Tag phishing

Ataques virtuais: ESET explica as principais ameaças

Muito comuns em ambientes digitais, golpes e fraudes são hoje grandes preocupações para usuários do mundo todo. Quando ocorrem, informações pessoais como senhas, números de documentos e cartões podem ser expostas ou clonadas. De acordo com dados do indicador Serasa Experian, de janeiro a setembro de 2017, o Brasil registrou 1,478 milhão de tentativas de fraude, ou seja, uma a cada 16 segundos. O número, 10,7% maior em relação ao mesmo período de 2016, pode ser considerado um efeito colateral indireto da recuperação econômica do País, já que os golpes aumentam conforme crescem as transações, momento no qual os consumidores costumam conceder seus dados pessoais.

Quando são disponibilizadas online, estas informações ficam suscetíveis a golpes virtuais dos mais diferentes tipos. Para preveni-los, existem ferramentas de segurança da informação, baseadas em metodologias, normas, técnicas, estruturas organizacionais, tecnologias e outros elementos, que vão desde soluções mais simples como o uso de um antivírus a técnicas avançadas de criptografia.

A ESET, empresa de segurança da informação e líder em detecção proativa de ameaças, explica os golpes mais comuns aplicados no Brasil e como não ser vítima.

Malware: é um software destinado a se infiltrar em um computador de forma ilícita, com o intuito de causar algum dano ou roubar informações. De acordo com pesquisas divulgadas por especialistas no 4º Fórum ESET de Segurança Informática, um em cada cinco malwares no Brasil é bancário. Os ataques costumam acontecer no computador, com o programa malicioso se instalando a partir de um clique em um link que chega por e-mail, por exemplo.

Já vulnerável, o usuário então acessa os serviços online, como a página do banco, fornece suas informações pessoais e então tem suas credenciais roubadas. De posse dos dados, os atacantes conseguem fazer compras e transações financeiras se passando pelo titular da conta ou do cartão.

Para se proteger, é importante verificar se os arquivos recebidos não estão contaminados ou se os links acessados condizem com o site correto. Normalmente, as páginas das grandes empresas têm endereços simples e são facilmente localizadas nos buscadores. Uma boa dica para identificar sites fraudulentos é se atentar a erros gramaticais. Se mesmo assim o usuário ainda tiver dúvidas sobre a autenticidade do site, uma simples ligação para a instituição pode salvar suas informações sigilosas.

Ransomware: é uma variação de malware, que sequestra o computador da vítima e cobra um valor pelo resgate, geralmente usando moedas virtuais, o que torna quase impossível rastrear o criminoso. Este tipo de vírus age codificando os dados do sistema operacional de forma que o usuário não tenha mais acesso a eles. Exemplo mais recente, o Bad Rabbit, se espalhou para países da Europa em 2017 e causou transtornos em aeroportos e sistemas de infraestrutura. Ter o sistema operacional sempre atualizado e uma solução antivírus instalada são boas formas de se proteger desta ameaça.

Phishing: é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas. Geralmente os ataques são enviados em aplicativos de mensagens e disfarçados em forma de produtos grátis ou cupons promocionais que, para serem acessados, exigem o preenchimento de cadastro com dados como número do cartão de crédito, senhas e outros. Após o envio das informações, o usuário não recebe o que foi prometido inicialmente e pode ter informações roubadas.

Os recentes golpes do FGTS e do Burger King no aplicativo WhatsApp podem ser considerados phishing. Por isso, nunca clique em links para ofertas milagrosas ou boas demais para serem verdade, e sempre que receber mensagens de promoções em redes sociais, verifique sua veracidade antes de clicar, pois é possível que não sejam legítimas.

Segundo Camillo Di Jorge, country manager da ESET, cada tipo de ataque conta com sua particularidade, mas a maioria tem o mesmo objetivo: obter algum tipo de benefício, geralmente financeiro. “Independentemente de ser online ou off-line, a informação requer medidas de proteção adequadas, de acordo com a importância daqueles dados. Para informações mais sensíveis, mais camadas de proteção podem ser inseridas para dificultar a ação dos criminosos. Mesmo assim, o bom senso continua sendo a melhor forma de se proteger”.

Tags, , , , , , , , , , ,

PSafe alerta: novo golpe do WhatsApp promete pacote de dados gratuito

A PSafe, empresa desenvolvedora do aplicativo DFNDR, identificou um novo golpe que está circulando pelo WhatsApp. Trata-se de um link que faz uma falsa promessa de pacote de dados móveis de diversas empresas de telefonia e foi acessado mais de 20 mil vezes até o momento.

Ao abrir o link recebido pelo app de mensagens, o usuário faz um breve cadastro com seu nome, número de celular e operadora e é induzido a compartilhar o falso benefício com 10 amigos. Ao realizar os compartilhamentos, o site malicioso faz dois direcionamentos: um sugere que o usuário inclua seu número de telefone novamente, só que desta vez o cadastro é para um serviço de SMS pago – que efetua cobranças indevidas; o outro direcionamento é para baixar um app falso, que pode infectar o smartphone e deixá-lo vulnerável a outros tipos de crime ou prejuízo financeiro.

Para que os usuários de Android não se tornem vítimas deste tipo de cibercriminosos, o gerente de Segurança da PSafe, Emilio Simoni, reforça a necessidade de ter um antivírus certificado com a função ‘antiphishing’ instalado no smartphone, que avisará o usuário se o link clicado é confiável ou não, permitindo, assim, uma navegação mais segura. Além disso, “é importante que o usuário tenha um comportamento preventivo na internet, desconfiando de links recebidos via redes sociais e chats, mesmo de conhecidos”, completa o especialista.

Confira algumas capturas de tela do golpe:

Tags, , ,

Malware para Mobile Internet Banking cresce 400% e ataca bancos da América Latina – Por Rita D’Andrea

Foto_Rita_D'Andrea

Nada faz um criminoso digital mais feliz do que atacar aplicações de internet banking. A longevidade e a evolução de alguns malware com esse alvo não é surpreendente – afinal, o malware voltado a mobile banking é a maneira mais rápida e fácil de tirar dinheiro das vítimas. O mercado de malware para mobile banking é tão aquecido que cresceu 400% em 2016 – dados do Nokia Threat Intelligence Report. Desse total, 81% são voltados à plataforma Android de smartphones. As taxas de infecção de dispositivos móveis cresceram constantemente ao longo de 2016, avançando 63% em relação ao primeiro semestre do ano. Esse quadro é, de certo modo, previsível. O Android, com mais de 24.000 implementações diferentes, é o sistema operacional mais popular para smartphones – dados da Testarmy. Com isso, é ainda mais desafiador testar e manter seguros esses dispositivos móveis. Os consultores da Developer Android ressaltam que essa tarefa fica mais difícil quando se percebe que a maioria dos telefones Android está desatualizada, rodando versões sem correções (patches) essenciais para garantir a segurança do ambiente.

Do outro lado desta disputa encontram-se hackers profissionais e capitalizados que trabalham 24x7x365 para evoluir continuamente. O resultado é um malware como o Marcher Android Banking, um trojan (cavalo de Tróia) sempre em busca da perfeição: fugir da detecção e manter o dinheiro entrando.

É isso que mostra uma pesquisa da F5 realizada em março de 2017. Os experts do F5 Labs examinaram centenas de arquivos de configuração do Marcher para descobrir tendências de alvos (os bancos que estão sendo mais atacados) e de novas campanhas de ataques mundiais.

Estudo mostra alvos do malware Marcher Android Banking

Analisando os mais recentes arquivos de configuração, os alvos de março do Marcher foram primariamente bancos da Europa (64%), seguidos por Austrália (15%) e América Latina (12%). Em todos os casos, os hackers desenvolveram diversas versões do Marcher Android Banking sob medida para a interface e o ambiente de internet banking de grandes bancos.

O F5 Labs detectou 172 domínios alvos em março de 2017. Conforme esperado, a maioria (93%) era composta por bancos. Uma parte menor, mas interessante, dos alvos era composta por provedores de serviços de e-mail como Yahoo e Gmail, apps de redes sociais e serviços de mensagens como Facebook, Viber e WhatsApp.

O levantamento mostrou que alguns bancos são alvos preferenciais dos hackers que desenvolvem novas e inteligentes versões do Marcher Android Banking. No link https://f5.com/labs/articles/threat-intelligence/malware/marcher-gets-close-to-users-by-targeting-mobile-banking-android-apps-social-media-and-email-26004 estão disponíveis o estudo e a lista dos bancos mais atacados pelo Marcher Android Banking.

Phishing e engenharia social

A meta dos criminosos digitais é atacar o elo mais fraco dos sistemas bancários: os correntistas. Os atacantes sabem que usar técnicas de engenharia social e phishing é algo que pode funcionar com pessoas comuns usuárias da Internet. Hoje boa parte da população bancarizada é usuária dos canais virtuais dos bancos, em especial, o internet banking. Essa realidade facilita o trabalho dos hackers, que usam diversos recursos para convencer o usuário/correntista a fazer o download de um app falso (malicioso) ou, então, entregar suas credenciais de acesso. Faz parte da estratégia dos criminosos explorar, também, os serviços e apps que os correntistas mais usam em suas vidas privadas – é o caso de e-mail, redes sociais, serviços de mensagens e grandes portais consumer como eBay, entre outros.

O estudo realizado pela F5 mostra que CISOs e também usuários devem estar alerta em relação à séria ameaça das campanhas de malware para Android. Essas campanhas continuam a evoluir, aprimorando seus modos de enganar usuários e fugir de detecção. À medida que o footprint de apps e dispositivos móveis cresce no mundo todo, isso impõe uma ameaça sempre crescente às instituições financeiras.

A disseminação de smartphones como a plataforma preferencial de acesso ao internet banking torna esse quadro ainda mais desafiador.

É fundamental que esses dispositivos sejam gerenciados e protegidos; isso pode ser feito por meio de soluções implementadas no celular ou por meio de sofisticadas plataformas corporativas que permitem que o gestor de TI do banco garanta remotamente a inviolabilidade desse ambiente.

Rita D’Andrea, country manager da F5 Networks Brasil

Tags, , , ,

Sophos divulga tendências de ciberataques em 2017

O ano de 2016 já tinha sido palco não só de um grande número, mas também de uma grande variedade de ciberataques, desde os DDoS de alto perfil que controlam as câmeras de segurança ligadas à internet, até à suposta invasão da rede de computadores liderada por hackers russos durante as eleições americanas. Vimos ainda um aumento dos cenários que envolvem violação de dados, em pequenas e grandes empresas, e perdas significativas no que diz respeito à informação pessoal.

A Sophos reuniu tendências de ciberataques atuais e emergentes que acredita serem as principais ameaças para o ano de 2017. Entre os mais preocupantes estão os ataques DDoS com equipamentos IoT (sigla em inglês para Internet das Coisas) e os ataques contra estados e sociedades.

Os ataques DDoS IOT destrutivos vão aumentar. Em 2016, o malware Mirai conseguiu demonstrar o massivo potencial destrutivo dos ataques DDoS em um cenário com equipamentos IoT inseguros. Os ataques do Mirai exploraram apenas um número reduzido de equipamentos e vulnerabilidades, e utilizaram técnicas de identificação de senhas bastante básicas. No entanto, os cibercriminosos terão a vida ainda mais facilitada tendo em conta os inúmeros equipamentos IoT que existem com códigos desatualizados, baseados em sistemas operacionais com baixa manutenção e em aplicações com vulnerabilidades bastante conhecidas.

Mudança de ataques exploit para ataques sociais direcionados. Os cibercriminosos estão aprimorando suas técnicas contra a maior vulnerabilidade que existe: os humanos. Os ataques estão cada vez mais sofisticados e convincentes para enganar os usuários. Por exemplo, é bastante comum ver um e-mail direcionado, que aborda o destinatário pelo nome e menciona uma dívida pendente que o remetente pretende cobrar. Por medo ou curiosidade da dívida, o usuário se sente tentado a clicar no e-mail que o direciona para um link malicioso, iniciando o ataque. Esses ataques de phishing deixaram de ser facilmente reconhecidos pela presença de erros mais óbvios, como acontecia, e agora estão direcionados se passando por bancos e autoridades.

Exploração da infraestrutura antiga e insegura da internet. A maioria dos usuários da internet ainda confiam em protocolos antigos que se estabeleceram no início da internet. Por exemplo, ataques contra o protocolo BGP (Border Gateway Protocol) podem interromper, sequestrar ou desativar potencialmente grande parte da internet. O protocolo BGP é a espinha dorsal da internet, usada para rotear solicitações na internet. O ataque DDoS que ocorreu em outubro contra a Dyn, uma das principais empresas fornecedoras de serviços DNS do mundo, afetou o acesso à internet em diversas partes do mundo. Provedores e empresas de grande porte podem tentar responder a esses ataques, mas em caso de falhas terão de arcar com sérios danos se os hackers optarem por explorar as falhas mais profundas da internet.

O ransomware continua em evolução. À medida que mais usuários reconhecem os riscos do ataque ransomware por e-mail, os criminosos continuam explorando outros vetores. As novidades podem vir com um malware que reinfecta mais tarde, muito depois do resgate ser pago, ou também com ferramentas internas e de malware não executável para, dessa forma, evitar a detecção na proteção de endpoint, que foca nos arquivos executáveis. Alguns exemplos recentes têm solicitado primeiro o compartilhamento do arquivo infectado com duas pessoas antes de devolver o arquivo descriptografado. Os autores do ransomware também estão começando a utilizar técnicas diferentes da criptografia como, por exemplo, excluindo ou corrompendo cabeçalhos de arquivos. E, finalmente, com ransomware antigo ainda flutuando pela web, os usuários podem ser vítimas de ataques sem solução porque os locais de pagamento não existem mais.

Aumento de ataques de dispositivos IoT. Os usuários de dispositivos IoT podem não notar ou sequer se importar se o equipamento de monitoramento dos seus bebês está sendo utilizado para atacar um website. Contudo, uma vez que hackers tem o domínio de um dispositivo em uma rede privada, eles podem comprometer todos os outros equipamentos que estão conectados na mesma rede, como notebooks que podem conter uma série de dados pessoais. Em 2017, mais incidentes como esse serão frequentes, além de ataques por meio de câmeras e microfones para espionar residências.

Infraestrutura financeira com maior risco de ataque. O uso de phishing direcionado ou whaling (caça à baleia) continua a crescer. Esses ataques usam informação detalhada de executivos das empresas com o objetivo de enganar funcionários para comprometer contas e viabilizar o pagamento aos fraudadores. Para esse ano, são esperados esses ataques às infraestruturas financeiras, como o que ocorreu em fevereiro ao Swift – sistema global que bancos utilizam para realizar transações de milhões de dólares todos os dias – e que custou US$81 milhões ao Banco Central de Bangladesh.

Ataques contra órgãos dos Estados e contra a população. Os ataques tecnológicos se revelam cada vez mais políticos. Por exemplo, investigadores conseguiram demonstrar ataques que permitiram que um eleitor vote repetidamente, de forma fraudulenta, sem ser detectado. Mesmo que os Estados não realizem ataques desta natureza contra os sistemas eleitorais de seus adversários, a ideia de que estes ataques são possíveis é, por si só, uma arma verdadeiramente poderosa. A população, por sua vez, sofre com a desinformação e enfrenta sérios riscos como, no caso deste exemplo, ter o sistema de votação comprometido.

Tags, , , , , ,

Fortinet alerta para possível aumento de ciberataques no Brasil nos próximos dias

A Fortinet® (NASDAQ: FTNT), líder global em soluções de cibersegurança de alto desempenho, anuncia os resultados de seu relatório global sobre o cenário de ameaças cibernéticas do FortiGuard Labs.

– O relatório cita o aumento de ameaças no Brasil e explica porque o país necessita de uma atenção especial durante as Olimpíadas do Rio.

– Identifica os países que mais sofrem ataques de phishing, malware, botnets e exploit kits em todo o mundo.

– Mostra um método sofisticado para ajudar cibercriminosos a continuarem dentro dos sistemas invadidos por eles, chamado “behavior blending”.

– Os dados sobre ameaças utilizados na análise são baseados em uma subcategoria de dados de telemetria dos meses de abril, maio e junho de 2016.

– As implicações de riscos e ameaças contidas nesse relatório são ilustradas utilizando dados, pesquisas e análises sobre ameaças do FortiGuard, líder do setor. O FortiGuard Labs utiliza dados coletados de mais de dois milhões de sensores em todo o mundo para proteger mais de 280 mil clientes todos os dias.

Ameaça crescente no Brasil

O volume de artefatos maliciosos e de phishing (por exemplo, nomes de domínio e URLs) só aumenta no Brasil. Em junho, a porcentagem desse aumento foi maior em três de quatro categorias em comparação à porcentagem global no relatório da Fortinet. A porcentagem com o maior crescimento foi na categoria de URL maliciosa com 83%, comparada aos 16% do resto do mundo.

Durante as Olímpiadas de 2016 no Rio, estes ataques sem dúvidas continuarão e o FortiGuard Labs já observa indicadores de técnicas repetidas (como domínios falsos) para fraude de pagamento e websites maliciosos ou URLs que buscam atingir os sites oficiais do evento e do governo.

Ataques cibernéticos durante os Jogos Olímpicos não são uma novidade. O levantamento do FortiGuard Labs da Fortinet descobriu que o aumento de ataques focados nas Olimpíadas teve início nos Jogos Olímpicos de 2004 na Grécia.

O levantamento do FortiGuard Labs da Fortinet observou um retorno de velhas ameaças e de vetores de ataque, além da persistência de ataques clássicos, como Conficker e ransomware, por meio de variantes atualizadas. Dados de telemetria e a pesquisa da Fortinet indicam que os dois métodos mais comuns são phishing por meio de e-mails e sites maliciosos.

Técnicas de ameaças avançadas – “Behavior Blending”: durante os últimos três meses, está crescendo um método sofisticado para ajudar os atacantes a permanecerem nos sistemas invadidos. Behavior blending é uma técnica utilizada por criminosos que permite que eles se misturem em uma rede comprometida. Por exemplo, em uma rede corporativa, o atacante pode assumir o comportamento de um funcionário para evitar ser descoberto. Como essa técnica tem um grande potencial de driblar a detecção, os especialistas da Fortinet estão esperando ver mais dela em uso enquanto novas ferramentas são desenvolvidas para melhor imitar o comportamento de um alvo credenciado.

Phishing: o volume da atividade global de phishing segue elevado com um aumento de 76% de abril a junho, segundo dados de ameaças de domínios de phishing e URLs do FortiGuard Labs. A porcentagem de crescimento de maio a junho foi de 11%. Demais consequências de phishing por e-mail incluem um aumento da atividade de Tokelau, sendo Brasil, Colômbia, Rússia e Índia os quatro principais códigos de domínio de país no segundo trimestre de 2016. Além disso, a aparência dos domínios ainda é muito ativa (por exemplo, netflix vs netflix). Por último, o FortiGuard também detectou um número de nomes de grandes instituições financeiras incluídos como parte dos domínios e URLs de phishing.

Exploit Kits: há um aumento no uso de Exploit Kits (EKs) baseados em JavaScript com URLs maliciosas para disseminar ransomware, principalmente na primeira fase no download de cargas. Observa-se uma mudança de Angler para Fiesta e Neutrino e ambos aparecem constantemente na lista global do FortiGuard com os 10 principais exploit kits.

Malwares avançados: a família JS/Nemucod tem sido o malware dominante em todo o mundo nos últimos três meses. Esta família é atualmente o programa de download mais ativo de ransomware com um aumento significativo de ataques.

Filtragem de dados – Indicadores de botnet: a telemetria de ameaças do FortiGuard mostra um aumento da atividade botnet. Os nomes que aparecem no top 10 de atividades botnet de ransomware são Locky e Cryptowall.

“A expansão da superfície de ataque possibilitada pela inovação tecnológica, os novos dispositivos IoT, as pressões regulatórias e um déficit mundial de aptidão em cibersegurança continuam impulsionando as ameaças cibernéticas. Todos esses elementos combinados com os acontecimentos políticos globais adicionam ainda mais complexidade à situação e a complexidade é inimiga da segurança. Apenas implementar soluções de segurança não é suficiente. As organizações precisam adotar um modelo de segurança que permite a comunicação direta entre soluções para uma resposta unificada e rápida às ameaças avançadas”, Ladi Adefala, estrategista de segurança sênior da Fortinet.

Tags, , , , , ,

Usuários brasileiros de mobile banking são alvos de ataques via SMS

view.aspx

Nos últimos anos, o número de pessoas que utilizam serviços de mobile banking tem aumentado consideravelmente. E, de olho nessa crescente demanda, criminosos brasileiros estão começando a apontar seus ataques contra este público de forma mais regular, utilizando o SMiShing (phishing enviado por SMS), além de registrar novos domínios preparados para esse fim.
Números comprovam este comportamento – só em 2015, o uso do mobile banking alcançou a marca de 11,2 bilhões de transações no Brasil – crescimento de 138% em relação a 2014 (4,7 bilhões de operações), tonando-se, atualmente, o segundo canal bancário mais acessado. De acordo com a FEBRABAN[1], são mais de 33 milhões de contas móveis ativas. Além disso, o uso global do SMS como canal de mensagens corporativas vai continuar a crescer ao longo dos próximos 10 anos, à medida que mais organizações adotam serviços A2P (Aplicação a Pessoa) para integrá-los em suas comunicações digitais. Somente entre 2014 e 2015, o segmento aumentou 22% em escala global[2].

Ataques como estes são simples e baratos – basta o criminoso registrar um domínio, preparar página de phishing em formato móvel, contratar serviço de envio de SMS em massa (geralmente utilizando cartão de crédito clonado) e assim começa o golpe. A facilidade continua ao obter números de telefones de vítimas, encontrados sem dificuldades em mercados underground.

Imagens: As mensagens informam supostos bloqueios de contas, cartões, etc.

É mais fácil invadir contas bancárias a partir de terminais móveis do que via desktop, veja abaixo:

– Sem proteção: pesquisa realizada em 2015 pela B2B International mostrou que apenas 56% dos usuários têm software de proteção instalado em seus dispositivos.

– Sem plug-ins: mesmo com apps de acesso dedicado à conta, a maioria dos bancos não exige que seus clientes instalem plug-ins de segurança em seus dispositivos móveis, como acontece no acesso via desktop. Como já visto anteriormente, apps falsos de bancos já apareceram na Play Store, além de ataques de phishing poderem afetar qualquer plataforma por meio de seus navegadores.

– Autenticação simples: a maioria dos bancos brasileiros utilizam autenticação simplificada ao acesso móvel, solicitando apenas número da conta e senha de quatro ou seis dígitos caso o acesso seja feito pelo navegador do smartphone.

– Notificações reais via SMS: sabemos que grande parte dos bancos nacionais têm usado SMS como canal de comunicação com seus clientes, com informações sobre saques e compras no cartão, o que inclusive tem possibilitado a identificação mais rápida de fraudes. Portanto, pode ser fácil confundir mensagem de SMiShing com SMS legítimo.

Para adaptar-se aos novos tempos, phishers estão preparando versões móveis das páginas dos bancos, que podem ser abertas em qualquer navegador. A tática dos phishers é forçar a vítima a acessar o site falso por meio de seu celular – caso o acesso seja feito via desktop, será exibida mensagem semelhante à abaixo:

Após esta mensagem, a página de phishing completa só estará disponível por completo, caso o acesso seja feito pelo navegador.

Phishers estão criando páginas falsas de vários bancos, em todas as cores e formas. Além disso, a maioria dos domínios falsos estão usando o TLD .mobi.

[1] Pesquisa FEBRABAN de Tecnologia Bancária 2015 (http://www.febraban.org.br/Noticias1.asp?id_texto=2942&id_pagina=60&palavra=)

[2] The Telefonica Text Economy Report: An investigation into the enduring success and economy drivers of the SMS market in 2015 (http://bulkmessaging.telefonica.com/wp-content/uploads/2016/07/029-Telefonica-Text-Economy-Report.pdf)

Tags, , ,

Cibercriminosos estão usando o tráfego criptografado para esconder ameaças avançadas

Marcos Oliveira*

Quase um terço do tráfego empresarial da Internet já é criptografado e essa proporção está crescendo rapidamente. É bom que seja assim, mas a primeira grande questão que isso traz é que as empresas perderam a visibilidade desse tráfego justamente porque está encriptado. A criptografia é necessária, pois ajuda a proteger a privacidade dos dados, mas agora os criminosos cibernéticos aprenderam a esconder-se e a mascarar seus ataques no tráfego SSL (Secure Sockets Layer) — e seu sucessor, o TLS (Transport Layer Security) — que são protocolos default de criptografia para as comunicações via web, nuvem e dispositivos móveis. Os cybercriminosos fazem isso porque sabem muito bem que os dispositivos de segurança perimetral são incapazes de identificar a intrusão, tanto é que cerca de 50% das novas ameaças chegam por meio do SSL, estima o Gartner.

Isso levanta várias questões: As empresas devem desistir de criptografar seus dados? Se não, como podem se proteger desse tipo de ataque? Como inspecionar o tráfego SSL em busca de ameaças sem perder performance e produtividade da rede? Como inspecionar o tráfego sem violar a privacidade do usuário e as regras de compliance/políticas de governança corporativa?

Bem, antes de mais nada é importante destacar que a criptografia continua sendo uma solução eficaz para proteger a privacidade dos dados. Ainda que criminosos escondam ameaças nesse tráfego, não poderão descriptografá-lo facilmente e violar a sua privacidade. Não por acaso, milhares de aplicações usam criptografia SSL, incluindo Gmail, Microsoft SharePoint, Microsoft Exchange, Facebook, LinkedIn, Youtube, Salesforce.com, Amazon Web Services (AWS), Google Apps, entre outras. Veja os benefícios :

Sessões de usuário criptografadas: O protocolo SSL criptografa informações sigilosas enviadas pela Internet para que somente o destinatário possa compreendê-las.

Autenticação facilitada: Quando um servidor incorpora um certificado SSL, os usuários podem estar confiantes de que os seus dados sigilosos não cairão em mãos erradas e só serão usados pelo servidor seguro apropriado.

Proteção contra phishing: Frequentemente, os e-mails de phishing e spearphishing contêm links que levam os usuários incautos a réplicas malignas, mas convincentes de websites confiáveis. Entretanto, ao conectar-se a websites falsos e ver mensagens de “autoridade certificadora não confiável”, a maioria dos usuários sai do website sem compartilhar informações confidenciais.

Maior confiança do cliente: Consumidores que levam a segurança a sério e clientes comerciais ficam tranquilos ao fazer negócios pela Internet com a segurança do protocolo SSL. Isso se evidencia, por exemplo, na atitude do Google de atribuir, segundo o seu mecanismo de busca, uma melhor classificação aos websites criptografados com SSL/HTTPS do que aos não criptografados.

Embora os benefícios da criptografia SSL sejam maiores do que as desvantagens – tipicamente, custo adicional e necessidades de desempenho – esses novos riscos agora são uma realidade e devem ser tratados. Os hackers e a Deep Web não podem mesmo descriptografar o tráfego SSL na velocidade que compense para o crime, pois quebrar uma chave criptográfica leva muito tempo; mas eles podem e estão escondendo ameaças que ficarão adormecidas em sua rede até que acordem um dia e abram portas para a invasão externa.

80% das empresas não inspecionam seu tráfego SSL

A saída para endereçar o problema das ameaças embutidas na encriptação SSL é, sem sombra de dúvidas, inspecionar o tráfego. O Gartner estima que 80% das empresas não inspecionam seu tráfego SSL. Já uma pesquisa feita no Brasil com cerca de 50 grandes empresas de diversos segmentos, encomendada pela Blue Coat, revelou que 73% não inspecionam seu tráfego encriptado. Se as empresas não mitigarem os riscos através da visibilidade na camada SSL, poderão se abrir a malwares e ao acesso indevido de dados.

A maioria dos dispositivos de segurança de rede é incapaz de inspecionar o tráfego SSL, a menos que esse tráfego seja previamente descriptografado. Sem isso, os malwares podem facilmente obter acesso à rede e causar grandes danos. Não descriptografar o tráfego também reduz a eficiência de outros investimentos em segurança, como sistemas de detecção e prevenção de intrusão (IDS/IPS) e tecnologias de prevenção de perda de dados (DLP).

Esse problema tem continuidade em cenários pós-ataque ou de invasão, nos quais as empresas dependerão de ferramentas de perícia de rede — também denominadas Security Analytics — para analisar a atividade da rede e investigar as causas e os efeitos de ameaças avançadas. Entretanto, sem a capacidade de descriptografar o tráfego da rede, eles são incapazes de obter todas as provas periciais necessárias para avaliar o efeito e até a origem de um ataque bem sucedido.

Outra questão fundamental é que as empresas que se decidirem por inspecionar seu tráfego SSL deverão fazê-lo sem quebrar regras de compliance. Por exemplo, não se pode descriptografar dados pessoais, financeiros e de saúde, de acordo com os requisitos do HIPAA (Health Insurance Portability and Accountability Act), PCI Security Standards Council e PII Laws (Personally Identifiable Information). Do ponto de vista de conformidade não pode haver nenhuma mudança ou manipulação do dado inspecionado que quebre a sua integridade. Exatamente por isso a ferramenta escolhida deverá acatar e se ajustar às políticas de governança interna e externas que regulam os mercados

Acreditamos que somente a adoção de uma estratégia holística de administração de tráfego criptografado pode reduzir esses novos riscos. Estamos falando das soluções de ETM – Encrypted Traffic Management. Essa estratégia inclui dispositivos de visibilidade de SSL que não apenas monitoram, mas gerenciam a partir de pontos centralizados — com excelente relação custo-benefício — a inspeção e a descriptografia de tráfego SSL, ao mesmo tempo em que obedecem às exigências de privacidade e conformidade e defende as redes contra ameaças avançadas sem perder performance.

Os cybercriminosos continuarão a esconder malwares e a buscar novos caminhos para ter acesso às redes e aos dados das empresas. O protocolo SSL continuará a ser usado como importante componente para proteger a privacidade. Às empresas resta se prevenir com a adoção de tecnologias inteligentes, flexíveis e com controle de políticas antes que percam mais que dados, mas sua reputação e credibilidade.

*Marcos Oliveira é Country Manager da Blue Coat Brasil

Tags, , , , , ,

Return Path apresenta soluções inovadoras de proteção contra fraudes por email no fórum Mind The Sec

Com painel e palestras, a empresa espera munir o mercado com informações sobre autenticações e sua plataforma de dados, além da visão de clientes e provedores de e-mail sobre os desafios da segurança da informação

Provedora global de soluções de dados, a Return Path é uma das patrocinadoras do Fórum Mind The Sec, criado com o objetivo de discutir pilares da segurança da informação, como gestão, tecnologia e soluções. O evento acontece nos dias 26 e 27 de agosto, no Grand Hyatt São Paulo, com a presença de Bruce Schneier, especialista no assunto.

Três executivos da Return Path participam com destaque nas atividades do Fórum Mind The Sec. Pablo Dewes, consultor técnico sênior de Email Fraud Protection da empresa, ministra a palestra intitulada “protocolos de autenticação para garantir a segurança dos e-mails contra spoofing e phishing”, enquanto Brandon Dingae, diretor de Email Fraud Protection, abordará o tema “evitando manchetes negativas e custos de recuperação de fraudes por e-mail e abusos de marca”.

Em um terceiro momento, a Return Path, promove o painel “proteção contra fraudes por e-mail – os desafios e tendências de todas as partes que compõe o ecossistema de e-mail e seus papéis no combate à fraude”, reunindo os executivos Fabio Nascimento Mello, profissional de uma grande instituição financeira, representando as marcas que são muito respeitadas e mais propensas ao abuso ou fraudes, e Leandro Bennaton, Global Security & Compliance Manager do Terra e Chief Security Ambassador da 11Paths, representando as entidades responsáveis por filtrar emails fraudulentos e evitar que cheguem aos consumidores. A atividade será mediada por Celso Gonzalez Hummel, diretor de vendas de Email Fraud Protection da Return Path.

O Fórum Mind The Sec reúne tomadores de decisão técnicos e gerenciais de importantes companhias. Como patrocinadora, a Return Path oferece a seus convidados desconto de 50% na inscrição do evento, além da possibilidade de pré-agendamento de uma reunião com seus especialistas e produção de um relatório personalizado, buscando evidências de emails suspeitos. Mais informações: rpinfo-brazil@returnpath.com.

FÓRUM MIND THE SEC 2015
Período – dias 26 e 27 de agosto de 2015
Local – Grand Hyatt São Paulo
Desconto de 50% a convidados da Return Path – informações por meio do rpinfo-brazil@returnpath.com
Mais informações sobre o evento – http://mindthesec.com.br/

PARTICIPAÇÕES DA RETURN PATH

Dia 26/08 às 14h50
Palestra – “Protocolos de autenticação para garantir a segurança dos e-mails contra spoofing e phishing” / Palestrante: Pablo Dewes (Senior Technical Consultant/Email Fraud Protection – Return Path)

Dia 26/08 às 16h40
Painel – “Proteção contra fraudes por e-mail: os desafios e tendências de todas as partes que compõe o ecossistema de e-mail e seus papéis no combate à fraude” / Painelistas – Fabio Nascimento Mello e Leandro Bennaton/ Mediador – Celso Gonzalez Hummel

Dia 27/08 às 11h30
Palestra – “Evitando manchetes negativas e custos de recuperação de fraudes por e-mail e abusos de marca” / Palestrante – Brandon Dingae (Director/Email Fraud Protection – Return Path)

Tags, , , , ,

Cibercriminosos já utilizam novos domínios genéricos em campanhas de phishing

Cibercriminosos pelo mundo já apontam suas armas de ataque para os novos gTLDs (generic Top Level domain), os domínios genéricos de nome, aprovados recentemente pela ICANN, o órgão que governa os domínios de internet. Os gTLDs já estão disponíveis através das empresas de registro, disponíveis para as companhias ou pessoas que querem registrar novos sites. Recentemente encontramos diversas atividades maliciosas que incluem malware e páginas de phishing nos seguintes domínios: .club, .berlin, .blue, .computer, .camera, .futbol, .link, .pink, .report, .travel, .vacations e .xyz.

Os gTLDs foram aprovados recentemente pela ICANN e as empresas já disponibilizam o registro para aqueles que querem fugir de sites .com ou .org e que buscam mais possibilidades de nomes. Devemos estar preparados para encontrar páginas do tipo “tudo.bom”, “sem.gripe”, “minha.webcam”, ou até mesmo “meu.email”. No Brasil diversas empresas como Globo, Natura, Bradesco e Vivo também registraram seus domínios.

TLDs mais populares, de acordo com http://ntldstats.com/tld

Os phishers brasileiros estão particularmente interessados nos gTLDs e já iniciaram seus ataques, registrando diversos deles usando nomes de marcas conhecidas, como bancos, lojas on-line e empresas de cartão de crédito. Por exemplo:

cielo-seucartaobateumbolao.xyz
megasaldao-americanas.xyz
lojadoricardoeletro.xyz
hsbc.club
santander.club
bradesco.club
ricardoeletro.club
ricardoeletro.computer
ricardoeletro.camera

Esses domínios foram utilizados com o intuito claro de atuarem em ataques de phishing, portanto não é surpresa saber que os dados encontrados no “whois” são completamente falsos.

Os brasileiros não são os únicos interessados; já encontramos sites fraudulentos em inglês, vendendo supostas moedas do jogo FIFA’14 hospedado num dominio .club.

Outros phishers continuam suas campanhas usando domínios mais antigos, como o .travel (criado em 2005). Abaixo você pode ver a página de phishing de um banco brasileiro.

Mas também há malware. Sabemos que os cibercriminosos por trás do exploit kit “Nuclear” estão hospedando seus kits de ataque e páginas comprometidas em .blue, .pink, .futbol, e .report.

Se você é um usuário de redes sociais e recebe e-mails constantemente fique atento, esses links mesmo sendo diferentes podem ser maliciosos como qualquer outro. Se você tem uma empresa é uma boa idéia monitorar os novos dominios registrados nos gTLDs para certificar-se de que a marca da sua companhia não é usada nesses ataques.

Tags, , , ,

Seis dicas para evitar fraudes online

Com a febre da Copa do Mundo se espalhando, torcedores podem passar a acessar uma infinidade de sites para obter informações sobre os jogos, inscrever-se em sorteios, jogar, reproduzir vídeos por streaming e talvez até fazer algumas apostas. No entanto, os profissionais de TI precisam estar atentos para o fato de que hackers exploram esse entusiasmo e essa impulsividade pela Copa do Mundo. Há centenas de sites perigosos disfarçados de legítimos que podem invadir seu sistema, levá-lo a revelar as credenciais da sua conta, fazê-lo instalar malwares no sistema e até mesmo retirar dinheiro de contas on-line. Essa semana, inúmeras denúncias de brasileiros enganados por esses sites ao pagar por ingressos da Copa que nunca receberam foram divulgadas.

Veja a seguir algumas dicas para identificar sites potencialmente perigosos e não deixar que sua empresa – ou você mesmo – se exponha a hackers e a fraudes.

1) Alguma coisa parece suspeita?

Não se deixe envolver por aquilo que deseja fazer em um site desconhecido. Assim que acessar um site novo – seja um site de rede social, de informações financeiras ou de apostas – dê uma olhada geral e verifique se lhe parece suspeito de alguma maneira. Verifique o seguinte:

• Posicionamento irregular do conteúdo do site
• Anúncios aleatórios que não fazem sentido
• Pop-ups, complementos ou downloads de programas desnecessários
• Textos com erros gramaticais ou com gramática inadequada ou estranha

Não caia em golpes que dizem que você ganhou uma incrível soma de dinheiro em um site que não tem nada a ver com você. Você pode acabar se envolvendo em uma bela pegadinha. Nem tudo o que reluz é ouro!

2) Confirme que o site é seguro

Verifique se o site é seguro, especialmente se compartilhar informações como dados pessoais e dados de contas. Verifique se os certificados SSL são válidos e se o protocolo de Internet é HTTPS. Você pode usar utilitários online de verificação SSL gratuitos para verificar se há certificados de segurança e examinar a autenticidade do certificado, a validade, a resolução de DNS e outros detalhes.

3) Fique atento para downloads não iniciados ou automáticos

Às vezes, basta fazer login em um site para iniciar um download. Isso pode ser um malware disfarçado de um .exe legítimo, mas, ao executá-lo, o sistema poderá ser comprometido. Se isso acontecer, cancele imediatamente o download, faça uma varredura com um antivírus conhecido ou simplesmente pesquise o nome do arquivo no Google para ver se é um ataque de malware ou golpe conhecido. Só o execute se tiver certeza de que é seguro.

Às vezes, os malwares podem ser baixados automaticamente para o seu sistema de forma invisível, o que obviamente é ainda mais difícil de detectar sem monitoramento do sistema. Mesmo um clique inocente em uma área sombreada do site pode iniciar a transferência de um processo duvidoso. Fique de olho na barra de status ao clicar em qualquer parte estranha de um site. Ela vai mostrar o URL de destino se houver um hiperlink.

4) Não siga links aninhados

Tenha cuidado redobrado com links aninhados. Se todos os direcionamentos de URL do site o levarem a domínios diferentes, ligados uns nos outros, é possível que o site não seja legítimo. Por isso, tenha cuidado com suas transações.

5) Faça seu próprio diagnóstico em domínios suspeitos

Não importa se você encontrou o URL em um e-mail ou em um bate-papo: se não souber que é confiável, tome precauções e faça seus próprios testes on-line se não quiser acabar vítima de phishing.

• Faça uma pesquisa online para ver se o nome do site está associado a fraudes.
• Faça o diagnóstico de Navegação Segura do Google para verificar a autenticidade do site e se o site hospedou qualquer conteúdo perigoso no passado. Digite http://www.google.com/safebrowsing/diagnostic?site=www.seusite.com e verifique os resultados.
• Você pode verificar o domínio do site em http://www.malwaredomainlist.com/mdl.php. Se o domínio que você está verificando aparecer aqui, evite-o.
• Serviços como http://www.urlvoid.com/ e http://scanurl.net/ analisam sites por meio de vários mecanismos de lista negra e ferramentas de reputação online para detectar sites que hospedam conteúdo perigoso e gerar relatórios de phishing.
• Use http://www.dnsstuff.com/ da SolarWinds para obter mais detalhes sobre o IP e a propriedade de domínio de um site.

6) Analise logs para encontrar sinais e pistas
Especialmente em redes organizacionais, onde é difícil controlar as atividades de navegação na Web dos funcionários, a melhor abordagem para os profissionais de segurança é monitorar os logs de várias partes da infraestrutura de TI, como estações de trabalho dos usuários finais, softwares antivírus, IDS/IPS, servidor da Web, proxy da Web, servidor de DNS etc. Correlacionar esses logs em tempo real fornecerá uma consciência situacional para detectar padrões incomuns na rede, processos e serviços indesejados, sites de downloads, consumo de largura de banda etc. Assim, você pode identificar anomalias que podem ser ocasionadas por práticas inseguras de navegação na Web.
Nesta era digital de crimes cibernéticos, segurança não é um privilégio, mas uma necessidade. Mantenha-se seguro!

Dados do autor: Vinod Mohan é gerente da equipe especializada em marketing de produtos da SolarWinds.

Tags, , , , , ,

Redes sociais são principal alvo de phishing

Fonte: Executivos Financeiros

O volume de mensagens de phishing no tráfego de correio cresceu ligeiramente. Segundo os resultados do Relatório de Spam de maio, feito pela Kaspersky Lab, as redes sociais continuam a ocupar o primeiro posto na lista dos temas que são mais utilizados como meio de disseminação pelos phishers. O índice cresceu 0,5% e passou a atingir os 35,93%.

No golpe, os usuários recebem mensagens falsas, se passando pela rede social. Os links da mensagem levam a sites falsos onde as credenciais serão roubadas. Os sistemas de busca financeiros (14,95%) e os serviços de pagamentos (14,93%) trocaram de posições e agora ocupam o segundo e terceiro lugar, respectivamente.

A quarta posição continua a ser ocupada por empresas de TI (9,93%) e no, quinto posto, estão as lojas online (8,68%). Os fornecedores de serviços telefônicos e de Internet (8,39%) caíram uma posição, e agora ocupam o sexto lugar.

Trojans ZEUZ

A família de Trojans ZEUS/Zbot voltou a figurar entre os dez principais programas maliciosos que chegam aos usuários via mensagens de spam. De acordo com o relatório, a ameaça ocupa as segunda e terceira posição no ranking com 26,2% de participação.

O Trojan-spy.html.fraud.gen continua no primeiro lugar da lista dos programas maliciosos enviados por email. A ameaça é uma página de phishing, enviada diretamente pelos cibercriminosos, que possui um formulário para que os usuários introduzam seus dados pessoais. O objetivo desses criminosos é roubar essas informações.

De acordo com a pesquisa, o tráfego de spam no email sofreu uma redução de 2,5%, atingindo os 69,7%. O volume de mensagens phishing cresceu ligeiramente em maio, mês em que 2,8% de todas as mensagens eletrônicas continham arquivos maliciosos, um crescimento de 0,4% em comparação com o mês anterior.

Segundo os resultados, os países que mais criam spams continuam sendo a China, os Estados Unidos e a Coréia do Sul. O Brasil também figura na lista das 20 nações que mais criam spams no mundo, com 1% de participação nesse cenário.

Tags, , ,