março 31, 2017

[Segurança] Estatísticas de fraude no e-commerce

A CyberSource, uma empresa de análise de fraudes da Visa, anualmente apresenta um estudo com estatísticas de fraude no comércio enetrônico.

Veja um resumo das principais estatísticas de 2016 para os EUA, além de alguns dados da Inglaterra e América Latina:

  • 83% dos lojistas online nos EUA fazem revisão manual dos pedidos para tentar identificar fraude (50% na Inglaterra e 83% na América Latina);
  • 29% dos pedidos são revistos manualmente (22,5% na Inglaterra e 29% na América Latina);
  • As perdas por fraude representam 0,8% da receita via web nos EUA;
  • 2,8% dos pedidos são rejeitados por suspeita de fraude (8% na América Latina);
  • 10% dos pedidos rejeitados por suspeita de fraude por empresas americanas eram, na verdade, genuínos ("falso positivo");
  • 1,4% de todas as vendas são extornadas ("çharge back") na América Latina.




março 28, 2017

[Segurança] Novo golpe de engenharia social assusta clientes bancários brasileiros

Recentemente eu tenho ouvido relatos de diversos colegas sobre uma nova modalidade de fraude bancária, baseada em engenharia social - histórias que também ouvi de outros colegas que trabalham em alguns bancos.

Resumindo o ciber criminoso liga para a vítima se passando pelo área de fraude do seu banco, tenta obter a senha do cliente para, em seguida, realizar a fraude verdadeira.

Tudo começa quando o cliente recebe uma ligação telefônica de alguém que se idenbtifica como funcionário da área de fraude do Banco (nesse momento, ele sabe que a vítima possui conta naquele banco e conhece alguns dados pessoais, para que a ligação pareça real). Então o criminoso informa que o banco recebeu uma notificação de fraude na conta do cliente (ex: uma tentativa de pagamento ou de depósito de um cheque, com divergência de assinatura) e pergunta para a vítima se ela reconhece essa transação. Após a vítima dizer que não fez a tal transação (que não existe), o criminoso segue um procedimento aparentemente normal para fazer a análise do caso e o cancelamento da suposta fraude, porém nessa hora ele pede algumas informações do cliente, incluindo o CPF, endereço IP e, claro, as senhas eletrônicas.

Nesse momento ele vai tentar obter a senha do cliente: o fraudador menos sofisticado pode tentar perguntar a senha por telefone (alguns clientes falam!), mas os relatos que ouvi incluem o caso de enviar um link para um site falso ou, pior ainda, em alguns casos eles redirecionam o cliente para uma simulação do "atendimento automático" aonde ele vai se autenticar. Neste último caso, é realmente uma simulação idêntica do atendimento eletrônico do Banco, aonde uma voz idêntica a utilizada pelo Banco pede a senha e o cliente digita no telefone.



Com os dados acima, o criminoso consegue acessar a conta do cliente e, aí sim, realizar uma fraude de verdade, efetuando pagamentos através da conta da vítima. Esse golpe tem atingido clientes de vários bancos, segundo alguns colegas que em relataram isso (que, inclusive, receberam a ligação imitando o call center e o atendimento eletrônico).

Para evitar cair nesse tipo de golpe, devemos tomar cuidado com ligações recebidas do nosso banco. Sempre que receber esse tipod e ligação, jamais fazer nada que forneça algum dado seu ao atendente. Se o atendente começar  apedir informação, diga que você prefere ligar para o banco e resolver o assunto.

Avançando um pouco mais no nível de paranóia, tenho um conhecido que sempre digita a senha errada na primeira tentativa. Ele também foi alvo dessa tentativa de draude, e quando recebeu a ligação e pediram para ele entrar com a senha no suposto "atendimento eletrônico", ele digitou errado e foi aprovada. Nessa hora ele percebeu que era um golpe.

O interessante é tentar imaginar como os ciber criminosos conseguiram os dados dos clientes para fazer o golpe, pois eles precisam no mínimo cruzar o nome, o telefone, e os dados da conta da vítima (banco, agência e conta). Ou, no mínimo, precisam saber o nome, telefone e que banco o cliente usa. Se pararmos para pensar, há uma dezena de serviços que assinamos no nosso dia-a-dia e que possuem estes dados (empresas, alguns aplicativos no celular ou cadastros diversos), então não deve ser difícil que alguma dessas bases de dados possa ter vazado e caído nas mãos dos criminosos.

março 24, 2017

[Segurança] Quem quebrou a criptografia do Enigma?

O canal Quite Interesting publicou recentemente um vídeo bem legal e divertido, chamado "Who Cracked Enigma?", que mostra uma conversa que começou com a pergunta "Quem foi o primeiro a quebrar o codigo da Enigma?".


Embora o matemático britânico Alan Turing tenha sido imortalizado por Hollywood por ter liderado esse feito na Inglaterra durante a II Guerra Mundial, o apresentador lembrou muito bem que os primeiros a desvendarem o funcinamento da Enigma foram os Poloneses, liderados pelo matemático e criptoanalista Marian Rejewski no início da década de 1930. Antes mesmo da 2a guerra os militares alemães já usavam estas máquinas para criptografar suas comunicações, e os poloneses conseguiram decifrar até 1938, quando uma versão mais complexa da Enigma começou a ser produzida.

Durante a conversa, um dos momentos engraçados foi quando eles lembraram que os britânicos construiram o Colossus, o primeiro computador do mundo, que foi utilizado para decifrar as mensagens dos alemães durante a guerra. por ser um projeto secreto, ninguém sabia disso e por muito tempo os britânicos não tiveram esse reconhecimento. Pior: eles deram os planos do Colossus para a CIA!

março 23, 2017

[Segurança] Buzzword do momento: Machine Learning

Constantemente o mercado de tecnologia (e, em especial, o de segurança) escolhe uma nova Buzzword para divulgar novas tecnologias e produtos.

Mal deu tempo de consolidar, ao menos no Brasil, o uso da buzzword "Cyber Threat Intelligence", e ela já foi atropelada por uma nova:

Machine Learning

Seu produto de segurança consegue identificar novos tipos de ataques? E ataques avançados? Zero Days?

Para que isso seja possível, você vai precisar que suas ferramentas de segurança utilizem "Machine Learning" (ou ML, para os mais íntimos). Sim, é um tipo de "inteligência artificial", mas com um nome diferente para reciclar o termo. Na ÏBM, eles preferem chamar ML de Computação Cognitiva e já há alguns projetos para utilizar o Watson da IBM como a super hiper mega inovação capaz de ajudar empresas a detectar ameaças e ataques de segurança.

março 21, 2017

[Segurança] Raio X do ciber crime brasileiro

Há algum tempo atrás a Kaspersky e a Trend Micro publicaram seus relatórios específicos sobre o crime cibernético no Brasil. Os dois relatórios são muito bons (apesar da Kaspersky pisar na bola em mostrar alguma sfotos de mais de 3 anos atrás) e merecem ser lidos. Se juntar os dois, temos uma análise bem commpleta de como os ciber criminosos se organizam e que técnicas utilizam.

O Fabio Assolini, da Kaspersky, resume muito bem o cenário brasileiro: “Há muitas campanhas criminosas voltadas especialmente para os brasileiros. Além disso, a legislação nacional é muito vaga em relação à crimes digitais. Se você une tudo isto ao vasto comércio de produtos e serviços entre criminosos locais, nota o quanto a realidade digital brasileira pode se tornar complexa para empresas que não contam com especialistas em segurança de TI no País”.

Ou seja, temos muitos ciber criminosos e um mercado underground intenso, que tem um terreno fértil para atuar graças a uma legislação muito fraca, repressão policial ineficiente e com uma população de usuários e empresas despreparadas para se defender online.

As principais características do ciber crime no Brasil, segundo os dois relatórios, são as seguintes:
  • O cibercrime local se concentra em fraudes contra alvos brasileiros (pessoas e empresas);
  • Apesar do foco local, existe alguma colaboração entre ciber criminosos brasileiros e da Europa Oriental. Eles compartilham conhecimento, trocam favores e compram serviços, tais como hospedagem protegida para os malware nacionais;
  • A legislação brasileira é fraca e o nosso sistema judiciário não consegue punir os criminosos de forma eficaz, o que gera uma forte percepção de impunidade. Afinal, os ciber criminosos passam pouco ou nenhum tempo presos. Proliferam exemplos de criminosos que anunciam seus "produtos" ou "serviços" abertamente em fóruns e até mesmo redes sociais, ou que ostentam o dinheiro que ganharam nas redes sociais, e em vídeos;
  • O Brasil é um dos principais países em termos de ataques financeiros através de trojans bancários;
  • Uma das principais formas de monetização (obter dinheiro real a partir de crimes virtuais) é a fraude dos boletos, um tipo de fraude bem específica do Brasil (pois só aqui que existe esse monstro chamado "boleto bancário");
  • Frequentes falhas de segurança em serviços online dos mais diversos órgãos do governo expõem dados sigilosos de cidadãos brasileiros, que os ciber criminosos utilizam para cometer fraudes ou comercializam. A Kaspersky dá o exemplo de uma base de dados do Detran de São Paulo, de 2014, sendo vendida nos fóruns underground. Um ataque direcionado ao sistema do Ibama permitiu reaver a licença de 23 empresas suspensas por crimes ambientais e, em 10 dias, foram extraídos 11 milhões de reais em madeira;
  • O mercado underground brasileiro (ou C2C, de um criminoso para outro) é um terreno fértil para colaboração entre criminosos e o compartilhamento de serviços, informações e ferramentas. Um ciber criminoso nem precisa ter muita experiência nem conhecimento, pois consegue encontrar praticamente todos os serviços que possa precisar: códigos maliciosos, criptografia para malware, hospedagem, envio de SPAM, etc;

Nota: Link corrigido em 22/3.

março 17, 2017

[Cyber Cultura] Garoa Hacker Camp 2017

Dias 1 e 2 de abril de 2017 vai rolar o Garoa Hacker Camp 2017. Durante um final de semana, vamos nos reunir em um sítio a 40 km do centro de São Paulo para hackear, conversar, fazer oficinas e, quem quiser, pode até pescar sua própria comida.


O Garoa Hacker Camp é um acampamento hacker que nós do Garoa pretendemos organizar periodicamente, inspirado em outros eventos nesse formato existentes no mundo, e com mais tradição, como o Chaos Communication Camp, que acontece a cada 4 anos na Alemanha, e o SHA2017, que ocorre este ano na Holanda (que também ocorre a cada 4 anos e está em sua oitava edição). O objetivo é realizar um evento técnico ao ar livre, em um ambiente totalmente descontraído e diferente do nosso dia-a-dia, promovendo uma melhor confraternização entre os participantes.

Um hacker camp permite viver uma experiência única e bem diferente da que estamos acostumados nos eventos tradicionais. Claro que não é todo mundo que gosta de acampar, por isso optamos por buscar um lugar que tivesse uma infra-estrutura que também oferecesse quartos e camas "tradicionais". Há alguns anos atrás nós fizemos um evento de testes, que chamamos de Garoa Hacker Camp Zero.


Para saber mais sobre o evento, visite a nossa página no site do Garoa.

março 15, 2017

[Segurança] A NSA e a CIA me seguem!

Na edição do Roadsec que aconteceu recentemente em Brasília eu apresentei uma palestra sobre espionagem governamental, com o objetivo de fomentar o debate sobre como podemos tentar recuperar a nossa privacidade em um mundo super vigiado como o de hoje.


A palestra, batizada de "A NSA me Segue", foi baseada em uma atualização de uma mini-palestra que preparei em 2013, na época focada em discutir os vazamentos do Edward Snowden. Desta vez, além de discutir os novos vazamentos do Wikileaks sobre as capacidades de espionagem da CIA, a agência de inteligência americana, eu também tentei discutir como podemos tomar algumas pequenas atitudes para preservar um pouco de nossa privacidade online. Em breve pretendo criar um post mais detalhado sobre este assunto.

março 14, 2017

[Segurança] Vazamento de Sex Toys

Eu já comentei aqui sobre a "Internet of (Sex) Toys", ou seja, objetos eróticos com processamento embarcado e acesso a internet.

Se alguém achava que isso poderia ser problema, tinha razão!

Um fabricante Canadense de brinquedos eróticos foi condenado a pagar 3 milhões de dólaree americanos aos seus clientes, pois eles estavam coletando dados sobre os hábitos sexuais sem o consentimento prévio. Cada cliente da Standard Innovation que utilizou o alicativo We-Vibe 4 Plus da empresa vai receber uma indenização de US$ 7.400.


O vibrador pode ser controlado remotamente por um aplicativo através de Bluetooth, permitindo assim que os casais "se conectem de maneiras novas e excitantes". Mas, quando utilizado, a empresa recolhia os dados pessoais sobre o uso do aparelho sem o conhecimento dos clientes. Informações sobre a freqüência com que os dispositivos foram utilizados, por quanto tempo, a temperatura do dispositivo e a intensidade de vibração eram enviados à Standard Innovation.

Sem falar que ele possuía vulnerabilidades que permitiam o seu acesso não autorizafo.

março 12, 2017

[Cidadania] Machismo na universidade

O pessoal da Escola Politécnica da USP fez um vídeo excelente com depoimentos corajosos e emocionantes de alunas que sofreram assédio, desrespeito e abuso dentro da faculdade, com casos na Poli e algumas outras faculdades da USP.

São depoimentos registrados em vídeos e frases, com histórias pessoais e impressionantes de ofensas verbais e físicas feitas por professores e estudantes durante as aulas e nas festas da faculdade. O assustador é saber que comentários machistas e sexistas também partem dos professores, justamente quem deveria dar o exemplo e cuidar para que todos os alunos e alunas fossem tratados de forma igual. Nem mesmo a atual Vice-diretora da Poli escapou ilesa de preconceito quando era estudante.


USP - Aqui não! from RM Imagens | Ricardo Mereu on Vimeo.


O vídeo encerra com a a coordenadora do projeto USPMULHERES lembrando que os frequentadores da universidade são exatamente iguais ao resto da sociedade, e as situações que acontecem nas ruas
não são diferentes daquelas que acontecem dentro da universidade. Fomos educados em uma sociedade patriarcal e machista, que discrimina as mulheres, e ainda não mudamos esses costumes, valores nem o nosso comportamento.

Mas, mesmo sendo um espelho da sociedade que nos cerca, nós podemos e devemos nos esforçar para mudar esse comportamento, devemos respeitar as mulheres e acabar com essa cultura do estupro e da desqualificação da inteligência das mulheres.

março 10, 2017

[Cyber Cultura] Glossário do Cyber Bullying

O pessoal da Norton (da Symantec) criou um guia sobre cyber bullying, que no final contém um pequeno glossário de termos e gírias mais utilizados no meio digital e que são relacionados a esta prática monstruosa.

Eu resolvi aproveitar este guia para dar destaque a estes termos e gírias que são mais utilizados online, complementando com mais alguns que conheço:
  • AFF: Interjeição usada para demonstrar descontentamento ou indignação. A sonoridade da palavra lembra um suspiro por falta de paciência;
  • BBQ ou BBK: Redução do termo “babaca”, utilizado como insulto;
  • Face: abreviação de Facebook;
  • Fake: Significa “falso”, em inglês. O termo é usado para identificar quando alguém cria um perfil falso na internet ou pode ser usado também como insulto contra alguém;
  • Falsiane: Usado para descrever as amigas que não merecem confiança;
  • Feminazi: Expressão pejorativa para desiginar pessoas que defendem os direitos das mulheres;
  • Haters: pessoas que frequentemente manifestam raiva ou ódio contra alguma coisa ou alguém;
  • Inbox ou DM: refere-se a conversas privadas nas redes sociais, quando você sai de uma discussão pública e passa a conversar diretamente com uma pessoa, através de uma janela privada ou um aplicativo de mensagens instantâneas;
  • Insta: Apelido do "Instagram", a rede social de compartilhamento de fotos muito utilizada atualmente;
  • Loser: adjetivo usado para chamar alguém de perdedor ou fracassado;
  • Melhore: expressão usada para chamar a atenção de alguém que fez alguma coisa considerada ruim;
  • Noob: Gíria pejorativa que significa “novato”. Também usada para indicar que a pessoa é imbecil ou burra;
  • Nudes: Fotos de nudez;
  • PLMDDS: Abreviação de “pelo amor de Deus”, usado para pedir um favor ou expressar indignação;
  • PQP, TNC, VTNC, PNC, VSF, WTF, STFU: São siglas para expressões populares de baixo calão;
  • Sambar: Gíria comum na Internet, geralmente usada por mulheres, que quer dizer “sair por cima” ou “se sobressair”. Seria o mesmo que pisar, humilhar e desmoralizar alguém;
  • Seje menas: Sim, com erros gramaticais propositais, esta expressão é usada para ironizar a capacidade intelectual de alguém ou desdenhar alguma coisa que essa pessoa disse;
  • SQN: “Só que não”, é usado para expressar ironia, negando uma frase que foi dita anteriormente;
  • Trollar, trollagem: Significa zoar, sacanear alguém;
  • Virjão, Virje: Termo pejorativo usado para definir pessoa do sexo masculino que nunca teve relação sexual, mas também utilizado para dizer que a pessoa é inexperiente, sem conhecimento;
  • Whatz, ZapZap: abreviação para o aplicativo Whatsapp.

março 08, 2017

[Segurança] IoT espião

Já não devia ser novidade para ninguém o risco de sermos monitorados inadivertidamente pelos diversos dispositivos tecnológicos que nos cercam, desde o vazamento irresponsável de dados coletados por brinquedos inteligentes até Smart TVs sendo infectadas pela CIA para espionagem.

Desde a famosa "webcam no notebook" (que preocupa o Mark Zuckerberg e até mesmo o Papa), frequentemente vemos notícias que nos mostram o risco representado pelos equipamentos e dispositivos conectados na Internet e que ficam constantemente "vendo" e "ouvindo" o ambiente. Tal onda tecnológica começou provavelmente com os smartphones que reconheciam comandos de voz (ou transcrevem textos a partir da voz) e atualmente tal recurso está espalhado por diversos dispositivos no mundo IoT, como aparelhos domésticos (centrais de multimídia, por exemplo), carros e até mesmo brinquedos.


Veja, por exemplo o Amazon Echo: a partir de 49 dólares, você pode ter um dispositivo doméstico que reconhece comandos de voz para tocar músicas, controlar sua smart TV ou gerenciar a automatização de toda a sua casa.


O problema começa porque estes aparelhos "ouvem demais" - intencionalmente ou não! Geralmente, eles ficam captando sons do ambiente o tempo todo, a espera de reconhecer alguma frase específica, que vai indicar o início de um comando (como "Oi Siri" do iPhone, o "OK Glass" que era comum no Google Glass e o "Alexa" no Amazon Echo). Além disso, muitas empresas utilizam um serviço externo de reconhecimento de voz, via Internet, então por isso todo som capturado pelo dispositivo tem que ser enviado para algum lugar na Internet.



Ou seja: a princípio, tudo o que o seu aparelho ouve é enviado para um servidor de alguma empresa.

E alguns casos recentes nos mostram o quanto isso pode representar de risco a nossa privacidade:
  • Acabamos de saber, através do Wikileaks, que a CIA consegue invadir Smart TVs, smartphones e carros para capturar sons, imagens e até mesmo mensagens de texto através destes dispositivos. No caso das Smart TVs, uma ferramenta da CIA consegue colocar ela em um modo batizado de "Fake-Off": a vítima pensa que desligou a TV, mas ela continua ligada, gravando sons e enviando-os para servidores da CIA;
  • Crianças tiveram sua privacidade exposta através de problemas de segurança nos Cloud Pets, da empresa Spiral Toys, bichinhos de pelúcia que ouvem e reproduzem mensagens para seus pequenos donos. Além de ser possível conectar qualquer dispositivo Bluetooth neles, para capturar o som ambiente, também foi identificada uma base de dados exposta na Internet com 2.2 milhões de arquivos de áudio gravados por pais e crianças, além de senhas de 821.000 contas;
  • Segundo documentos da justiça americana, por pelo menos 15 anos o FBI tem utilizado recursos de conectividade em carros (como localização e áudio dentro do carro) para vigiar ou rastrear criminosos. Isso nos dá uma nova buzzword: "Cartapping";
  • Em um caso de assassinato em Arkansas (EUA), a polícia exigiu que a Amazon cedesse todo o áudio capturado pelo Echo durante o provável horário do homicídio. O mais interessante é que a Amazon não cedeu os dados, mas a polícia percebeu pelo smart meter que houve um grande consumo de água de madrugada, que poderia ter sido utilizada pelo suspeito para limpar a cena do crime;
  • A fabricante de Smart TVs Vizio foi multada em US$ 2,2 milhões por coletar dados de seus clientes secretamente e revendê-los a terceiros, tudo isso sem o conhecimento e muito menos sem o consentimento dos clientes.


Estes dispositivos conectados, muitos dos quais desenvolvidos sem cuidados básicos de segurança, podem ser usados contra nós a partir do momento em que representam diversos pontos de entrada a nossas empresas ou residências, que podem ser explorados por empresas, governos, agências de espionagem e ciber criminosos.

março 03, 2017

[Segurança] De onde vem o crime cibernético?

Eu estava dando uma olhada em algumas palestras de segurança que foram apresentadas no TED e encontei uma interessante, com o título de "Where is cybercrime really coming from?", apresentada pelo Caleb Barlow em Novembro de 2016.


Em sua palestra, o Caleb apresenta algumas estatísticas sobre o crime cibernético:

  • A ONU estima que 80% dos crimes cibernéticos são realizados por gangs altamente organizadas e sofisticadas;
  • O ciber crime representa uma das maiores "economias" do mundo, movimentando 445 bilhões de dólares.

Ele também comenta sobre alguns métodos utilizados pelos ciber criminosos, e sobre o uso da Dark Web para compra e venda de serviços e produtos criminosos.

Ao final, ele defende que as empresas devem compartilhar informações sobre ameaças entre si, para todos conseguirem se defender rapidamente, de forma aberta e colaborativa.

março 02, 2017

[Segurança] Fraudes em programas de milhagens aéreas

Engana-se quem acha que o ciber crime é um problema restrito aos bancos. Na verdade, os ciber criminosos tentam explorar e fraudar qualquer tipo de serviço online em que eles possam obter algum tipo de vantagem financeira.

Até mesmo os programas de milhagem aérea (que permitem trocar pontos por passagens aéreas ou até mesmo por mercadorias) podem ser explorados por ciber criminosos. Uma reportagem publicada recentemente no jornal australiano The Age descreve o caso de um cliente da compania aérea Quantas que teve as suas milhas utilizadas por fraudadores – um prejuízo que só não foi maior pois a compania aérea agiu a tempo.

O roubo de pontos de programas de milhagens aéreas é uma fraude que pode atingir milhões de usuários (a Quantas, por exemplo, possui cerca de 11,5 milhões de clientes utilizando seu programa de milhagem) e permite aos fraudadores emitirem – e revenderem – passagens sem custo, utilizando a pontuação da vítima. A vítima, por outro lado, só vai perceber quando tentar resgatar os seus pontos (para emitir suas passagens ou conseguir um upgrade).

Normalmente os ciber criminosos consequem acesso as contas de programas de milhagem utilizando mensagens de Phishing ou malwares que roubam credenciais. Veja abaixo um caso de phishing prometendo 10.000 pontos para clientes do programa TudoAzul (exemplo retirado do Catálogo de Fraudes da RNP). Engenharia social também pode ser facilmente utilizada. a reportagem lembra que ao publicar uma foto nas redes sociais de seu cartão de embarque ou da identificação de sua mala, você estará fornecendo alguns dados que podem ser utilizados por um fraudador para tentar passar por você e acessar seu programa de milhagem.



A favor dos ciber criminosos conta o fato de que os clientes de companias aéreas não tem consciência deste tipo de fraude, tomam poucas medidas de proteção (normalmente utilizam senhas óbvias) e, além disso, a maioria dos clientes raramente conferem seu saldo e utilizam seus pontos com pouca frequência, dificultando a identificação e bloqueio da fraude. Mesmo do ponto de vista das companias aéreas, muitas delas utilizam uma política de senhas bem simples em seus sistemas. Algumas, por exemplo, exigem senhas numéricas de 6 dígitos – uma combinação que pode ser adivinhada de forma fácil e rápida.

Ainda segundo a reportagem do The Age, a compania aérea Quantas está realizando um projeto piloto para aumentar a segurança no acesso de seus clientes ao portal do programa de milhagens através do uso de tecnologia de segundo fator de autenticação, aonde uma senha de acesso temporária é enviada via SMS para o celular dos clientes.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.