Uma coleção de recursos e ferramentas para pentest

Este projeto é suportado pelo Netsparker Web Application Security Scanner


Online Resources

Penetration Testing Resources

  • Metasploit Unleashed – Free Offensive Security Metasploit course
  • PTES – Penetration Testing Execution Standard
  • OWASP – Open Web Application Security Project
  • PENTEST-WIKI – A free online security knowledge library for pentesters / researchers.
  • Vulnerability Assessment Framework – Penetration Testing Framework.
  • The Pentesters Framework – PTF attempts to install all of your penetration testing tools (latest and greatest), compile them, build them, and make it so that you can install/update your distribution on any machine. Everything is organized in a fashion that is cohesive to the Penetration Testing Execution Standard (PTES) and eliminates a lot of things that are hardly used.
  • XSS-Payloads – Ultimate resource for all things cross-site including payloads, tools, games and documentation.

Exploit development

Social Engineering Resources

Lock Picking Resources

Operating Systems


Penetration Testing Distributions

  • Kali – A Linux distribution designed for digital forensics and penetration testing
  • ArchStrike – An Arch Linux repository for security professionals and enthusiasts
  • BlackArch – Arch Linux-based distribution for penetration testers and security researchers
  • NST – Network Security Toolkit distribution
  • Pentoo – Security-focused livecd based on Gentoo
  • BackBox – Ubuntu-based distribution for penetration tests and security assessments
  • Parrot – A distribution similar to Kali, with multiple architecture
  • Fedora Security Lab – Provides a safe test environment to work on security auditing, forensics, system rescue and teaching security testing methodologies.

Basic Penetration Testing Tools

  • Metasploit Framework – World’s most used penetration testing software
  • Burp Suite – An integrated platform for performing security testing of web applications
  • ExploitPack – Graphical tool for penetration testing with a bunch of exploits
  • BeeF – The Browser Exploitation Framework Project
  • faraday – Collaborative Penetration Test and Vulnerability Management Platform
  • evilgrade – The update explotation framework
  • commix – Automated All-in-One OS Command Injection and Exploitation Tool
  • routersploit – Automated penetration testing software for router
  • redsnarf – Post-exploitation tool for grabbing credentials
  • Bella – Bella is a pure Python post-exploitation data mining & remote administration tool for Mac OS.

Docker for Penetration Testing

Vulnerability Scanners

  • Nexpose – Vulnerability Management & Risk Management Software
  • Nessus – Vulnerability, configuration, and compliance assessment
  • Nikto – Web application vulnerability scanner
  • OpenVAS – Open Source vulnerability scanner and manager
  • OWASP Zed Attack Proxy – Penetration testing tool for web applications
  • Secapps – Integrated web application security testing environment
  • w3af – Web application attack and audit framework
  • Wapiti – Web application vulnerability scanner
  • WebReaver – Web application vulnerability scanner for Mac OS X
  • DVCS Ripper – Rip web accessible (distributed) version control systems: SVN/GIT/HG/BZR
  • arachni – Web Application Security Scanner Framework
  • Vuls – Vulnerability scanner for Linux/FreeBSD, agentless, written in Go

Network Tools

  • nmap – Free Security Scanner For Network Exploration & Security Audits
  • pig – A Linux packet crafting tool
  • tcpdump/libpcap – A common packet analyzer that runs under the command line
  • Wireshark – A network protocol analyzer for Unix and Windows
  • Network Tools – Different network tools: ping, lookup, whois, etc
  • netsniff-ng – A Swiss army knife for for network sniffing
  • Intercepter-NG – a multifunctional network toolkit
  • SPARTA – Network Infrastructure Penetration Testing Tool
  • dnschef – A highly configurable DNS proxy for pentesters
  • DNSDumpster – Online DNS recon and search service
  • dnsenum – Perl script that enumerates DNS information from a domain, attempts zone transfers, performs a brute force dictionary style attack, and then performs reverse look-ups on the results
  • dnsmap – Passive DNS network mapper
  • dnsrecon – DNS Enumeration Script
  • dnstracer – Determines where a given DNS server gets its information from, and follows the chain of DNS servers
  • passivedns-client – Provides a library and a query tool for querying several passive DNS providers
  • passivedns – A network sniffer that logs all DNS server replies for use in a passive DNS setup
  • Mass Scan – TCP port scanner, spews SYN packets asynchronously, scanning entire Internet in under 5 minutes.
  • Zarp – Zarp is a network attack tool centered around the exploitation of local networks
  • mitmproxy – An interactive SSL-capable intercepting HTTP proxy for penetration testers and software developers
  • mallory – HTTP/HTTPS proxy over SSH
  • Netzob – Reverse engineering, traffic generation and fuzzing of communication protocols
  • DET – DET is a proof of concept to perform Data Exfiltration using either single or multiple channel(s) at the same time
  • pwnat – punches holes in firewalls and NATs
  • dsniff – a collection of tools for network auditing and pentesting
  • tgcd – a simple Unix network utility to extend the accessibility of TCP/IP based network services beyond firewalls
  • smbmap – a handy SMB enumeration tool
  • scapy – a python-based interactive packet manipulation program & library
  • Dshell – Network forensic analysis framework
  • Debookee (MAC OS X) – Intercept traffic from any device on your network
  • Dripcap – Caffeinated packet analyzer
  • PRET – Printer Exploitation Toolkit offers commands useful for printer attacks and fuzzing

Wireless Network Tools

  • Aircrack-ng – a set of tools for auditing wireless network
  • Kismet – Wireless network detector, sniffer, and IDS
  • Reaver – Brute force attack against Wifi Protected Setup
  • Wifite – Automated wireless attack tool
  • wifiphisher – Automated phishing attacks against Wi-Fi networks

SSL Analysis Tools

  • SSLyze – SSL configuration scanner
  • sslstrip – a demonstration of the HTTPS stripping attacks
  • sslstrip2 – SSLStrip version to defeat HSTS
  • tls_prober – fingerprint a server’s SSL/TLS implementation

Web exploitation

  • WPScan – Black box WordPress vulnerability scanner
  • SQLmap – Automatic SQL injection and database takeover tool
  • tplmap – Automatic server-side template injection and Web server takeover tool
  • weevely3 – Weaponized web shell
  • Wappalyzer – Wappalyzer uncovers the technologies used on websites
  • cms-explorer – CMS Explorer is designed to reveal the the specific modules, plugins, components and themes that various CMS driven web sites are running.
  • joomscan – Joomla CMS scanner
  • WhatWeb – Website Fingerprinter
  • BlindElephant – Web Application Fingerprinter
  • fimap – Find, prepare, audit, exploit and even google automatically for LFI/RFI bugs
  • Kadabra – Automatic LFI exploiter and scanner
  • Kadimus – LFI scan and exploit tool
  • liffy – LFI exploitation tool
  • GitTools – Automatically find and download Web-accessible .git repositories
  • Commix – Automated All-in-One OS command injection and exploitation tool

Hex Editors

  • HexEdit.js – Browser-based hex editing
  • Hexinator (commercial) – World’s finest Hex Editor

File Format Analysis Tools

  • Kaitai Struct – File formats and network protocols dissection language and web IDE, generating parsers in C++, C#, Java, JavaScript, Perl, PHP, Python, Ruby
  • Veles – Binary data visualization and analysis tool
  • Hachoir – Python library to view and edit a binary stream as tree of fields and tools for metadata extraction


Windows Utils

  • Sysinternals Suite – The Sysinternals Troubleshooting Utilities
  • Windows Credentials Editor – security tool to list logon sessions and add, change, list and delete associated credentials
  • mimikatz – Credentials extraction tool for Windows OS
  • PowerSploit – A PowerShell Post-Exploitation Framework
  • Windows Exploit Suggester – Detects potential missing patches on the target
  • Responder – A LLMNR, NBT-NS and MDNS poisoner
  • Bloodhound – A graphical Active Directory trust relationship explorer
  • Empire – Empire is a pure PowerShell post-exploitation agent
  • Fibratus – Tool for exploration and tracing of the Windows kernel

Linux Utils

DDoS Tools

  • LOIC – An open source network stress tool for Windows
  • JS LOIC – JavaScript in-browser version of LOIC
  • T50 – The more fast network stress tool

Social Engineering Tools

  • SET – The Social-Engineer Toolkit from TrustedSec

OSInt Tools

  • Maltego – Proprietary software for open source intelligence and forensics, from Paterva.
  • theHarvester – E-mail, subdomain and people names harvester
  • creepy – A geolocation OSINT tool
  • metagoofil – Metadata harvester
  • Google Hacking Database – a database of Google dorks; can be used for recon
  • Censys – Collects data on hosts and websites through daily ZMap and ZGrab scans
  • Shodan – Shodan is the world’s first search engine for Internet-connected devices
  • recon-ng – A full-featured Web Reconnaissance framework written in Python
  • github-dorks – CLI tool to scan github repos/organizations for potential sensitive information leak
  • vcsmap – A plugin-based tool to scan public version control systems for sensitive information
  • Spiderfoot – multi-source OSINT automation tool with a Web UI and report visualizations
  • BinGoo – A Linux bash based Bing and Google Dorking Tool
  • dork-cli – Command-line Google dork tool.
  • fast-recon – Does some google dorks against a domain
  • Google-dorks – Common google dorks and others you prolly don’t know
  • snitch – information gathering via dorks
  • GooDork – Command line go0gle dorking tool
  • OSINT Framework – Collection of various OSInt tools broken out by category.
  • Intel Techniques – A collection of OSINT tools. Menu on the left can be used to navigate through the categories.
  • DataSploit – OSINT visualizer utilizing Shodan, Censys, Clearbit, EmailHunter, FullContact, and Zoomeye behind the scenes.

Anonymity Tools

  • Tor – The free software for enabling onion routing online anonymity
  • I2P – The Invisible Internet Project
  • Nipe – Script to redirect all traffic from the machine to the Tor network.

Reverse Engineering Tools

  • IDA Pro – A Windows, Linux or Mac OS X hosted multi-processor disassembler and debugger
  • IDA Free – The freeware version of IDA v5.0
  • WDK/WinDbg – Windows Driver Kit and WinDbg
  • OllyDbg – An x86 debugger that emphasizes binary code analysis
  • Radare2 – Opensource, crossplatform reverse engineering framework
  • x64_dbg – An open-source x64/x32 debugger for windows
  • Immunity Debugger – A powerful new way to write exploits and analyze malware
  • Evan’s Debugger – OllyDbg-like debugger for Linux
  • Medusa disassembler – An open source interactive disassembler
  • plasma – Interactive disassembler for x86/ARM/MIPS. Generates indented pseudo-code with colored syntax code
  • peda – Python Exploit Development Assistance for GDB
  • dnSpy – dnSpy is a tool to reverse engineer .NET assemblies

CTF Tools

  • Pwntools – CTF framework for use in CTFs


Penetration Testing Books

Hackers Handbook Series

Defensive Development

Network Analysis Books

Reverse Engineering Books

Malware Analysis Books

Windows Books

Social Engineering Books

Lock Picking Books

Defcon Suggested Reading

Vulnerability Databases

Security Courses

Information Security Conferences

  • DEF CON – An annual hacker convention in Las Vegas
  • Black Hat – An annual security conference in Las Vegas
  • BSides – A framework for organising and holding security conferences
  • CCC – An annual meeting of the international hacker scene in Germany
  • DerbyCon – An annual hacker conference based in Louisville
  • PhreakNIC – A technology conference held annually in middle Tennessee
  • ShmooCon – An annual US east coast hacker convention
  • CarolinaCon – An infosec conference, held annually in North Carolina
  • CHCon – Christchurch Hacker Con, Only South Island of New Zealand hacker con
  • SummerCon – One of the oldest hacker conventions, held during Summer
  • – An annual conference held in Luxembourg
  • HITB – Deep-knowledge security conference held in Malaysia and The Netherlands
  • Troopers – Annual international IT Security event with workshops held in Heidelberg, Germany
  • Hack3rCon – An annual US hacker conference
  • ThotCon – An annual US hacker conference held in Chicago
  • LayerOne – An annual US security conference held every spring in Los Angeles
  • DeepSec – Security Conference in Vienna, Austria
  • SkyDogCon – A technology conference in Nashville
  • SECUINSIDE – Security Conference in Seoul
  • DefCamp – Largest Security Conference in Eastern Europe, held anually in Bucharest, Romania
  • AppSecUSA – An annual conference organised by OWASP
  • BruCON – An annual security conference in Belgium
  • Infosecurity Europe – Europe’s number one information security event, held in London, UK
  • Nullcon – An annual conference in Delhi and Goa, India
  • RSA Conference USA – An annual security conference in San Francisco, California, USA
  • Swiss Cyber Storm – An annual security conference in Lucerne, Switzerland
  • Virus Bulletin Conference – An annual conference going to be held in Denver, USA for 2016
  • Ekoparty – Largest Security Conference in Latin America, held annually in Buenos Aires, Argentina
  • 44Con – Annual Security Conference held in London
  • BalCCon – Balkan Computer Congress, annualy held in Novi Sad, Serbia
  • FSec – FSec – Croatian Information Security Gathering in Varaždin, Croatia

Information Security Magazines

Awesome Lists


Xperia Touch, um projetor que transforma sua mesa ou parede em touchscreen

O Xperia Touch é um projetor com um truque na manga bem interessante, ele pode transformar qualquer superfície em uma tela sensível ao toque de até 23 polegadas com resolução HD, ou até 80 polegadas se você não estiver preocupado com a resolução. Como o sensor reconhece até 10 toques simultâneos, a diversão familiar está garantida.


A mágica acontece pois o projetor é equipado com luzes infravermelhas e uma câmera de 13 megapixels que captura imagens de 60 quadros por segundo.

O Xperia Touch não precisa de muito espaço para criar sua tela, e também tem um sensor de proximidade que o liga automaticamente quando alguém passa perto dele, assim pode ser usado até como painel de recados.

O projetor tem 3GB de memória interna e pode ler cartões sMMC e microSD. O Xperia Touch pesa 932 gramas e sua bateria é suficiente para até uma hora de projeção.

Ele foi apresentado na MWC do ano passado como Xperia Projector, e em um ano, se tornou um produto real, que estará nas lojas em breve. Saiba mais na Sony.

Clique abaixo para ver o vídeo e outras imagens do Xperia Touch.



Jibo, um robô que promete


O Jibo é um simpático robô que tem como objetivo ser um assistente pessoal, te ajudando a realizar tarefas simples do dia a dia. O robô foi criado por Cynthia Breazeal, professora do MIT, e pode ser comprado em pré-venda no IndieGogo por US$ 550, US$ 200 agora e mais US$ 350 quando ele for entregue em 2016.

Apesar da demora para receber o produto, o Jibo tem feito enorme sucesso, e sua impressionante campanha de crowdfunding faturou quase 1 milhão e meio de dólares,superando com glórias a meta de apenas US$ 100 mil.

Como é um robô feito para a família, o Jibo tem duas câmeras para reconhecer e interagir com os seres humanos da casa, inclusive indo atrás deles para entregar mensagens. Na hora de mostrar as mensagens ou fazer uma chamada em vídeo, ele mostra o rosto do seu interlocutor. O robô também faz reservas nos restaurantes e ainda conta histórias para as crianças na hora de dormir. Ele também será capaz de aprender as suas preferências para se tornar um ajudante ainda mais eficiente.

O projeto é a realização das pesquisas da Dra. Cynthia Breazeal, que passou os últimos anos estudando robôs pessoais, e até deu um TED Talk sobre o tema.

Saiba mais sobre o Jibo.


Como funciona o golpe de Milhas Infinitas

Passou no Fantástico dia 03/08/2014.

Bruno Will rodou o mundo com a família. Estiveram na França, Suíça, Estados Unidos. Durante três anos, viveram um sonho.

Mas a polícia suspeita que todas essas viagens foram realizadas graças a um golpe, que teria sido bolado por Bruno, um técnico em informática, de 27 anos.

É em uma rua pacata de Padre Miguel, Zona Oeste do RJ, que começa e termina, segundo a polícia, uma armação cheia de criatividade. Digna de cinema.

Bruno e a família teriam descoberto como multiplicar de forma infinita suas milhas aéreas. Cada vez que uma pessoa usa o cartão de crédito, acumula pontos que podem ser convertidos em passagens aéreas, diárias de hotel e outros benefícios.

Segundo a polícia, eles forjavam gastos para poder usar cartões de crédito e, assim, criar milhas. Faziam isso emitindo boletos bancários falsos em que muitas vezes o pagador e o credor eram a mesma pessoa. Ou seja, o dinheiro saía de uma conta e entrava na mesma conta ou então na conta de alguém da família.

Os boletos eram pagos com cartões de crédito. Geravam mais milhas, trocavam essas milhas por passagens aéreas e também ganhavam dinheiro vendendo milhas para agências de turismo. Viajavam, emitiam boletos, inventavam gastos irreais no cartão de crédito e criavam milhas. E assim eles movimentaram R$ 39 milhões em um ano. Um valor incompatível à renda de Bruno, por exemplo, que declara receber R$ 1,7 mil por mês.

“O que chamou a atenção das autoridades foi a movimentação financeira totalmente distante da capacidade econômica dessas pessoas”, diz o delegado Flávio Porto.

Alertada pelo conselho de controle de atividades financeiras do Ministério da Fazenda, a Polícia Civil do Rio de Janeiro começou a investigar. Colheu provas. Na última quinta-feira (31), foi realizada uma operação de busca e apreensão expedida pela Justiça na casa dos suspeitos. Encontraram dezenas de cartões de crédito, extratos, passagens aéreas, reservas, boletos bancários e relatórios financeiros.

Esta semana também, a Justiça determinou a quebra do sigilo bancário, o bloqueio das contas e das milhas dos 15 investigados.

“Quadrilha, estelionato, falsidade ideológica, uso de documentos falsos e lavagem de dinheiro. Somadas, as penas podem chegar a 23 anos”, explica o delegado.

O Fantástico tentou ouvir os suspeitos. Bruno não quis receber nossa equipe. Por telefone, o pai de Bruno, Jefferson Will, negou qualquer irregularidade nas viagens e transações bancárias que a família realizou: “A gente vai provar tudinho que isso aí não passa de uma denúncia inexistente, uma denúncia falsa. Jamais fizemos alguma coisa errada para ter vantagem de alguma coisa”.

Depois de terem acesso as informações do inquérito, várias pessoas da família que são religiosas foram a uma igreja no sábado. O Fantástico foi até lá para tentar gravar uma entrevista com eles. A família não quis falar com a equipe.

Os investigados serão chamados para depor e não serão presos enquanto o inquérito não for concluído. A Justiça acredita que eles não oferecem risco à sociedade. Mas espera entender por que uma família de classe média, aparentemente unida e feliz, teria cruzado o limite da lei para fazer uma viagem bem mais cara ao mundo do crime.

Lista com ferramentas de segurança e pentest

No post de hoje, queria compartilhar com vocês uma versão da lista de ferramentas de segurança.

Footprinting y Fingerprinting: busca por informação

1. Anubis (Web oficial:
2. Maltego (Web oficial:
3. Nslookup (Información:
4. Dig (Información:
5. Visualroute (Programa:
6. Whois (Programa:
7. Nsauditor (Web oficial:
8. Foca (Programa:
9. Httprint (Web oficial:
10. Ldap Browser (Programa:
11. (Web oficial:
12. Yougetsignal (Web oficial:
13. (Web oficial:
14. Dnsstuff (Web oficial:
15. Wfuzz (Información y programa:
16. Nmap (Programa:
17. Zenmap (Interfaz gráfica de Nmap
18. Shodan (Información y servicio:
19. Unicorn Scan (Información y programa:
20. Satori

Aplicacões para clone de página web
1. HTTrack (
2. FileStream Web Boomerang (
3. Website Ripper Copier (

Escáners de vulnerabilidades
1. GFI (Web oficial:
2. MBSA (Web oficial:
3. SSS (Programa:
4. WIKTO (Programa:
5. ACUNETIX (Web oficial:
6. NESSUS (Web oficial:
7. OpenVAS (Escaner de vulnerabilidades libre derivado de Nessus:
8. RETINA (Información y programa:
9. WEBCRUISER (Información y programa: (Windows)
10. NIKTO (Información y programa:
11. FLUNYMOUS (Escáner de vulnerabilidades para WordPress y Moodle:
12. WP-SCAN (Información y programa:
13. PSI Secunia (

1. Metasploit (Web oficial:
2. WinAUTOPWN (Programa:
3. Exploit-DB [Base de datos de exploits] (

1. FLU – (Troyano Open Source): (
2. Hacker defender (Tutorial (rootkit):…html)
3. Netcat (Tutorial:…html)
4. Crypcat (Programa:
5. Rootkit Revealer (Programa:
6. AVG AntiRootkit (Programa:
7. Ice Sword (Programa:
8. Fu.exe (Rootkit:
9. Ikklogger 0.1 (Keylogger….html)
10. File Mon (Programa:
11. Kgb Spy (Programa beta (troyano):
12. Subseven (Troyano:

Distribuições de Linux orientadas a auditoría 
1. Wifislax (Página oficial:
2. Wifiway (Página oficial:
3. Backtrack (Página oficial:
4. Samurai (Página oficial:
5. Helix (Página oficial:
6. Caine (Página oficial:
7. Bugtraq (Página oficial:
8. Kali Linux (Página oficial:

1. Cain (Página oficial:
2. Wireshark (Página oficial:
3. Ettercap (Sustituto de Cain para Linux:
4. Tshark (Sniffer en modo consola del proyecto Wireshark:
5. Evil Foca
6. NetworkMiner

Engenharia Social
1. SET (

Ofuscadores de código
1. Eazfuscator
2. Salamander .Net Protector
3. Dotfuscator Community Edition
4. Smartassembly
5. Reactor de .NET

Analizadores de vulnerabilidades en código fonte 
1. FindBugs
2. Lapse
3. PMD

IT Security Related 
1. Open Source Vulnerability Database Search
2. US Homeland Security Threat
3. Best Security Tips

Monitoração/correlacionador de eventos 
1. Nagios
2. Zabbix

1. Babel


1. Liberar a Wifi (Descifrador de claves WiFi para Android)
2. Acrylic_WiFi
3. JavaCalcularWlan

1. FluBlocker (WAF para IIS7 o superior)

Sistemas de Cibervigilancia
1. Maltego
2. ZINK-IT (

Integridade de arquivos 
2. Pwdump7 (
3. Samdump
4. l0phtcrack (
5. Findmyhash (
6. WCE-Windows Credentials Editor (
7. Mimikatz (
8. OphtCrack
9. Integrigy (
10. Minasi (
11. Setdllcharacteristics (

Engenharia Reversa
1. Olly Dbg (Programa:
2. Radare (Programa:

Detectores de Man in the Middle

1. Marmita
2. XARP (Web:

1. Exiftool

1. TrueCrypt
2. Bitlocker
3. File Checksum Integrity Verifier-FCIV (
4. Sophos (

Virtual Windscreen da Jaguar transforma estradas em games de corrida



Dados de velocidade, navegação e riscos potenciais na estrada e o traçado ideal em um circuito. Esses são alguns dos pontos fortes do Jaguar Virtual Windscreen, algo como um para brisa virtual, na tradução literal, e que pode ser utilizado pela Jaguar como base para os próximos desenvolvimentos tecnológicos da marca.

Ao ser utilizado em um circuito fechado, o Jaguar Virtual Windscreen se destaca pelo modo de carro fantasma (mostrado na imagem acima, em azul turquesa) para orientar o motorista de um trajeto previamente feito por ele mesmo ou por outro motorista. Também há a possibilidade de adicionar áreas de frenagem e cones virtuais à tela, que são retirados conforme o condutor deixa de necessitar.

Outra característica que está sendo investigada é a projeção de imagens em 3D sem o uso de acessórios ópticos específicos (óculos), e com isso a possível substituição dos espelhos retrovisores por espelhos virtuais. Aliás, essa idéia de substituir os espelhos por telas já não é tão nova, e só não foi adotada ainda pois as imagens não teriam profundidade. Com o 3D esse problema não existe.

A Jaguar Land Rover também está desenvolvendo um sistema de controle por meio de gestos, que permite ao condutor manter os olhos na estrada enquanto manuseia alguns comandos do veículo, mesmo sem tocá-los. Para maior precisão nos movimentos, o desenvolvimento está sendo feito com o uso sensores de proximidade mediante um campo magnético, assim como nas mais recentes telas touchscreen existentes hoje.

Se um smartphone hoje é capaz de detectar o dedo do usuário a uma distância de 5 mm da tela, o projeto da Jaguar é detectar esses movimentos a 15 centímetros de distância, rastreando os movimentos da mão do motorista e transformando-os em comandos para o veículo. Segundo explica Wolfgang Epple, diretor de Pesquisa e Tecnologia da Jaguar Land Rover, o sistema “tem o potencial para estar à venda já nos próximos anos”.

É a tecnologia colocando um verdadeiro videogame no vidro do carro. Vamos ver…


Vejam o video:


Malware do Boleto

Texto do Anchises!

O portal Linha Defensiva e o Fabio Assolini, da Kaspersky, já abordaram esse tipo de golpe desde o ano passado (incluindo através de uma extensão maliciosa do Chrome ou sites que prometem gerar uma segunda via de boletos vencidos).

O jornalista Brian Krebs, em seu blog, cita o caso de uma central de controle de boleto descoberta por uma fonte dele que, indica que foram realizadas 383 transações com boletos fraudulentos entre Fevereiro e Junho deste ano, totalizando cerca de 250 mil dólares de fraude nesse período (veja abaixo o sceenshot da central de controle do malware de boleto, com a lista de transações realizadas pelo malware).

A fraude de boleto é um crime típico do cenário brasileiro, que não existe em nenhum lugar do mundo. Isso porque os boletos de pagamento são algo específicos do nosso sistema financeiro. em poucas palavras, na fraude de boleto o ciber criminoso paga boletos “seus” (em sua posse) utilizando as contas correntes de suas vítimas.

O ciber criminoso mantém uma base de boletos a serem pagos de forma fraudulenta, que podem ser boletos criados a partir de contas correntes de laranjas, ou podem ser boletos válidos (boletos enviados para consumidores finais que, na impossibilidade de pagar o total da conta, ele/ela recorre a criminosos que cobram apenas uma porcentagem do valor do boleto, e em troca o fraudador paga o valor total utilizando a conta corrente de uma vítima). A fraude com boleto válido faz com que o ciber criminoso receba o dinheiro de forma rápida e fácil, além de dificultar o rastreio da fraude: o banco consegue identificar o dono do boleto pago fraudulentamente, mas não consegue identificar o ciber criminoso.

Os ciber criminosos tem várias formas específicas para forçar o usuário final a pagar um boleto fraudulento:

  • Sites falsos de reemissão de boletos: são sites criados por ciber criminosos que prometem a revalidação de um boleto vencido. Ao fornecer os dados de seu boleto, a vítima recebe um novo código de boleto, mas que na verdade direciona o pagamento utilizando o código do boleto do fraudador;
  • Envio de boletos falsos por correio: Os criminosos podem interceptar a correspondência da vítima e substituir o boleto. Assim, a vítima recebe sua conta impressa em sua casa, mas na verdade esta conta já está com os dados de pagamento adulterados;
  • Malware de Boleto: Ele infecta o computador da vítima pode alterar os dados do boleto de três formas:
    • No pagamento de um boleto no Internet Banking: o trojan troca as informações do boleto (a linha digitável) no momento em que a vítima digita os dados no formulário de pagamento. O Browser do usuário já envia para o banco os dados do boleto fraudulento;
    • Na emissão online de boletos (ao pedir uma segunda via ou escolher fazer um pagamento com boleto): o trojan identifica uma página com dados de boleto e troca as informações pelos dados do boleto fraudulento. Eles alteram o valor da linha digitável e inserem espaços no código de barras para inutilizá-lo (assim a vítima é obrigada a digitar os dados do boleto, que já estão trocados);
    • Infectando as empresas que emitem boletos: ao infectar o compitador de uma empresa, o trojan pode fazer com que ela gere, erroneamente, boletos com os dados de pagamento já redirecionados para a conta do fraudador. O cliente já recebe em sua casa o boleto adulterado 😦

O Malware de Boleto comunica-se com o servidor central do ciber criminoso para buscar as informações do boleto que o fraudador quer pagar. Normalmente o malware mantém o valor original da conta, para que a vítima não perceba que pagou um boleto fraudulento e troca apenas o trecho da linha digitável que identifica o cedente, isto é, o destino do pagamento (afinal das contas, quem tem paciência para ficar conferindo a linha digitável dos boletos?). Mas, mesmo que a vítima quisesse comparar a linha digitável, o Malware altera a página de resposta do Internet Banking para que o usuário não perceba a alteração dos dados de pagamento.

O infográfico abaixo, criado pelo pessoal da Folha, mostra como acontece a fraude:

A fraude de boletos representa um dos métodos de roubo de fundos mais populares entre os ciber criminosos brasileiros atualmente, apesar da Febraban informar que os boletos representaram apenas 4,5% do volume de pagamentos e 3% do total de fraudes, em 2013.

Os ciber criminosos adotam mecanismos de fraude populares em um determinado país ou região em que atuam, de acordo com as características dos sistemas de meios de pagamento locais. Há vários métodos para transferir dinheiro a partir da conta corrente de uma vítima, além de uma simples transferência bancária (que pode ser facilmente rastreada). Em alguns países, é comum utilizar compra e venda de ações para transferir os fundos. Aqui no Brasil, os ciber criminosos se especializaram em explorar pagamentos de contas e de impostos, através dos boletos bancários, além de realizar compras online (em lojas de e-commerce) ou compra de créditos pré-pagos para celulares.

O que fazer para evitar a fraude de boleto? É muito difícil, mas em alguns casos não é impossível… as dicas abaixo podem ajudar um pouco:

  • Antes de mais nada, evite ser infectado por malwares!
  • E sempre utilize um computador confiável para acessar o Internet Banking;
  • Uma opção aparentemente segura é utilizar o seu smartphone para pagar boletos, uma vez que o malware só afeta PCs. Para isto, pode-se usar os aplicativos de mobile banking dos bancos;
  • Como a fraude envolve a troca dos dados do boleto, sempre verifique se você está pagando o boleto correto. Não tenha preguiça e compare o código apresentado;
  • Para saber se o seu computador está infectado pelo malware de boleto, um teste simples é digitar a linha de um boleto na tela de busca do Google; algumas versões do malware, que atuam no browser, já trocam a linha mesmo nesta tela, e aí você verá que o autocompletar vai mostrar um valor diferente do que você digitou!
  • Como os criminosos alteram os dados do boleto para enganar a vítima, para conferir um boleto que você recebeu via correio ou que gerou online, a melhor forma é conferir o código inicial do boleto que está sendo pago:
    • os 4 primeiros dígitos identificam o banco; fique de olho se corresponde ao banco que normalmente emite aquela conta que você está acostumado a pagar;
    • a primeira metade do código do boleto identifica o banco e o cedente, ou seja, é um código que identifica a empresa que emitiu aquela conta (que é um cliente daquele banco). Normalmente essa parte do código tem que ser idêntica as contas semelhantes que você pagou no passado. Confira isso ! (ex: se você paga seu aluguel via boleto, o código inicial identifica o banco e sua imobiliária, que todo mês é o mesmo).