Top 20 ferramentas mais populares de hacking em 2018

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Fonte: Kitploit
Anúncios

Os 10 principais golpes no WhatsApp, Uber e outros aplicativos em 2018

Texto da minha colega Leticia Freitas.

O WhatsApp foi um dos alvos preferidos dos criminosos para tentar capturar informações dos usuários por meio de golpes virtuais em 2018. Eles usavam falsas promoções de marcas famosas, como Burger King, O Boticário e Cacau Show, para ludibriar as pessoas a clicarem em links maliciosos e, assim, ficarem vulneráveis a roubo de dados privados. O plano era obter informações para roubar as vítimas e até, em alguns casos, aplicar fraudes em nome delas. De acordo com especialistas de empresas de segurança digital, milhões de pessoas foram afetadas nos últimos meses.
Além do mensageiro, uma falsa promoção prometia um cupom de desconto de R$ 300 do Uber Plus e, segundo a DFNDR Lab, pelo menos 85 mil pessoas foram atingidas. Outros esquemas montados pelos hackers também usavam outras plataformas de rede social como o Facebook e Instagram. Essa era uma forma de diversificar os ataques e atingirem mais usuários, principalmente, por meio de celulares Android e iPhone (iOS). Confira, a seguir, a lista com os principais golpes que envolvem o WhatsApp e outros serviços da web em 2018.
1. Falso cupom da Burger King
 
A Burger King foi a primeira grande marca a ter seu nome atribuído a uma falsa promoção nas redes sociais neste ano. No início de janeiro, um link com uma pesquisa de satisfação sobre o atendimento prometia descontos em compras no fast food caso o usuário respondesse às perguntas e compartilhasse com os amigos, um uso comum do método de engenharia social. O prêmio seria um cupom de R$ 50 em lanches. Ao clicar no endereço eletrônico, o número do usuário era inscrito em serviços pagos de SMS e era induzido a realizar o download de apps falsos que infectavam o celular.
2. Falso desconto no Uber
Uma falsa promoção espalhada em sites e redes sociais prometia um cupom de desconto de R$ 300 do Uber Plus, programa de fidelidade da Uber que não foi lançado no Brasil. Para ganhar o prêmio, o usuário teria que preencher um formulário com dados pessoais e bancários, que seriam roubados pelos criminosos. Segundo a DFNDR Lab, pelo menos 85 mil pessoas tiveram acesso ao link e se expuseram à infecção de softwares maliciosos capazes de acessar dados pessoais.
3. Falso processo seletivo da Cacau Show
 
Com o alto índice de desemprego, criminosos espalharam pelo WhatsApp textos e imagens referentes a um suposto processo seletivo da empresa de chocolates Cacau Show, para vagas como vendedor, auxiliar de limpeza e Jovem Aprendiz. Ao clicar no endereço, a vítima teria que informar os dados pessoais para poder participar da falsa seleção. Em apenas 24 horas, mais de um milhão de pessoas já tinham acessado a plataforma maliciosa e estavam em perigo de serem roubados a partir da coleta de informações pelos hackers.
4. Promoção de O Boticário copiada por criminosos
Cibercriminosos imitaram uma promoção verdadeira criada pela empresa de cosméticos O Boticário, na qual os usuários deveriam indicar amigos para ganhar loções hidratantes da linha Nativa SPA. Assim, eles produziram um link falso contendo as mesmas informações da oferta original para divulgar pelo WhatsApp. Ao clicar na farsa, o usuário liberava o smartphone para receber notificações que poderiam conter links maliciosos, com o perigo de ter seus dados roubados.
5. Golpe na Páscoa
 
No mês de março, período que antecedia a Páscoa, uma propaganda mentirosa oferecia vales-presentes de R$ 800 no WhatsApp. Para isso, os bandidos usavam imagens de coelhinhos e ovos de chocolate, tradicionais para esse período do ano. Apesar de não estar associada a nenhuma marca famosa, o golpe direcionava usuários à página maldosa chamada “Páscoa Premiada”.
6. Número clonado no WhatsApp
 
Um novo tipo de golpe chegou ao WhatsApp em dezembro, desta vez “clonando números” sem precisar quebrar a segurança do mensageiro. Criminosos compravam chips novos e ligavam para as operadoras para reativar o número daquele cartão, com a desculpa de terem o celular roubado ou perdido. Com a linha reativada, os bandidos tinham acesso a grupos e contatos do antigo usuário, e, a partir daí, entravam em contato com amigos e familiares fingindo ser a vítima para pedir o depósito de valores. As justificativas mais usadas eram a compra de eletrodomésticos ou a quitação dívidas.
7. Golpe de cinema
Cerca de 50 mil brasileiros foram impactados no WhatsApp com uma oferta de ingressos para o filme “Vingadores: Guerra Infinita”, da Marvel. De acordo com a PSafe, ao clicar no link, o usuário teria que preencher um formulário com perguntas fake, que sempre “premiavam” a vítima, independente das respostas. Essa era a artimanha usada pelos bandidos para capturar dados dos usuários da plataforma de mensagens.
8. Falsa consulta ao PIS
 
No mês de junho, uma mensagem mal intencionada circulou pelo WhatsApp e se aproveitava do pagamento do PIS-Pasep para prometer ao trabalhador uma forma fácil de visualizar o saldo do benefício. Cerca de 116 mil pessoas foram lesadas por conta dessa estratégia criminosa. A página exibia um texto com a assinatura da Caixa Econômica Federal e indicativos sobre a liberação dos valores. Assim como em outros golpes, o usuário teria que responder a uma série de perguntas para ter acesso ao conteúdo.
9. Recarga falsa
Uma falsa promoção oferecia R$ 70 em créditos para celular em troca de compartilhamentos da mensagem no WhatsApp. O link malicioso instalava aplicativos no smartphone das vítimas e, apesar de não serem perigosos, gerava faturamento para os criminosos a cada download. A recarga, obviamente, nunca era concedida. Pelo menos 26 mil usuários foram afetados pela estratégia dos hackers.
10. Falso Ray-Ban no Instagram
Um anúncio falso se espalhou no Instagram com a promessa de oferecer óculos da marca Ray-Ban com até 90% de desconto. Os posts eram publicados sem autorização nas contas dos usuários, que eram pegos de surpresa. A ação possivelmente foi fruto de pishing — roubo de dados, senhas muito fáceis de serem quebradas ou mesmo do uso de apps maliciosos com autorização para acessar login e senha da rede social.
Para ler a notícia completa, clique aqui.

Dicas da SANS para Pentesters

SANS Poster: Building a Better Pen Tester

O Catálogo de Teste de Penetração da SANS chegou (em formato PDF)! Esta publicação do blog é para a versão PDF para download do novo cartaz “Blueprint: Building a Better Pen Tester”. A frente do cartaz está cheia de informações úteis diretamente dos cérebros dos Instrutores de Teste de Invasão da SANS. Estas são as dicas de teste de invasão que compartilhamos com os alunos do SANS SEC560: Teste de Penetração de Rede e Hacking Ético e nossos outros testes de invasão, hacking ético, desenvolvimento de vulnerabilidades e cursos de avaliação de vulnerabilidade. A parte de trás do cartaz tem uma lista de verificação para escopo e regras de engajamento, comandos de linha de comando para Metasploit, Scapy, Nmap e PowerShell, e informações sobre o Slingshot e o SANS Pen Test. Nossa esperança é que o conhecimento contido neste poster o ajude a se tornar um melhor pentester. E se você não é atualmente um pentester, a informação o ajudará a tornar-se um profissional de segurança de informações mais informado.

PENT-PSTR-SANS18-BP-V1-01

PENT-PSTR-SANS18-BP-V1-02

DOWNLOAD

Parsing do Nessus, Burp e Nmap e script para juntar vários scans do Nessus

Pessoal segue no fim do post 2 scripts para parsing e merging do Nessus, o qual gera um Excel bem amigável do Nessus.
Para juntar vários scans em um só, colocar arquivos no formato .nesssus em uma pasta e colocar na mesma pasta o arquivo “merge.py”.
Exemplo:
Arquivo01.nessus
Arquivo02.nessus
Arquivo03.nessus
Supondo que todos estejam na Pasta “Desktop”, copiar o arquivo merge.py para a pasta “Desktop” e no terminal executar:
python merge.py
Será gerado na mesma pasta um outro arquivo .nessus. É possível importar o arquivo com o consolidado no Nessus caso queira.
Para fazer um parsing do Nesssus para Excel, utilizar o arquivo parse_nessus_xml.v22.
Não precisa estar no mesmo local do .nessus.
Basta no terminal:
perl parse_nessus_xml.v22.pl -d /LOCAL_DO_ARQUIVO_.NESSSUS_QUE_VOCE_QUER_FAZER_PARSING
Será gerado um excel na pasta do arquivo .nessus em formato excel
Cuidado, se tiver mais de um .nessus na pasta, ele vai tentar fazer parsing de tudo, pode dar problema. não recomendo.
Também estou incluindo outra ferramenta, chamada MagicTree, a qual também consegue gerar relatórios inclusive em formato DOC do Nessus, Burp e NMAP.
Os relatórios podem ser customizados facilmente editando os templates.
Para mais informações do MagicTree clique aqui

Lista de comandos interessantes para o Google Now

Comandos essenciais

  • Vá para [endereço do site]
    Ex.: Vá para tecmundo.com.br.
  • Pesquise [palavras-chave]
    Ex.: Pesquise Android Google Now.
  • Abra o [nome do aplicativo]
    Ex.: Abra o Gmail.

Produtividade

  • Me lembre de [descrição da tarefa na agenda]
    Ex.: Me lembre de comprar um cabo USB amanhã, às 10 horas da manhã.
  • Crie um alarme para [horário]
    Ex.: Crie um alarme para a sexta-feira, às 3 horas da tarde.
  • Crie um evento no meu calendário: [detalhes do evento]
    Ex.: Crie um evento no meu calendário: aniversário da Ana, amanhã, às 5 horas da tarde.
  • Crie uma nota: [detalhes da nota]
    Ex.: Crie uma nota: lembrar de estudar para a prova de inglês

Comunicação

  • Ligue para [nome do contato]
    Ex.: Ligue para o Ramon.
  • Envie uma mensagem para [nome do contato]: [mensagem]
    Ex.: Envie uma mensagem para o Ramon: vou chegar atrasado na reunião.
  • Enviar email para [nome do contato ou endereço de email: [mensagem]
    Ex.: Enviar email para Ramon: que horas será a reunião?

Navegação

  • Navegar até [endereço]
    Ex.: Navegar até a Av. Paulista, nº 1373.
  • Rotas para [endereço ou nome do local]
    Ex.: Rotas para a Praça da Sé.
  • Onde fica o [nome do local]
    Ex.: Onde fica o Parque Ibirapuera?
  • Onde fica o [restaurante, shopping, cinema etc.] mais próximo?
    Ex.: Onde fica a sorveteria mais próxima?

Informações gerais

  • Eu preciso de um guarda-chuva amanhã?
  • Como estará a temperatura [dia e horário] em [local]?
    Ex.: Como estará a temperatura amanhã de madrugada em São Paulo?
  • Onde [pessoa] nasceu/morreu?
    Ex.: Onde o Michael Jackson nasceu?
  • Quando [pessoa] nasceu/morreu?
    Ex.: Quando o Elvis Presley morreu?
  • Qual é a idade do [pessoa]?
    Ex.: Qual é a idade da Xuxa?
  • Qual é a altura do [pessoa]?
    Ex.: Qual é a altura do George Obama?
  • Qual é a altura do [nome de um prédio]?
    Ex.: Qual é a altura da Torre Eiffel?
  • Quem é [nome da pessoa]?
    Ex.: Quem é Dilma Roussef?
  • Quem inventou o [invenção]?
    Ex.: Quem inventou o telefone?
  • Quem escreveu [obra]?
    Ex.: Quem escreveu “Crepúsculo”?
  • Qual foi o resultado do jogo entre [nome do time 1] e [nome do time 2]?
    Ex.: Qual foi o resultado do último jogo entre o Corinthians e o Botafogo?
  • Quais são os pontos turísticos de [nome da cidade]?
    Ex.: Quais são os pontos turísticos de São Paulo?
  • Converter [quantia da primeira moeda] em [nome da segunda moeda]
    Ex.: Converter 10 euros em reais
  • Converter [primeira medida] em [segunda medida]
    Ex.: Converter 10 metros em pés
  • Somar/subtrair/dividir/multiplicar [primeiro número] por [segundo número]
    Ex.: Multiplicar 8 por 5.
  • Qual é a população de [cidade/país]?
    Ex.: Qual é a população de Nova York?
  • Quem é o presidente do [país]?
    Ex.: Quem é o presidente do Cazaquistão?
  • Quando é o [nome do feriado]?
    Ex.: Quando é o Dia dos Pais?
  • Qual foi o último episódio de [nome do seriado/novela]?
    Ex.: Qual foi o último episódio de Avenida Brasil?
  • Filme: [nome do filme]
    Ex.: Filme: “Malévola” (para saber informações básicas sobre o longa-metragem)
  • Qual é o elenco de [filme]?
    Ex.: Qual é o elenco de “Malévola”? (para ter a lista de atores)

Idiomas

Como se escreve [óculos] em [alemão]
Dizer [que horas são] em [alemão]
O que significa [aracnofobia]
Marido de [Calista Flockhart]

Cálculos

Somar [50] + [20]
Dividir [50] por [5]
[10] por cento de [500]
Raiz quadrada de [126]

Transportes

Estado do voo [IB376]
Voo número [IB376]
Voos para [Miami]

Entretenimento

YouTube [como fazer lasanha]
Procurar no YouTube [Giovana derrubou o forninho]

Fonte: Techmundo e AndroidPit