[Segurança] O golpe da fatura em atraso

O golpe está ai! E esse está bem caprichado, pode enganar muita gente!

Os fraudadores estão enviando e-mails em nome da Claro com uma falsa notificação de que consta uma fatura em aberto. A mensagem vem com um boleto em PDF em anexo, para o cliente realizar o pagamento pendente.

A primeira vista o e-mail parece legítimo, pois tem um design caprichado e sem os tradicionais erros de Português. Ele também apresenta o nome completo do cliente e o endereço de e-mail (relacionamento@minhaclaroresidential.com) foi escolhido de forma a fazer referência a marca da Claro e a central de relacionamento, então pode facilmente enganar as pessoas mais distraídas.

Com tantos detalhes convincentes, a reação é abrir o PDF da segunda via da fatura que veio junto com a mensagem e pagar logo o boleto da fatura pendente.

Nessa hora vem a última pista que pode salvar o cliente desse golpe! É um pequeno detalhe, que provavelmente a maioria das vítimas desconhece e não iria conferir: o início do código de barras indica que esse é um boleto do Bradesco (banco 237), e não é uma conta de consumo, típica das operadoras de telefonia.

Mas, para ser sincero, eu até pensei que eventualmente p boleto poderia ser do Bradesco pois foi emitido por uma empresa de cobrança, que poderia ser parceira da Claro. Hora de chamar o VAR... kkkk... Pelo menos no meu caso, o valor da cobrança era diferente do quanto eu costumo pagar mensalmente de fatura pelos serviços da Claro. E, por final, eu conferi que não tinha faturas em aberto junto a operadora.

Minha dica final: Se você recebeu uma cobrança por e-mail, mesmo que pareça legítima, antes de pagar ligue para a empresa através de seus canais oficiais e confirme se tem conta em aberto.

[Segurança] O golpe do Pix agendado

Um novo golpe está se popularizando, aonde os criminosos usam engenharia social aproveitando que muitas pessoas ainda não estão completamente familiarizadas com o uso do Pix, o novo sistema de pagamentos instantâneos do Banco Central.

Os fraudadores aproveitam da funcionalidade de agendar uma transferência via Pix e, assim, enviam um recibo de um pix agendado para a vítima, dizendo que fizeram a transferência por engano. A vítima acredita que o pagamento foi feito e o fraudador pede para ela devolver o valor.

Detalhe: atualmente os bancos não tem obrigatoriedade de notificar o destinatário de um Pix, quando ele for agendado. Por isso, a instituição pagadora (o banco aonde o fraudador agendo a transferência) armazenam as informações da transação (como se, por exemplo, colocassem ela em alguma espécie de fila) e só realizam ela no dia prometido. Então, para aplicar esse golpe, os fraudadores enviam diretamente para a vítima o comprovante de agendamento do Pix - e a vítima não confere a data de realização da transação.

 

Vejam por exemplo um relato que está circulando em alguns grupos de whatsapp:

“Ontem lá no trabalho a tarde minha colega recebeu um pix de 250 reais mas estava na opção agendada

Ela ficou sem entender, de quem tinha feito, logo em seguida ela recebeu um zap de uma pessoa desesperada falando que tinha feito um PIX errado e caiu na conta dela,  e se ela podia devolver com urgência pq alguém dela estava esperando esse dinheiro.

Minha colega na hora ficou tão aflita devido o desespero da pessoa que quase transferia, mas ainda bem que estávamos com ela pois tinha um grande detalhe: 

PIX agendado para o dia 15 no caso ia cair hoje 16, então percebemos que isso é um novo golpe, então falamos para ela, para dizer a pessoa que iria devolver mas quando o dinheiro estiver na conta dela, pois ainda estava agendado!

Pois o dinheiro não entrou e a pessoa bloqueou ela”

Para quem é da época de fazer depósitos no caixa eletrônico, já existia um golpe semelhante: o fraudador fazia um depósito em uma conta, mas colocava no caixa eletrônico um envelope vazio. O crédito do valor declarado do suposto depósito aparecia no extrato da vítima, mas como os envelopes só eram abertos no final do dia, somente no dia seguinte a vítima descobria que nenhum depósito foi processado.

Moral da história? Sempre tome muito cuidado se alguém pedir para você devolver um valor transferido para a sua conta. Só faça isso após ter certeza de que realmente recebeu esse dinheiro. Verifique no seu extrato para confirmar o credo em conta e, na dúvida, procure o seu banco.

[Segurança] Top Women in Cybersecurity Latin America 2021

Após receber mais de 200 indicações, na sexta-feira 18 de junho a Womcy (Latam Women for Cybersecurity), em parceria com a Women in Security & Resilience Alliance (WISECRA), anunciou os nomes das 50 mulheres que foram eleitas como "'Top Women in Cybersecurity Latin America 2021". Este é o segundo ano do concurso, que elege as mulheres mais influentes no mercado de segurança da América Latina.

A seleção das candidatas foi baseado em 5 critérios:

1. Ter atingido um alto nível de conquista, conforme determinado por padrões nacionais ou internacionais;
2. Promovido uma causa social ou humanitária com impacto regional ou nacional, em um papel de liderança;
3. Conseguido reconhecimento como especialista ou líder em um domínio específico dentro da cibersegurança;
4. Surgido como pioneira em um setor novo ou não tradicional (inclusive como a primeira em um campo específico);
5. Contribuído de maneira significativa para eventos na região da América Latina.

Das 50 mulheres eleitas, 12 delas são brasileiras \o/

Veja o anúncio de todas as vencedoras nesses vídeos: grupo 1, grupo 2 e grupo 3.

Devido a falta de profissionais do sexo feminino no mercado de segurança e a cultura machista desse mercado, a participação feminina é muito baixa. Por isso mesmo, é extremamente importante que as mulheres interessadas em trabalhar nessa área identifiquem profissionais que possam servir como referência e exemplo de sucesso na carreira.

Embora seja, minoria, as mulheres tem presença marcante no mercado de tecnologia e no de segurança, e muitas delas conseguem atingir um merecido destaque na carreira. Felizmente, o mercado de trabalho e as empresas também estão amadurecendo e valorizando a diversidade, e com isso a participação feminina no trabalho, nos postos de liderança e até mesmo nos eventos tem crescido consideravelmente.

[Humor] Expressões de TI em português

O pessoal do Grego Dictionary fez um post legal recentemente, com as expressões de TI traduzidas para o português do Brasil:

[Segurança] Roubo de celulares e fraude bancária

Neste Domingo, 13/06, o jornal Folha de São Paulo publicou uma reportagem sobre um golpe que tem ocorrido com muita frequência atualmente (e há pelo menos um o 2 anos): o roubo de aparelhos celulares seguido pelo acesso as contas bancárias para roubo do dinheiro.

Segundo a reportagem, em São Paulo existem diversas quadrilhas especializadas em furtar os aparelhos celulares com o propósito específico de acessar os aplicativos bancários para subtração de valores das contas das vítimas. O principal alvo dos criminosos são os aparelhos que já estão desbloqueados pelos próprios usuários - e isso é super fácil de conseguir hoje em dia: com as pessoas que andam na rua distraídas usando o seu celular ou com os motoristas parados no trânsito, usando o Waze (basta um motoqueiro passar de lado, enfiar a mão pela janela e quando você percebe, seu celular já foi embora - desbloqueado).

O roubo de celulares é super frequente: na cidade de São Paulo, aonde são roubados pelo menos 527 celulares por dia (ou seja, um celular a cada 3 minutos).

Mas, nesse caso, estamos falando de quadrilhas especializadas em roubar celulares, preferencialmente desbloqueados, com o objetivo específico de acessar a conta bancária da vítima e transferir todo o dinheiro dela pelo app do banco. Os criminosos também se aproveitam da agilidade do Pix para transferir todo o saldo da conta da vítima e pulverizar em vários contas em nome de laranja. Se possível, o criminoso ainda pede empréstimo pelo app para conseguir roubar mais dinheiro ainda! Mesmo com as proteções de bloqueio do celular e o uso de biometria e senhas no app dos bancos, esse golpe está muito frequente, e assusta suas vítimas.

Ainda segundo a reportagem da Folha, os bancos não têm ressarcido as vítimas quando a fraude ocorre com o uso da senha pessoal, argumentando que ouve falha do cliente: "a obrigação dos clientes é guardar a senha. Se vazou, é porque a pessoa foi displicente na guarda".

Com o acesso ao celular, os criminosos também podem aproveitar que alguns apps de e-commerce mantém os dados de cartões salvos e não pedem senha de acesso, incluindo apps de delivery. Com isso, eles realizam diversas compras em nome da vítima.

Olha essa frase "matadora" reproduzida pela reportagem da Folha: "Isso está sendo feito por meio de um exército de hackers".

Na verdade, o golpe costuma ser muito mais simples, baseado na boa e velha engenharia social, combinada com péssimos hábitos de segurança da maioria da população. Os criminosos buscam uma forma de descobrir a senha do aparelho e do banco, e assim, conseguem concretizar a fraude. Em muitos casos, a senha é fácil de ser adivinhada ou está anotada no aparelho.

Com o celular roubado em mãos, se ele estiver desbloqueado os criminosos podem aproveitar para alterar a configuração de descanso de tela, para que ele não bloqueie por tempo de inatividade. Caso contrário, se o celular estiver bloqueado, os criminosos tentarão descobrir a senha de desbloqueio do aparelho.

E como eles conseguem descobrir as senhas das vítimas e realizar as transferências bancárias?

• Uso de senhas fáceis: Esse é o principal problema. Afinal, as senhas de desbloqueio de celular e do app bancário costumam ser senhas numéricas curtas, de 4 ou 6 números. Junte a isso o fato de que a grande maioria das pessoas usa senhas fáceis de serem adivinhadas, como datas comemorativas (data de nascimento) e sequencias numéricas triviais (como 1234, 0000, etc). Além disso, é muito comum o reuso da senha: a mesma senha sendo utilizada em sites e aplicativos diferentes. E isso acontece também com a senha do banco: muitas pessoas usam a mesma senha em vários bancos diferentes, e se bobear, ainda vão usar essa mesma senha para desbloquear o celular. Dessa forma, se o criminoso descobrir uma única senha da vítima, conseguem ter acesso a muita coisa em seu aparelho;
• Anotar a senha no aparelho celular: É comum que os usuários acabem armazenando suas senhas no próprio aparelho, anotadas em um bloco de notas, salvas no navegador ou até mesmo compartilhando suas senhas em mensagens instantâneas, no Whatsapp. Por isso, os criminosos usam o recurso de busca no aparelho para procurar por senhas. Para piorar, quando a pessoa usa uma data de nascimento como senha, o criminoso consegue descobrir a data olhando nos apps com documentos de identificação, como a carteira de motorista digital;
• Recuperação da senha: Se o criminoso tiver dificuldade de adivinhar a senha, ele tenta recuperá-la, um recurso que pode ser facilmente explorado pelos fraudadores com acesso ao aparelho - afinal, a senha nova provavelmente será enviada por SMS ou e-mail, que o criminoso conseguirá visualizar no celular da vítima. Se o celular estiver desbloqueado, ele pode acessar seus e-mails (pois normalmente os apps ficam acessíveis sem senha) para pedir o reset das senhas de apps e serviços que você utiliza, que normalmente vão para o e-mail cadastrado (aquele que já está aberto no seu celular, lembra?). Se o reset de senha for por SMS e o celular estiver bloqueado. não tem problema: o criminoso simplesmente coloca o chip SIM em outro aparelho, dele mesmo, e acessa os sites e apps para pedir a recuperação da senha. Nesse caso, o SMS usado para recuperar a senha vai para o celular do criminoso. O envio de senhas por SMS é um recurso de 2o fator de autenticação muito popular, e nessa hora ele mostra sua fragilidade :(
• Phishing para roubar a senha do celular: É comum que as vítimas, após terem seu celular roubado, comecem a receber mensagens de phishing simulando os alertas de que o celular foi encontrado. Esse golpe é muito usado para roubar a senha do iCloud ou Google Play, como por exemplo no recurso "Find my iPhone", da Apple. Ao acessar o link da mensagem, a vítima cai em um site falso e fornece sua senha para o criminoso;

• É muito fácil burlar a biometria do seu aparelho celular: Para ser sincero, a biometria do seu aparelho é uma facilidade de uso, uma conveniência ou um "fru-fru", se preferir chamar assim. Ela não é um recurso de segurança, já que pode ser facilmente burlada. Isso porque, após algumas tentativas de leitura da sua digital ou face sem êxito, o aparelho pede a sua senha numérica. Se o criminoso descobre a senha do aparelho, ele consegue burlar a validação biométrica e, até mesmo, cadastrar a biometria dele no seu aparelho! E, pior ainda: a biometria do celular dá uma falsa sensação de segurança, pois o usuário acredita que seu app está protegido por biometria, quando na verdade esse recurso pode ser burlado facilmente.

Como evitar esse golpe?

• Evite andar na rua usando o celular. Jamais use quando estiver andando, deixe ele guardado e só use em lugares seguros. Se estiver no carro, deixe o aparelho em um local mais escondido, longe da vista de quem está de fora do carro, ou no centro do painel;
• Tenha dois celulares, um para o uso no dia-a-dia e outro só para uso com apps bancários e de compras online;
• Cuide com carinho das suas senhas. Use senhas fortes, difíceis de serem adivinhadas, e não use a mesma senha em sites e apps diferentes;
• Não anote suas senhas, nem compartilhe com outras pessoas. Não anote em blocos de notas, nem salve no navegador. Se precisar compartilhar uma senha via WhatsApp, apague ela após a outra pessoa visualizar, assim pelo menos ela não aparece no seu histórico de conversas;
• Coloque senha no seu chip SIM, para que ele não possa ser utilizado em outro aparelho e evitar que os criminosos consigam recuperar suas senhas;
• Evite armazenar dados pessoais em seu celular, pois eles podem ser utilizados para descobrir suas senhas (nem deveria, né?) e também para obter mais informações sobre a vítima (você);
• Desabilite a notificação de mensagens no celular quando ele estiver com tela bloqueada. Assim o criminoso não consegue enviar SMS de recuperação de senha mesmo com seu celular bloqueado;
• Verifique e diminua seus limites para transferência. Vários bancos permitem que você altere os seus limites diários de transferência bancária e via Pix. Se possível, diminua esses limites para valores bem baixos;
• Se tiver o seu aparelho roubado:
• Avise o seu banco imediatamente assim que tiver o seu celular roubado e peça para ele desabilitar o acesso na sua conta a partir do aparelho roubado;
• Apague os dados do seu aparelho, remotamente (esse recurso existe para Android e iPhone);
• Avise sua operadora e peça para bloquear sua linha e o IMEI do aparelho;
• Faça um B.O. na delegacia mais próxima.

Para saber mais:

• Criminosos de SP agora roubam celulares para limpar contas bancárias das vítimas
• O que fazer antes que seu celular seja roubado (artigo muito legal no portal Mente Binária)
• How my iPhone got double-stolen
• How my iPhone got double-stolen, episode 2
• Procon notifica Apple e Febraban por fraudes bancárias com celulares furtados
• Vereador de SP tem celular furtado no trânsito, e bandidos limpam dinheiro de contas bancárias
• Mais de 100 milhões de celulares já foram roubados ou furtados no Brasil
• Veja bairros e ruas de SP com maior número de roubo de celulares
• Criminosos usam bicicletas para furtar celulares em SP
• Vereador de SP tem celular furtado no trânsito, e bandidos limpam dinheiro de contas bancárias
• Febraban orienta sobre transações bancárias após roubo de celulares; confira as dicas de segurança
• Golpes financeiros em smartphones são reflexo de má segurança de empresas e usuários, diz especialista
• Dicas da Kaspersky: O que fazer se seu telefone for roubado

PS: Post atualizado em 18, 19, 21, 22 e 23/06.

[Segurança] Olha o golpe do falso investidor

Uma reportagem recente do portal 6 Minutos falou sobre o caso que aconteceu com o influenciador financeiro Murilo Duarte, dono do canal Favelado Investidor: um fraudador entrou em contato com seus seguidores oferecendo para investir dinheiro para eles.

O fraudador, inicialmente, criou um perfil fake no YouTube para se passar pelo dono do canal, usando o mesmo nome e mesma foto do perfil real. Com essa conta, o fraudador passou a comentar os vídeos do canal e entrava em contato direto com os demais usuários, passando um número de WhatsApp aonde ela pedia para transferir dinheiro que ele (o fraudador) iria realizar investimentos para ela.

Para evitar esse golpe, a primeira coisa é sempre desconfiar. Desconfie de promessas de ganho de dinheiro fácil. Ao ser contactado por alguém, tente verificar se é a pessoa real, se o perfil não é fake. 

PS: Eu procurei alguma informação sobre esse golpe no perfil do Favelado Investidor no Twitter e no seu canal do YouTube, mas não encontrei. Mas, na minha busca, achei essa notícia de janeiro do ano passado em que um perfil falso no Instagram, em nome do Mercado Bitcoin, tentava aplicar golpes nos clientes da empresa, oferecendo lucros de 30% para depósitos em Bitcoin. Achei interessante citar isso para lembrar que esses golpes não são novidade.

[Segurança] O maior vazamento de senhas que nunca vazaram

A imprensa correu para anunciar e repercutir aquele que foi considerado o maior vazamento de senhas de toda a história: cerca de...

8,4 bilhões de senhas

... que foram expostas em um arquivo com 100GB que foi publicado em um fórum online, com o nome de 'RockYou2021. Isso é quase o dobro de senhas do que a população do planeta!

Segundo a CyberNews, o arquivo é simplesmente o compilado de senhas obtidas de diversos vazamentos pré-existentes, fato confirmado pelo Troy Hunt. O Troy Hunt, que é o responsável pelo excelente site Have I Been Pwned, foi além: segundo ele, além de senhas de vazamentos anteriores, essa coletânea também é inflada por alguns conjuntos de palavras ("dicionários") pré-existentes, incluindo todas as palavras da Wikipedia e de livros disponíveis online no projeto Gutemberg. Ou seja, muitas informações nesse arquivo nem ao menos são senhas reais.

Além disso, vale destacar que esse arquivo é apenas uma grande (gigante!) coletânea de senhas, sem usuários associados a elas. Isso diminui muito o seu potencial ofensivo.

[Segurança] Sequestraram a picanha (ou seja, a JBS sofreu ataque de ransomware)

Malditos hackers! Não perdoam nem a nossa picanha do dia-a-dia!

Depois da Colonial Pipeline, os ataques de ransomware fizeram mais uma vítima famosa e ganharam mais destaque na empresa: a filial americana da JBS foi invadida por ransomware.

Eu não vou fazer uma cobertura tão detalhada aqui no blog como fiz no caso da Colonial Pipeline, mas acho importante registrar pois esses dois casos tem levantado muito a discussão sobre (1) os ataques de ransomware a empresas relacionadas a infra-estrutura crítica dos países (no caso, combustíveis e alimentação, respectivamente) e (2) se as empresas devem pagar o resgate para recuperar seus sistemas.

No dia 30 de maio a JBS na Austrália e nos EUA sofreram um ataque de ransomware e ficaram alguns dias fora de operação. Segundo o FBI, a empresa foi vítima do ransomware REvil, desenvolvido por ciber criminosos russos e que está em operação desde abril de 2019. A JBS disse que decidiu pagar o resgate de aproximadamente 11 milhões de dólares (em bitcoins) para evitar que seus dados fossem vazados, mesmo após ter conseguido recuperar seus sistemas.

A JBS do Brasil anunciou que sua operação local não foi afetada pelo ciber ataque.

Para colocar mais lenha na fogueira, segundo funcionários da empresa, entre 2017 e 2018 a JBS contratou uma auditoria que idenftificou a necessidade de investir em ferramentas de segurança. Os executivos da JBS teriam considerado tecnologia de monitoramento muito cara e se recusaram a comprá-la. Segundo relatos, a segurança cibernética era tratada como uma questão “secundária” e os executivos estavam focados no corte de custos.

Mas, sinceramente, o que eu vejo no mercado desde sempre é que tirando os bancos, empresas de telecom e algumas empresas de tecnologia, quase ninguém mais investe ou sequer se preocupa com segurança. Com a JBS, uma empresa do setor de alimentação, não seria diferente :(

O caso da JBS levanta uma preocupação sobre um aspecto relevante na discussão sobre o pagamento, ou não, dos resgates de ransomware: a necessidade de garantir que os dados exfiltrados durante o ataque não sejam divulgados. Recentemente, o hospital Sturdy Memorial Hospital, em Massachusetts (EUA), optou por pagar o resgate exigido pelos ciber criminosos apesar de ter recuperado seus sistemas imediatamente após um ataque de ransomware. Isso porque eles queriam garantir que os dados exfiltrados fossem destruídos, incluindo dados de pacientes.

Esses ciberataques recentes de ransomware contra grandes empresas tem atraído grande atenção da imprensa e do governo americano. O governo dos EUA já fala em endurecer as penas e igualar os ataques de ransomware ao crime de terrorismo. Além disso, como todos os ataques recentes partiram de grupos criminosos russos, isso afetou o relacionamento dos EUA com a Rússia e promete colocar o Joe Biden frente a frente com o Vladmir Putin.

Outras vítimas famosas e recentes de ransomware incluem a Bose e a Toshiba.

Para saber mais:

• JBS Foods sofre ciberataque e interrompe produção na Austrália e nos EUA
• FBI acusa grupo REvil de ser o responsável pelo ransomware que atingiu a JBS
• Beef Supplier JBS Paid Hackers $11 Million Ransom After Cyberattack
• JBS não priorizou gastos em segurança cibernética, dizem fontes à Bloomberg
  
• White House Urges Businesses: Improve Ransomware Defenses
• JBS confirma pagamento de R$ 55 milhões pelo resgate dos dados criptografados; Brasil era foco dos cibercriminosos

PS: Post atualizado em 14/06.

[Segurança] Fraudes nos pagamentos online

Segundo estimativa apresentada em um estudo da consultoria Juniper Research, o comércio eletrônico global pode perder até US$ 20 bilhões (cerca de mais de R$ 100 bilhões) com fraudes em 2021. Este valor representa um aumento de 18% comparado com os US$ 17,5 bilhões registrados em 2020.

O estudo destacou o impacto da pandemia. Normalmente sempre lembramos que muitos clientes começaram a usar o e-commerce pela primeira vez, e assim foram vítimas fáceis para esquemas de fraude online. Mas o estudo da Juniper Research também destacou que as empresas também tiveram que se adaptar para o e-commerce repentinamente, e muitas não estavam preparadas para enfrentar os cenários de fraude online.

Outro destaque é que o grande número de vazamento de dados facilita o roubo de identidade e a criação de cadastros falsos.

Para saber mais:

• Estudo estima prejuízos no e-commerce de até US$ 20 bi em 2021. Podemos prevenir?
• Press release: eCommerce Losses to Online Payment Fraud to Exceed $20 Billion Annually in 2021
• Infográfico: Online Payment Fraud Statistics
• Link para o relatório, que é vendido: Online Payment Fraud

[Segurança] Fraudes nos pagamentos online em 2021

[Segurança] Template de relatório de resposta a incidentes

O site The Hacker News disponibilizou um template criado pela Cynet para relatórios de resposta a incidente, batizado por eles humildemente de "the Definitive 'Incident Response for Management' Presentation Template". Eles disponibilizaram esse template para download, em formato de apresentação do Power Point.

O material é uma boa referência para quem não tem um relatório padrão para documentar os incidentes de segurança ou para quem está disposto a revisar seu relatório atual, com novas idéias.

O template tem páginas específicas para documentar, de forma concisa e objetiva, os diversos estágios do processo de resposta a incidentes:

• Identificação do ataque, como ele foi detectado e risco potencial;
• Contenção da causa raiz do ataque, o escopo (ativos que foram comprometidos), ações realizadas e status;
• Erradicação do ataque na infraestrutura da empresa, indicando inclusive a extensão de seu sucesso;
• Recuperação pós-incidente, identificando os ativos afetados e quais deles já foram restaurados;
• Lições aprendidas, incluindo uma linha do tempo do ataque e ações de resposta.

Todas as páginas seguem um design semelhante, aonde as informações estão estruturadas em pequenas tabelas, com os espaços em branco referentes aos dados que devem ser preenchidos.

Para saber mais:

• Report to Your Management with the Definitive 'Incident Response for Management' Presentation Template
• How to write a cyberthreat report executives can really use