir seus custos operacionais nesse tipo de modelo.

Quem quiser let o relatório completo do Gartner, clique abaixo para download.

top-tech-trends-ebook-2021Baixar

Fonte: Gartner

Gartner: as 9 principais tendências de segurança e risco para 2020

Diego PiffarettiDeixe um comentário

A Gartner publicou recentemente um estudo sobre as 9 principais tendências para esse ano. Eles destacaram bastante a parte da pandemia, e comentarma sobre mudanças resultantes no mundo dos negócios que aceleraram a digitalização dos processos de negócios, a mobilidade dos terminais e a expansão da computação em nuvem na maioria das organizações.

Em contrapartida eles citam que como desafios as empresas que enfrentam a escassez de equipe de segurança técnica, a rápida migração para a computação em nuvem, os requisitos de conformidade regulatória e a evolução incessante das ameaças continuam sendo os principais desafios de segurança em andamento mais significativos.

Abaixo as 9 tendências citas pela Gartner:

Tendência Nº 1: Surgem amplos recursos de detecção e resposta para melhorar a precisão e a produtividade

Nesse ponto eles destacam o surgimento de soluções de detecção e resposta estendidas (XDR) que coletam e correlacionam automaticamente dados de vários produtos de segurança para melhorar a detecção de ameaças e fornecer um melhor recurso de resposta a incidentes.


Tendência 2: A automação do processo de segurança surge para eliminar tarefas repetitivas

Aqui ele faz um link com a falta de profissionais que citei no começo. A falta de profissionais de segurança qualificados e a disponibilidade de automação nas ferramentas de segurança impulsionaram o uso de mais automação de processos de segurança


Tendência Nº 3: A IA cria novas responsabilidades de segurança para proteger iniciativas de negócios digitais

A Inteligência Artificial, e especialmente o aprendizado de máquina (ML), continua a automatizar e aumentar a tomada de decisão humana em um amplo conjunto de casos de uso em segurança e negócios digitais. No entanto, essas tecnologias exigem conhecimentos de segurança

Tendência Nº 4: Os diretores de segurança (CSO) de nível empresarial emergem para reunir vários silos orientados à segurança

Aqui eles destacam a necessidade de se envolver mais áreas da empresa para montar esse ecosistema de segurança. O CSO pode agregar programas de segurança de TI, OT, segurança física, segurança da cadeia de suprimentos, segurança de gerenciamento de produtos e saúde, segurança e meio ambiente em um modelo centralizado de organização e governança.

Tendência no 5. A privacidade está se tornando uma disciplina própria

A privacidade está se tornando uma disciplina própria cada vez mais influente e definida, afetando quase todos os aspectos de uma organização. Como uma disciplina independente em rápido crescimento, a privacidade precisa ser mais integrada em toda a organização.

Tendência nº 6: Novas equipes de “confiança e segurança digital” se concentram em manter a integridade de todas as interações onde o consumidor encontra a marca

Os consumidores interagem com as marcas por meio de uma variedade crescente, das mídias sociais ao varejo. A segurança do consumidor nesse ponto de contato é um diferenciador de negócios. A segurança desses pontos de contato geralmente é gerenciada por grupos distintos e as empresas estão cada vez mais adotando equipes multifuncionais de para supervisionar todas as interações, garantindo um nível padrão de segurança em cada espaço em que os consumidores interagem com os negócios.

Tendência nº 7: A segurança da rede se transforma do modelos de dispositivos baseados em LAN para SASE

O Secure Access Service Edge (SASE) é uma estrutura de segurança que permite que usuários e dispositivos tenham acesso seguro à nuvem e seus aplicativos, dados e serviços, de qualquer lugar e a qualquer momento.

O SASE converte rede e segurança de rede em uma única solução em nuvem para atender às necessidades de transformação digital de negócios, computação de ponta e mobilidade da força de trabalho

Tendência nº 8: Uma abordagem de ciclo de vida completo para proteção dos requisitos dinâmicos de aplicativos nativos da nuvem

À medida que os aplicativos se tornam cada vez mais dinâmicos, as opções de segurança também precisam mudar. Nesse ponto a Gartner destaca a necessidade de combinar as tecnologias de Cloud Workload Protection Platforms (CWPP) e Cloud Security Posture Management (CSPM).

Com uma solução de CSPM, as organizações ampliam a visibilidade sobre os recursos que estão na nuvem e podem de forma ágil verificar se as configurações de seus ambientes estão de acordo com práticas e estruturas de mercado. Assim, podem atestar, por exemplo, que foram implementados todos os controles necessários para proteger determinado serviço ou identificar lacunas em relação às configurações recomendadas para cada recurso.

Tendência nº 9: A tecnologia de acesso à rede zero trust começa a substituir as VPNs

A pandemia do COVID destacou muitos dos problemas das VPNs tradicionais. O acesso emergente à rede de confiança zero (ZTNA) permite que as empresas controlem o acesso remoto a aplicativos específicos. Essa é uma opção mais segura, pois “oculta” aplicativos da Internet.

O Zero Trust é um modelo de segurança de rede, baseado em um rigoroso processo de verificação de identidade. A estrutura estabelece que somente usuários e dispositivos autenticados e autorizados podem acessar aplicações e dados. Ao mesmo tempo, ela protege essas aplicações e os usuários contra ameaças avançadas na Internet.

Fonte: Gartner

Fórum Mundial Econômico – The Global Risks Report 2019 – Minha Análise

Diego PiffarettiDeixe um comentário

O fórum mundial econômico que ocorre em Davos, na Suiça, este ano ocorrendo nas datas de 22—25 Janeiro 2019, apresentou seu 14° relatório anual de Riscos.

Líderes políticos, acadêmicos e responsáveis das maiores empresas mundiais se reúnem nesse fórum. Esses encontros servem para debater o futuro da economia global e para analisar os riscos que podem ameaçar o mundo. Dias antes do encontro anual, o Fórum Econômico Mundial publica o relatório sobre os maiores riscos globais.

Trata-se de uma pesquisa com mais de mil especialistas e tomadores de decisão. No relatório deste ano, no topo da lista dos riscos que causam o maior impacto e que têm a maior probabilidade de ocorrer estão: i) eventos climáticos extremos; ii) não conseguir mitigar e adaptar às mudanças do clima; iii) desastres naturais; iv) Cyber Ataques.

Para Alison Martin, do Grupo Zurich de seguros, “o ano passado foi marcado por incêndios históricos, inundações contínuas e aumento das emissões de gases de efeito estufa. Não é surpresa que, em 2019, os riscos ambientais dominem mais uma vez a lista das principais preocupações.

O que chama atenção é que se não me falha a memória a pelo menos de 5 anos pra cá o tema Cyber Ataque vem sempre aparecendo e cada vez mais ganhando maior destaque.

Abaixo o quadrante mágico de 2019 de Riscos mundias considerando seu Impacto X Probabilidade

quadrante_magico

 

Preocupações sobre fraude de dados e ataques cibernéticos foram destaque.

Cerca de dois terços dos entrevistados esperam que os riscos associados com notícias falsas e roubo de identidade irão aumentar em 2019, enquanto três quintos disse o mesmo sobre privacidade para empresas e governos.

Existe uma parte no site do Fórum Mundial Econômico que ele mostra mostra uns infográficos interessantes, tentei fazer um compilado aqui:

infografico01

Ciberataques maliciosos e negligentes levaram a violações maciças de informações pessoais em 2018. O maior estava na Índia, onde a base de dados do governo, Aadhaar, supostamente sofreu várias violações que potencialmente comprometeu os registros de todos os 1,1 bilhões de cidadãos registrados. Isto foi relatado em janeiro/18, e os criminosos estavam vendendo acesso ao banco de dados a uma taxa de 500 rúpias por 10
minutos, enquanto em Março um vazamento em um companhia estatal de serviços públicos permitia baixar nomes e números de identificação. Em outros casos,
violações de dados  afetou em torno 150 milhões de usuários do Aplicação MyFitnessPal, e cerca de 50 milhões de usuários do Facebook. Vulnerabilidades cibernéticas podem vir
de lugares  inesperados, como mostrado em 2018 pelo Meltdown e ameaças Specter, que
envolveu fraquezas no hardware do computador  em vez de software. Eles potencialmente afetaram cada processador Intel  produzido nos últimos 10 anos.

A  vulnerabilidade potencial de infra-estrutura tecnológica tem cada vez virado mais uma  preocupação nacional de segurança.

Um exemplo citado no relatório, diz que um ciberataque bem-sucedido em um
sistema elétrico do país, por exemplo poderia desencadear efeitos devastadores. Uma estimativa sugere que concessionárias de energia gastaram US $ 1,7 bilhão em 2017, na proteção de seus sistemas contra ataques cibernéticos.

O relatório ainda cita que quando algo sai errado em um sistema complexo, os problemas começam aparecendo em todos os lugares, e é difícil descobrir o que está acontecendo. Isso significa que problemas fora de controle e até mesmo pequeno
erros podem se transformar em verdadeiros colapsos, um desafio em tanto tanto pra as equipes de defesas das empresas.

Para quem quiser ter acesso completo ao Report, CLIQUE AQUI

Os 10 principais golpes no WhatsApp, Uber e outros aplicativos em 2018

Diego PiffarettiDeixe um comentário

Texto da minha colega Leticia Freitas.

O WhatsApp foi um dos alvos preferidos dos criminosos para tentar capturar informações dos usuários por meio de golpes virtuais em 2018. Eles usavam falsas promoções de marcas famosas, como Burger King, O Boticário e Cacau Show, para ludibriar as pessoas a clicarem em links maliciosos e, assim, ficarem vulneráveis a roubo de dados privados. O plano era obter informações para roubar as vítimas e até, em alguns casos, aplicar fraudes em nome delas. De acordo com especialistas de empresas de segurança digital, milhões de pessoas foram afetadas nos últimos meses.
Além do mensageiro, uma falsa promoção prometia um cupom de desconto de R$ 300 do Uber Plus e, segundo a DFNDR Lab, pelo menos 85 mil pessoas foram atingidas. Outros esquemas montados pelos hackers também usavam outras plataformas de rede social como o Facebook e Instagram. Essa era uma forma de diversificar os ataques e atingirem mais usuários, principalmente, por meio de celulares Android e iPhone (iOS). Confira, a seguir, a lista com os principais golpes que envolvem o WhatsApp e outros serviços da web em 2018.
1. Falso cupom da Burger King
 
A Burger King foi a primeira grande marca a ter seu nome atribuído a uma falsa promoção nas redes sociais neste ano. No início de janeiro, um link com uma pesquisa de satisfação sobre o atendimento prometia descontos em compras no fast food caso o usuário respondesse às perguntas e compartilhasse com os amigos, um uso comum do método de engenharia social. O prêmio seria um cupom de R$ 50 em lanches. Ao clicar no endereço eletrônico, o número do usuário era inscrito em serviços pagos de SMS e era induzido a realizar o download de apps falsos que infectavam o celular.
2. Falso desconto no Uber
Uma falsa promoção espalhada em sites e redes sociais prometia um cupom de desconto de R$ 300 do Uber Plus, programa de fidelidade da Uber que não foi lançado no Brasil. Para ganhar o prêmio, o usuário teria que preencher um formulário com dados pessoais e bancários, que seriam roubados pelos criminosos. Segundo a DFNDR Lab, pelo menos 85 mil pessoas tiveram acesso ao link e se expuseram à infecção de softwares maliciosos capazes de acessar dados pessoais.
3. Falso processo seletivo da Cacau Show
 
Com o alto índice de desemprego, criminosos espalharam pelo WhatsApp textos e imagens referentes a um suposto processo seletivo da empresa de chocolates Cacau Show, para vagas como vendedor, auxiliar de limpeza e Jovem Aprendiz. Ao clicar no endereço, a vítima teria que informar os dados pessoais para poder participar da falsa seleção. Em apenas 24 horas, mais de um milhão de pessoas já tinham acessado a plataforma maliciosa e estavam em perigo de serem roubados a partir da coleta de informações pelos hackers.
4. Promoção de O Boticário copiada por criminosos
Cibercriminosos imitaram uma promoção verdadeira criada pela empresa de cosméticos O Boticário, na qual os usuários deveriam indicar amigos para ganhar loções hidratantes da linha Nativa SPA. Assim, eles produziram um link falso contendo as mesmas informações da oferta original para divulgar pelo WhatsApp. Ao clicar na farsa, o usuário liberava o smartphone para receber notificações que poderiam conter links maliciosos, com o perigo de ter seus dados roubados.
5. Golpe na Páscoa
 
No mês de março, período que antecedia a Páscoa, uma propaganda mentirosa oferecia vales-presentes de R$ 800 no WhatsApp. Para isso, os bandidos usavam imagens de coelhinhos e ovos de chocolate, tradicionais para esse período do ano. Apesar de não estar associada a nenhuma marca famosa, o golpe direcionava usuários à página maldosa chamada “Páscoa Premiada”.
6. Número clonado no WhatsApp
 
Um novo tipo de golpe chegou ao WhatsApp em dezembro, desta vez “clonando números” sem precisar quebrar a segurança do mensageiro. Criminosos compravam chips novos e ligavam para as operadoras para reativar o número daquele cartão, com a desculpa de terem o celular roubado ou perdido. Com a linha reativada, os bandidos tinham acesso a grupos e contatos do antigo usuário, e, a partir daí, entravam em contato com amigos e familiares fingindo ser a vítima para pedir o depósito de valores. As justificativas mais usadas eram a compra de eletrodomésticos ou a quitação dívidas.
7. Golpe de cinema
Cerca de 50 mil brasileiros foram impactados no WhatsApp com uma oferta de ingressos para o filme “Vingadores: Guerra Infinita”, da Marvel. De acordo com a PSafe, ao clicar no link, o usuário teria que preencher um formulário com perguntas fake, que sempre “premiavam” a vítima, independente das respostas. Essa era a artimanha usada pelos bandidos para capturar dados dos usuários da plataforma de mensagens.
8. Falsa consulta ao PIS
 
No mês de junho, uma mensagem mal intencionada circulou pelo WhatsApp e se aproveitava do pagamento do PIS-Pasep para prometer ao trabalhador uma forma fácil de visualizar o saldo do benefício. Cerca de 116 mil pessoas foram lesadas por conta dessa estratégia criminosa. A página exibia um texto com a assinatura da Caixa Econômica Federal e indicativos sobre a liberação dos valores. Assim como em outros golpes, o usuário teria que responder a uma série de perguntas para ter acesso ao conteúdo.
9. Recarga falsa
Uma falsa promoção oferecia R$ 70 em créditos para celular em troca de compartilhamentos da mensagem no WhatsApp. O link malicioso instalava aplicativos no smartphone das vítimas e, apesar de não serem perigosos, gerava faturamento para os criminosos a cada download. A recarga, obviamente, nunca era concedida. Pelo menos 26 mil usuários foram afetados pela estratégia dos hackers.
10. Falso Ray-Ban no Instagram
Um anúncio falso se espalhou no Instagram com a promessa de oferecer óculos da marca Ray-Ban com até 90% de desconto. Os posts eram publicados sem autorização nas contas dos usuários, que eram pegos de surpresa. A ação possivelmente foi fruto de pishing — roubo de dados, senhas muito fáceis de serem quebradas ou mesmo do uso de apps maliciosos com autorização para acessar login e senha da rede social.
Para ler a notícia completa, clique aqui.

Whatsapp agora permite duplo fator de autenticação

Diego PiffarettiDeixe um comentário

O WhatsApp introduziu um novo recurso de segurança que corrige uma brecha na popular plataforma de mensagens, que, se explorada, pode permitir que um invasor entre na conta da vítima apenas sabendo o número de telefone da vítima e algumas habilidades de hacking.
O ataque não explora qualquer vulnerabilidade no WhatsApp; Em vez disso, depende da maneira como o mecanismo de configuração da conta funciona.
O WhatsApp permite que os usuários se inscrevam no aplicativo usando seu número de telefone; portanto, se um invasor quiser seqüestrar sua conta do WhatsApp, eles precisarão de um OTP (one time password) para enviar para seu número de telefone.

O atacante pode pegar este OTP desviando o SMS contendo a senha para seu próprio computador ou telefone, usando um aplicativo mal-intencionado ou vulnerabilidade SS7  e, em seguida, faça o login na conta WhatsApp da vítima. O ataque também funciona se o telefone estiver bloqueado.
Em agosto, hackers patrocinados pelo governo iraniano teriam sequestrado dezenas de contas do Telegram pertencentes a ativistas e jornalistas, explorando uma brecha semelhante.
Tal ataque também poderia ser utilizado contra qualquer aplicação de mensagens, incluindo Whatsapp e Viber, cujo registo baseia-se no mecanismo de verificação baseado em SMS.

Portanto, para corrigir esse problema, o WhatsApp agora introduziu o recurso de senha de verificação em duas etapas (2AF) para sua versão beta para Android, o que ajudará a bloquear o mecanismo de configuração do WhatsApp.
Em outras palavras, para reconfigurar a conta do WhatsApp com a confirmação em duas etapas habilitada, é preciso exigir não apenas o OTP, mas também uma senha de 6 dígitos definida pelo usuário.

whatsapp-enable-two-factor

COMO HABILITAR:

Para habilitar, você precisa primeiramente ser um Beta tester do Whatsapp, para ser um beta tester vou dar uma explicação resumida: basta abrir o Google Play, ir no Whasttapp, rolar a página até me baixo, e vai ter um botão ACEITAR. Depois de ser beta tester, basta seguir os passos:

  1. Vá até WhatsApp Settings → Account → Two-step verification.
  2. Click enable, insira uma senha de 6 digitos e confirme.
  3. Na p´roxima tela, entre seu email ID (opcional) para habilitar a recuperação de chave por email. (Recomenda-se usar o e-mail como backup para que você não seja bloqueado da sua conta se você esquecer sua senha.)
  4. Clique em “Done, “e prontinho!.

Phishing Interativo: novo ataque dissiminando no Brasil

Diego PiffarettiDeixe um comentário

O Brasil está lutando uma batalha difícil quando se trata de cibercrime. Há uma nova tentativa de fraude a cada 16,9 segundos no Brasil, De acordo com o Brasil Econômico, existem cerca de 4.700 tentativas por dia.

Pesquisadores da IBM X-Force descobriu e analisou um novo método de phishing que surgiram recentemente no Brasil. Este método particular é projetado para emular um Trojan bancário, extraindo dados críticos de suas vítimas em tempo real através de um ataque de phishing ao vivo, interativo!

Nesse esquema de phishing ocorre ao longo de uma sessão de web entre o atacante e a vítima. Ele é capaz de imitar a aparência de um site de banco, assim como phishing tradicional, mas ele consegue ver a interação do usuario com o falso sistema, mais do que apenas uma página de phishing ocioso. De longe e nos bastidores, os cibercriminosos pedem para todos os tipos de detalhes da conta.

Muito provavelmente, o criminoso irá acessar a conta comprometida a partir do site do banco para fazer uma transação em tempo real, durante todo o tempo que envia o pedido de mais detalhes de autenticação da vítima. O surgimento deste novo método de provavelmente contribuem para a alta em fraudes no Brasil ao longo dos próximos meses.

O Brasil já é o segundo maior gerador de cibercrime do mundo, de acordo com a Computerworld, e o país mais afectado pela fraude na América Latina, segundo O Globo. Por alguma perspectiva, um dos países mais visados do cibercrime no mundo, o Reino Unido, viu um aumento de 25 por cento em fraude on-line em 2015, conforme relatado pelo The Guardian. Brasil viu um aumento de 40 por cento em fraude bancária on-line, de acordo com El País, durante o mesmo ano.

Veja como funciona:

1. Spam Email

Uma vítima recebe um e-mail phishing contendo um link. Depois de clicar nele, a vítima cai na página do atacante, que parece verdadeiro site do banco, mas a URL na barra de endereços não é o correto. Para adicionar uma medida de credibilidade e para gerir as diferentes marcas específicas, os atacantes adicionar um sublinhado seguido de URL do banco na barra de endereços.

2. Inicio da Sessão

A sessão de web interativa começa assim que uma nova vítima chega à página falsa. Para alertar o atacante cada vez que há uma nova vitima, o painel de administração lança um som da gargalhada do mal!

Deste ponto em diante, a vítima e o atacante estão interligados como se fosse um chat.

1-an-interactive-phishing-conversation

Após receber as credenciais de login da vitima, o criminoso usa o painel de administração para empurrar telas de engenharia social para a vítima, solicitando outras informações que o banco pode exigir para completar uma transação.

3. Tela da aplicação

Usando o painel de administração (ver Figura abaixo), o atacante pode escolher o conteúdo pre criado ou mesmo escrever mensagens personalizadas na tela para tornar o processo parece mais personalizado e legítimo.

O próprio painel de administração é principalmente escritos em Português. Antes de a vítima dar mais alguma informação, o painel indica o status: esperando.

2-attackers-web-based-admin-panel

A figura abaixo mostra como o painel permite que o criminoso possam selecionar as mensagens a partir de um menu. Estes são programados para solicitar elementos diferentes da vítima. Alguns exemplos são os seguintes:

 

  • código de token;
    Assinatura digital;
  • Cartão de pagamento PIN;
  • Número de identificação;
  • Número de telefone;
  • Conteúdo das mensagens SMS.

3-admin-panel-offers-different-premade-options-to-the-attacker

Genial  e perigoso, não é? Para maiores detalhes, veja a matéria completa: SecurityIntelligence

Como funciona o golpe de Milhas Infinitas

Diego Piffaretti1 comentário

Passou no Fantástico dia 03/08/2014.

Bruno Will rodou o mundo com a família. Estiveram na França, Suíça, Estados Unidos. Durante três anos, viveram um sonho.

Mas a polícia suspeita que todas essas viagens foram realizadas graças a um golpe, que teria sido bolado por Bruno, um técnico em informática, de 27 anos.

É em uma rua pacata de Padre Miguel, Zona Oeste do RJ, que começa e termina, segundo a polícia, uma armação cheia de criatividade. Digna de cinema.

Bruno e a família teriam descoberto como multiplicar de forma infinita suas milhas aéreas. Cada vez que uma pessoa usa o cartão de crédito, acumula pontos que podem ser convertidos em passagens aéreas, diárias de hotel e outros benefícios.

Segundo a polícia, eles forjavam gastos para poder usar cartões de crédito e, assim, criar milhas. Faziam isso emitindo boletos bancários falsos em que muitas vezes o pagador e o credor eram a mesma pessoa. Ou seja, o dinheiro saía de uma conta e entrava na mesma conta ou então na conta de alguém da família.

Os boletos eram pagos com cartões de crédito. Geravam mais milhas, trocavam essas milhas por passagens aéreas e também ganhavam dinheiro vendendo milhas para agências de turismo. Viajavam, emitiam boletos, inventavam gastos irreais no cartão de crédito e criavam milhas. E assim eles movimentaram R$ 39 milhões em um ano. Um valor incompatível à renda de Bruno, por exemplo, que declara receber R$ 1,7 mil por mês.

“O que chamou a atenção das autoridades foi a movimentação financeira totalmente distante da capacidade econômica dessas pessoas”, diz o delegado Flávio Porto.

Alertada pelo conselho de controle de atividades financeiras do Ministério da Fazenda, a Polícia Civil do Rio de Janeiro começou a investigar. Colheu provas. Na última quinta-feira (31), foi realizada uma operação de busca e apreensão expedida pela Justiça na casa dos suspeitos. Encontraram dezenas de cartões de crédito, extratos, passagens aéreas, reservas, boletos bancários e relatórios financeiros.

Esta semana também, a Justiça determinou a quebra do sigilo bancário, o bloqueio das contas e das milhas dos 15 investigados.

“Quadrilha, estelionato, falsidade ideológica, uso de documentos falsos e lavagem de dinheiro. Somadas, as penas podem chegar a 23 anos”, explica o delegado.

O Fantástico tentou ouvir os suspeitos. Bruno não quis receber nossa equipe. Por telefone, o pai de Bruno, Jefferson Will, negou qualquer irregularidade nas viagens e transações bancárias que a família realizou: “A gente vai provar tudinho que isso aí não passa de uma denúncia inexistente, uma denúncia falsa. Jamais fizemos alguma coisa errada para ter vantagem de alguma coisa”.

Depois de terem acesso as informações do inquérito, várias pessoas da família que são religiosas foram a uma igreja no sábado. O Fantástico foi até lá para tentar gravar uma entrevista com eles. A família não quis falar com a equipe.

Os investigados serão chamados para depor e não serão presos enquanto o inquérito não for concluído. A Justiça acredita que eles não oferecem risco à sociedade. Mas espera entender por que uma família de classe média, aparentemente unida e feliz, teria cruzado o limite da lei para fazer uma viagem bem mais cara ao mundo do crime.

Malware do Boleto

Diego PiffarettiDeixe um comentário

Texto do Anchises!

O portal Linha Defensiva e o Fabio Assolini, da Kaspersky, já abordaram esse tipo de golpe desde o ano passado (incluindo através de uma extensão maliciosa do Chrome ou sites que prometem gerar uma segunda via de boletos vencidos).

O jornalista Brian Krebs, em seu blog, cita o caso de uma central de controle de boleto descoberta por uma fonte dele que, indica que foram realizadas 383 transações com boletos fraudulentos entre Fevereiro e Junho deste ano, totalizando cerca de 250 mil dólares de fraude nesse período (veja abaixo o sceenshot da central de controle do malware de boleto, com a lista de transações realizadas pelo malware).

A fraude de boleto é um crime típico do cenário brasileiro, que não existe em nenhum lugar do mundo. Isso porque os boletos de pagamento são algo específicos do nosso sistema financeiro. em poucas palavras, na fraude de boleto o ciber criminoso paga boletos “seus” (em sua posse) utilizando as contas correntes de suas vítimas.

O ciber criminoso mantém uma base de boletos a serem pagos de forma fraudulenta, que podem ser boletos criados a partir de contas correntes de laranjas, ou podem ser boletos válidos (boletos enviados para consumidores finais que, na impossibilidade de pagar o total da conta, ele/ela recorre a criminosos que cobram apenas uma porcentagem do valor do boleto, e em troca o fraudador paga o valor total utilizando a conta corrente de uma vítima). A fraude com boleto válido faz com que o ciber criminoso receba o dinheiro de forma rápida e fácil, além de dificultar o rastreio da fraude: o banco consegue identificar o dono do boleto pago fraudulentamente, mas não consegue identificar o ciber criminoso.

Os ciber criminosos tem várias formas específicas para forçar o usuário final a pagar um boleto fraudulento:

  • Sites falsos de reemissão de boletos: são sites criados por ciber criminosos que prometem a revalidação de um boleto vencido. Ao fornecer os dados de seu boleto, a vítima recebe um novo código de boleto, mas que na verdade direciona o pagamento utilizando o código do boleto do fraudador;
  • Envio de boletos falsos por correio: Os criminosos podem interceptar a correspondência da vítima e substituir o boleto. Assim, a vítima recebe sua conta impressa em sua casa, mas na verdade esta conta já está com os dados de pagamento adulterados;
  • Malware de Boleto: Ele infecta o computador da vítima pode alterar os dados do boleto de três formas:
    • No pagamento de um boleto no Internet Banking: o trojan troca as informações do boleto (a linha digitável) no momento em que a vítima digita os dados no formulário de pagamento. O Browser do usuário já envia para o banco os dados do boleto fraudulento;
    • Na emissão online de boletos (ao pedir uma segunda via ou escolher fazer um pagamento com boleto): o trojan identifica uma página com dados de boleto e troca as informações pelos dados do boleto fraudulento. Eles alteram o valor da linha digitável e inserem espaços no código de barras para inutilizá-lo (assim a vítima é obrigada a digitar os dados do boleto, que já estão trocados);
    • Infectando as empresas que emitem boletos: ao infectar o compitador de uma empresa, o trojan pode fazer com que ela gere, erroneamente, boletos com os dados de pagamento já redirecionados para a conta do fraudador. O cliente já recebe em sua casa o boleto adulterado 😦

O Malware de Boleto comunica-se com o servidor central do ciber criminoso para buscar as informações do boleto que o fraudador quer pagar. Normalmente o malware mantém o valor original da conta, para que a vítima não perceba que pagou um boleto fraudulento e troca apenas o trecho da linha digitável que identifica o cedente, isto é, o destino do pagamento (afinal das contas, quem tem paciência para ficar conferindo a linha digitável dos boletos?). Mas, mesmo que a vítima quisesse comparar a linha digitável, o Malware altera a página de resposta do Internet Banking para que o usuário não perceba a alteração dos dados de pagamento.

O infográfico abaixo, criado pelo pessoal da Folha, mostra como acontece a fraude:

A fraude de boletos representa um dos métodos de roubo de fundos mais populares entre os ciber criminosos brasileiros atualmente, apesar da Febraban informar que os boletos representaram apenas 4,5% do volume de pagamentos e 3% do total de fraudes, em 2013.

Os ciber criminosos adotam mecanismos de fraude populares em um determinado país ou região em que atuam, de acordo com as características dos sistemas de meios de pagamento locais. Há vários métodos para transferir dinheiro a partir da conta corrente de uma vítima, além de uma simples transferência bancária (que pode ser facilmente rastreada). Em alguns países, é comum utilizar compra e venda de ações para transferir os fundos. Aqui no Brasil, os ciber criminosos se especializaram em explorar pagamentos de contas e de impostos, através dos boletos bancários, além de realizar compras online (em lojas de e-commerce) ou compra de créditos pré-pagos para celulares.

O que fazer para evitar a fraude de boleto? É muito difícil, mas em alguns casos não é impossível… as dicas abaixo podem ajudar um pouco:

  • Antes de mais nada, evite ser infectado por malwares!
  • E sempre utilize um computador confiável para acessar o Internet Banking;
  • Uma opção aparentemente segura é utilizar o seu smartphone para pagar boletos, uma vez que o malware só afeta PCs. Para isto, pode-se usar os aplicativos de mobile banking dos bancos;
  • Como a fraude envolve a troca dos dados do boleto, sempre verifique se você está pagando o boleto correto. Não tenha preguiça e compare o código apresentado;
  • Para saber se o seu computador está infectado pelo malware de boleto, um teste simples é digitar a linha de um boleto na tela de busca do Google; algumas versões do malware, que atuam no browser, já trocam a linha mesmo nesta tela, e aí você verá que o autocompletar vai mostrar um valor diferente do que você digitou!
  • Como os criminosos alteram os dados do boleto para enganar a vítima, para conferir um boleto que você recebeu via correio ou que gerou online, a melhor forma é conferir o código inicial do boleto que está sendo pago:
    • os 4 primeiros dígitos identificam o banco; fique de olho se corresponde ao banco que normalmente emite aquela conta que você está acostumado a pagar;
    • a primeira metade do código do boleto identifica o banco e o cedente, ou seja, é um código que identifica a empresa que emitiu aquela conta (que é um cliente daquele banco). Normalmente essa parte do código tem que ser idêntica as contas semelhantes que você pagou no passado. Confira isso ! (ex: se você paga seu aluguel via boleto, o código inicial identifica o banco e sua imobiliária, que todo mês é o mesmo).

Truecrypt, é o fim? Veja Alternativas

Diego PiffarettiDeixe um comentário

Parece que o bom Truecrypt está com os dias contados.

O TrueCrypt é um programa gratuito e muito conhecido que permite criptografar arquivos, pastas e partições. Ele está disponível para os internautas desde 2004, mas infelizmente o seu desenvolvimento chegou ao fim.

Fim do TrueCrypt por ser inseguro

 

Os responsáveis pelo TrueCrypt informam que o desenvolvimento do TruCrypt foi finalizado em maio de 2014 depois que a Microsoft finalizou o suporte ao Windows XP, e a aplicação pode ser considerada insegura e ter falhas de segurança que não foram corrigidas.

O site sugere o uso do BitLocker do Windows.

Com o fim do Windows XP, os usuários que migrarem para qualquer sistema operacional da Microsoft posterior a ele (Windows Vista, Windows 7 ou Windows 8.x) tem a opção do uso do BitLocker, que já vem embutido no Windows, tornando o TrueCrypt desnecessário.

A página oficial do TrueCrypt também mostra um passo-a-passo de como utilizar o BitLocker e discos virtuais .VHD

Para completar o mistério, os desenvolvedores do TrueCrypt são desconhecidos e não publicaram nenhuma informação adicional. O programa passou recentemente por uma auditoria de código para garantir que a aplicação é segura, não continha falhas nem backdoor (falha de segurança proposital que permite acesso externo), e a empresa que fez a auditoria publicou que nada foi encontrado ali.

Será que o fim do TrueCrypt é verdadeiro?

Parece que sim, e caso realmente seja, vamos as alternativas:

 

Windows encryption tools

bitlockericonhero

A alternativa mais óbvia para os usuários do Windows é o BitLocker. O programa de criptografia está incluído no Windows 8 e 8.1 Pro , o que significa que qualquer um que mudou para o Windows 8 durante os $ 40 de upgrade tem o BitLocker em seu PC. BitLocker também está disponível no Windows Vista e 7 PCs rodando as edições Ultimate ou Enterprise .

Se você não tem o Bitlocker , outra opção é o Symantec Drive Encryption. Embora este programa tamém seja de código fechado como o BitLocker, ele implementa PGP, um método de criptografia conhecido .

Se você precisar de mais garantias , especialista em segurança Bruce Schneier disse recentemente ao The Register que a ferramenta da Symantec é o que ele vai usar pós- TrueCrypt . Isso é bom o suficiente para mim . SDE custa $110 para uma licença de usuário único.

 

Mac encryption options

 

SX também tem sua própria ferramenta de criptografia embutida chamado FileVault 2 para usuários do Mac OS X 10.7 (Lion) ou posterior. A solução da Apple é outro programa de código fechado, mas nós sabemos que ele usa os Macs XTS-AES 128 bits de criptografia e da Agência de Segurança Nacional recomenda usá-lo para seus próprios funcionários. Então, a menos que você realmente gosta de teorias da conspiração, FileVault é provavelmente uma boa escolha.

 

Linux encryption options

Para usuários Linux, a melhor opção é usar uma distribuição com um Linux Unified Key Setup (LUKS) implementado. O Ubuntu usa LUKS, e as várias distribuições baseadas no Ubuntu  têm plenas opções de criptografia de disco disponíveis durante a instalação. Veja como começar a trabalhar com criptografia de disco completo do Ubuntu, cortesia de documentação de ajuda da comunidade Ubuntu.

É um dia triste se TrueCrypt tem realmente desapareceu, mas, pelo menos, há uma série de alternativas abertas para os usuários que precisam ou querem continuar a criptografia de suas coisas.