setembro 29, 2017

[Segurança] Os erros mais comuns dos usuários

Durante o Security Leaders Recife, Rodrigo Jorge, líder de Segurança da Ale Combustíveis e organizador do Security Day em Natal, destacou quais são os erros que ele considera serem os mais comuns cometidos pelos funcionários e que compremetem a segurança corporativa:
  • O uso de senhas fracas pelos funcionários, permitidas pelos sistemas;
  • Colaboradores que conectam um dispositivo USB infectado nos PC corporativos;
  • Funcionários vítimas de ataques de phishing;
  • Discussão de assuntos confidenciais em espaços públicos.
A lista acima foi baseada em suas experiências ao longo de sua carreira, e faz todo o sentido. Rodrigo também destacou que os “Erros humanos causam mais tempo para mitigação e são mais onerosos para as empresas”. Para minimizar esses problemas, o melhor investimento é em conscientização constante, ficar periodicamente martelando na cabeça dos funcionários que eles devem tomar os cuidados básicos necessários.

Em uma estatística divulgada pela Flipside, 27% das violações de segurança são causadas por falha humana.

setembro 28, 2017

[Segurança] Vazamento de dados médicos

Nos últimos anos vivemos um aumento significativo no interesse pelo roubo de dados médicos, uma modalidade de roubo de dados pessoais focado na indústria médica e de plano de saúde.

Esse interesse se justifica pelo fato de que os registros médicos sobre uma pessoa são muito mais detalhados do que os dados existentes em outros sites, como empresas de e-commererce, por exemplo. O acesso a essas informações pessoais facilita crimes de extorsão e também de roubo de identidade. Para facilitar ainda mais a vida dos atacantes, os hospitais, médicos e planos de saúde não tem o hábito de investir muito em tecnologia da informação, e menos ainda em segurança.

Nos EUA, o Department of Health and Human Services mantém um hotsite com informações sobre os vazamentos de dados médicos, batizado de "muro da vergonha" ("wall of shame"). Este site mostra algumas informações interessantes sobre os casos reportados e que podem ser utilizadas para gerar diversas estatísticas.

Por exemplo, lá é possível ver que, desde Setembro de 2009, foram identificados mais de 2.000 vazamentos de dados médicos relacionados a pelo menos 500 pacientes cada um.

Eu dei uma olhada no site enquanto escrevia este artigo e lá estavam listados 2.066 casos no total, dos quais 60 deles não tinha identificação de número de clientes afetados e 369 casos aconteceram nos últimos 24 meses e ainda estão sob investigação.

O caso registrado com maior numero de vitimas foi em Março de 2015, aonde 78,8 milhões de clientes da Anthem, Inc. tiveram seus dados roubados em uma invasão ao ambiente de TI.


setembro 26, 2017

[Segurança] Ataques DDoS contra bancos

Ataques de negação de serviço contra sites bancários acontecem frequentemente. Entre 2011 e 2013, em particular, diversos bancos americanos de cários portes sofreram com uma onda de ataques hacktivistas, num protesto batizado de "Operation Ababil" e realizado pelo grupo iraniano Izz ad-Din al-Qassam Cyber Fighters. Agora, 5 anos depois, sete membros desse grupo foram indiciados pleo governo americano.

Em janeiro de 2016, por exemplo, o banco HSBC sofreu um ataque DDoS que impactou o acesso ao seu site e na época foi considerado o maior da história.


Ou seja, na noite de ano novo a rede de TV britânica BBC sofreu um ataque DDoS de assustadores 602 Gbps de tráfego - segundo notificado pelos atacantes, o grupo hacktivista New World Hackers.

Os ataques DDoS contra os bancos podem ter várias motivações, e eu acredito que as mais comuns são:
  • Como forma de protesto hacktivista, aonde o site é tirado do ar como forma de chamar atenção a um determinado protesto - independente do banco estar envolvido no motivo do protesto ou não;
  • Para tentar acobertar uma operação de fraude: alguns ciber criminosos tentam utilizar ataques DDoS para "distrair" a equipe de segurança enquanto eles realizam alguma fraude online. Embora isso possa acontecer, nem sempre esta tática é efetiva pois muitos bancos tem equipes diferentes monitorando a segurança contra sua infra-estrutura e outra dedicada a monitoração de fraudes financeiras;
  • Como forma de extorsão, derrubando o site e exigindo dinheiro (em geral, bitcoins) para encerrar o ataque. Alguns grupos tornaram-se famosos recentemente por seguir esta tática, como o DD4BC ("DDoS for Bitcoin"), que teve alguns membros presos em 2016. A extosão em alguns casos era de 100 bitcoins (na época, isso significava "apenas" 45 mil dólares).



setembro 25, 2017

[Segurança] Roubo de identidade

O roubo de identidade é um tipo de fraude extremamente comum, mesmo antes da Internet, aonde criminosos utilizam dados pessoais de terceiros para diversos esquemas de fraude utilizando o nome da vítima, como abris contas em bancos para pedir empréstimos bancários, comprar linhas telefônicas, etc. Os dados de terceiros também podem ser utilizados por criminosos para abrir contas bancárias para receber dinheiro roubado de outras contas, as chamadas "contas de laranjas". Ao usar os dados de outras pessoas, os criminosos conseguem dificultar o rastreamento do golpe.

Há alguns anos atrás aconteceu um caso bem interessante (ou desesperador, se preferir) de roubo de identidade, aonde o CEO de uma empresa teve seus dados pessoais utilizados em 13 casos de fraude em seu nome, entre 2007 e 2008.

Segundo uma reportagem da Wired de 2010, o fundador e CEO da LifeLock, Todd Davis sofreu várias tentativas de fraude em seu nome depois que a empresa criou um anúncio publicitário de seu serviço de proteção de identidade utilizando o seu número de seguridade social (SSN, o equivalente americano ao nosso CPF). Os golpes incluíram, por exemplo, um empréstimo de 500 dólares ou a criação de uma conta na AT&T com despesas em seu nome de US$ 2.390.


Com a grande quantidade de dados roubados e vazados de diversas empresas, os criminosos em todo o mundo tem grande facilidade de obter dados de terceiros. Junte a isso a grande quantidade de informações que nós oferecemos em diversos cadastros e redes sociais, atualmente o roubo de identidade é um crime que pode ser feito com grande facilidade.

Para saber mais:

setembro 22, 2017

[Segurança] O Princípio de Locard

Na ciência forense, o princípio da troca de Locard (em inglês, "Locard's exchange principle") diz que qualquer que seja o crime, o criminoso sempre deixa algo na cena do crime ou carrega consigo algum rastro ou prova, que vão constituir as evidências do crime.

Ou seja: "Todo contato deixa uma marca" ("Every contact leaves a trace").

Nas suas palavras, "Aonde quer que ele pise, aonde quer que toque, o que quer que ele deixe, mesmo que inconscientemente, servirá como uma testemunha silenciosa contra ele. (...) Esta evidência não se esquece. (...) A evidência física não pode estar errada, não pode cometer perjúrio por si própria, não se pode tornar ausente".

Pensando nisso, a versão cibernética do princípio de Locard poderia ser algo como "Qualquer dado ou conexão que seja feita ou transmitida, há alguma evidência disso, seja no host, em trânsito, no armazemamento ou em memória".

setembro 21, 2017

[Cidadania] Seus Dados São Você

A Coalizão Direitos na Rede, uma entidade preocupada com nossas liberdades e privacidade na Internet, acabou de lançar uma campanha sobre proteção de dados pessoais, batizada de "Seus Dados São Você". Esta campanha pretende sensibilizar a população e o congresso sobre a urgência da aprovação de uma Lei de Proteção de Dados Pessoais no Brasil, tendo em vista o atual cenário de coleta massiva de dados pessoais.


Desde o momento em que uma certidão de nascimento é emitida e passa a constar no Sistema Nacional de Informações de Registro Civil, brasileiras e brasileiros passam a ter suas informações pessoais coletadas e armazenadas em bancos de dados públicos e privados. Ao longo de sua vida, cada vez que um cidadão acessa um serviço público, preenche um cadastro em uma loja, usa aplicações digitais ou interage em redes sociais também gera e compartilha centenas de milhares de dados. Essa coleta massiva de dados se aprofundou com o advento da Internet e com nossa interação diária e constante com centenas de sites e aplicativos online.

Atualmente, a coleta, tratamento e comercialização de dados pessoais são feitas de maneira generalizada e desregulada por empresas e governos, já que o Brasil não dispõe de uma lei de proteção de dados, ao contrário de diversos países. O tema já está em discussão no Congresso Nacional, onde a Câmara dos Deputados criou uma comissão especial voltada a debater essa questão e já está tramitando o Projeto de Lei 5276/2016, sobre "o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural". Uma série de consultas e audiências públicas foram realizadas ao longo de 2015 e 2016.

A Coalizão Direitos na Rede defende uma lei baseada no consentimento livre e expresso dos usuários para a coleta e tratamento de seus dados pessoais, no direito dos usuários de saber que dados foram coletados e para que finalidades específicas, podendo revogar essa permissão a qualquer momento; na responsabilização dos titulares dos bancos de dados caso haja vazamentos e o uso indevido das informações prejudique as pessoas; e na criação de uma autoridade pública que regule e fiscalize essas garantias, evitando violações e abusos por parte de governos e empresas.

A campanha também alerta sobre a importância de se proteger dados sensíveis, sobre a necessidade de estudos de impacto à privacidade em novas tecnologias e a urgência de afirmação de novos direitos no país. O site tem algumas informações interessantes, como o link para o projeto Chupadados, que coleta histórias sobre os riscos da coleta e análise de nossos dados pessoais por governos, empresas e por nós mesmos.

Para saber mais sobre a campanha, visite o hotsite "Seus Dados São Você".

setembro 19, 2017

[Segurança] O vazamento de dados da Equifax

Tomou conta da mídia a notícia recente de que a empresa americana Equifax sofreu um roubo massivo de dados, que incluiu informações pessoais de aproximadamente 143 milhões de clientes americanos - ou seja, quase metade (44%) da população dos EUA.

Um dos motivos para o grande destaque na mídia para este caso é que a Equifax é uma das principais empresas que trabalham com informações de proteção ao crédito nos EUA, e assim tem acesso a informações financeiras e privadas das pessoas. Ela é o equivalente a SERASA/Experian no Brasil. E, nos EUA, estas informações de crédito são muito utilizadas pelas instituições financeiras para abertura de conta, fornecimento de cartão de crédito, avaliação de empréstimo e financiamento, etc.

Ou seja, a Equifax é uma empresa aonde garantir a privacidade dos dados e proteger as informações de crédito faz parte do seu "core business".

O nível de preocupação e paranóia com esse vazamento é tão grande que já surgiu uma charge associando o logo da Equifax ao da Evil Corp, da série Mr. Robot.


Segundo a Equifax, a invasão aconteceu em um site com uma aplicação web vulnerável, entre meados de maio e julho deste ano, e foi descoberta no dia 29 de julho. Os ciber criminosos acessaram informações pessoais de seus clientes, incluindo nome, número de seguridade social (o equivalente ao nosso CPF), data de nascimento, endereço e número da carteira de motorista. Além disso, foram acessados números de cartões de crédito de cerca de 209 mil clientes e dados pessoais de 182 mil clientes americanos envolvidos em negociação de dívida e discussão sobre crédito.

Para auxiliar e orientar os consumidores americanos, a empresa criou um hotsite sobre o vazamento de dados:https://www.equifaxsecurity2017.com

Veja alguns fatos interessantes sobre o caso:
  • As ações da empresa despencaram mais de 13% com a notícia do vazamento de dados e continuam caindo;
  • Um dia antes do anúncio do vazamento de dados, 3 diretores da empresa venderam ações, algo que não foi bem visto no mercado;
  • Loucos para achar um motivo para tretar, a imprensa já divulgou que o VP responsável por segurança e compliance, John J. Kelley III, recebeu 2,8 milhões de dólares no ano passado, entre salário e bonificações;
  • Críticas também tem sido feitas porque a Chief Security Officer (CSO) da Equifax, Susan Mauldin, tem formação universitária e pós graduação em música pela Universidade da Georgia;
  • Fazendo um paralelo com a recente onda de furacões que está atingindo os EUA, a Forbes cunhou uma nova buzzword para descrever o ataque na Equifax: "Category 5 Cybersecurity Crisis" (uma "crise de segurança categoria 5");
  • Aparentemente, os ciber criminosos que roubaram os dados da Equifax exigiram um resgate de 600 Bitcoins para apagar os dados e não divulgá-los;
  • Menos de uma semana depois do anúncio do vazamento de dados, já começou a onda de processos contra a Equifax. Dos 30 processos já abertos até 12/09, um deles exigia reparações no valor de US$ 70 bilhões;
  • A Equifax informou que a invasão aconteceu porque eles não corrigiram a vulberabilidade no Struts do Apache (CVE-2017-5638);
  • A Mandiant foi contratada em 2 de Agosto para investigar o incidente, poucos dias depois da Equifax identificar tráfego suspeito na rede e encontrar o servidor vulnerável;
  • A Equifax anunciou a aposentadoria do CIO and CSO da empresa;
  • Um portal da Equifax na Argentina, utilizada por seus funcionários, estava exposto na Internet permitindo acesso por uma conta admin com senha admin;
  • O banco Summit Credit Union, de Wisconsin, abriu uma ação judicial em 11 de setembro contra a Equifax, acusando a empresa de práticas comerciais negligentes;
  • O ex-CEO da Equifax, Richard Smith, disse em depoimento por escrito ao Congresso americano, que o vazamento de dados foi consequência de "Erro humano e falhas tecnológicas". Segundo ele, em 8 de Março a emrpesa recebeu a notificação do CERT-US sobre a vulnerabilidade do Struts do Apache. No dia seguinte a área de segurança repassou este e-mail para a área responsável pela atualização de software, que teria 48 horas para fazer a atualização necessária. Os scans de vulnerabilidade realizados posteriormente não identificaram que o Struts estava desatualizado e vulnerável;
  • No início de outubro a empresa informou que um grupo adicional de 2,5 milhões de clientes também foi afetado palo vazamento de dados, totalizando 145,5 milhões de vítimas;
  • O vazamento de dados também afetou 15,2 milhões clientes britânicos.
Para saber mais:
Nota: Última atualização em 14/10.

setembro 18, 2017

[Carreira] Não perca tempo com gente babaca

O canal Provocações Filosóficas tem um vídeo pequeno e interessante, chamado "Não perca tempo com gente babaca", de um trecho de uma palestra do filósofo, professor e escritor Leandro Karnal.


Segundo ele, "a vida é muito curta para que se perca tempo numa existência medíocre" e, o mais importante, conheça a si mesmo, pois "se eu me conhecer, ninguém me ofende (...) ninguém me ataca".

Muito do que ele diz nos pouco mais de 4 minutos de vídeo se aplica ao clima de ódio que vivemos frequentemente na Internet. Suas palavras nos ajudam a lidar (ou melhor, ignorar) os haters e trolls que nos cercam:
  • "As pessoas tem direito a dizerem o que querem (...), eu só me ofendo se concordo com elas";
  • "Ataque é veneno, e veneno só funciona se eu tomar";
  • "A vida é muito curta para que eu perca tempo com babacas cheios de ódio."
Como o próprio Leandro Karnal disse em uma entrevista na TV Câmara, falar mal de alguém cria uma relação de amizade e a Internet turbinou esse ato, pois a Internet nos permite fazer isso sem o ônus da presença física. Assim, fica mais fácil falar mal das pessoas sem a presença da vítima e sem o risco de receber uma resposta.

setembro 15, 2017

[Cyber Cultura] Phubbing

Tá aí uma nova buzzword que diz respeito a todos nós:


Phubbing


"Phubbing" é quando alguém ignora as pessoas ao seu redor por causa do celular. É um mau hábito comum a todos que têm smartphones (ou seja, praticamente todo mundo hoje em dia), e ficam conectaos o tempo todo, mesmo quando acompanhados por outras pessoas no trabalho, em restaurante ou encontros com amigos e familiares.

Isso acontece porque todos nós utilizamos os smartphones para ficar conectados ao trabalho e redes sociais em tempo integral. Seja para visitar seus grupos de amigos e familiares no Whatsapp, dar uma olhada no Facebook ou responder aos e-mails depois do horário de trabalho.

Segundo uma reportagem na Gazeta do Povo, o termo foi criado em 2013 por umdicionário australiano, representando a fusão das palavras “phone” (telefone) e “snubbing” (esnobar)
Aos poucos, esse hábito transmite a sensação de que interagir com as pessoas ao seu lado não é tão importante quanto a tela em frente a você. Não é raro que o interlocutor acabe falando sozinho enquanto a outra pessoa se distrai no celular.

setembro 14, 2017

[Segurança] Cuidado com sua privacidade

Uma amiga, a Yumi Ambriola, compartilhou no Facebook uma história que aconteceu com ela recentemente e que mostra a importância de tomamos cuidado com nossas informações pessoais.

A história, verídica, é um bom exemplo de como devemos ter cuidado ao conversar com estranhos, ou com o que falamos próximo a estranhos, pois hoje em dia é muito fácil rastrear as pessoas através das informações que compartilhamos na Internet.
"Hoje no táxi, o motorista estava contando de uma passageira X que brigou com o namorado Y, estudava num lugar W e morava num bairro nobre Z de SP.


Por esporte, apenas com essas informações W, X, Y e Z (só o primeiro nome do casal), consegui encontra-la através de mecanismos bestas de busca. Achei onde estudava, o e-mail, o perfil do namorado, onde ela trabalhava, a área da empresa em que ela trabalhava e através de uma foto pública com geolocalização em seu perfil, o condomínio onde ela morava.

Bonitinh@s: ao conversar com estranhos, não dê informações desnecessárias... omita/minta nomes ou troque informações para dificultar que seja encontrado.

Mandei uma mensagem para a moça, alertando-a de sua (não) segurança, com dicas de privacidade e aqui mando o recado pra vocês.

Obs: A foto do cachorro fofinho é meramente ilustrativa e serve para que as pessoas prestem atenção no post."
Exemplos como o acima mostram como atualmente está muito difícil, quase impossível, garantirmos a nossa privacidade. Intencionalmente ou não, nós deixamos muitas informações pessoais disponíveis em redes sociais e ao alcance dos mecanismos de busca mais populares. Junte a isso a falta de cuidado em lugares públicos, e estamos dando oportunidade para criminosos e stalkers.

Por isso, devemos sempre prestar muita atenção com quem conversamos (on line e presencialmente) e com o tipo de informações pessoais, profissionais e familiares que divulgamos nas redes sociais.

Vale a pena, periodicamente, revisar nossas configurações de privacidade nas redes sociais e serviços online, além de verificar nos mecanismos de busca que informações estão disponiveis sobre nós na Internet. Você já buscou pelo seu nome no Google?

setembro 12, 2017

[Segurança] Roadsec São Paulo 2017

Com o slogan de "o maior Festival Hacker da América Latina", foi dada a largada para o Roadsec São Paulo, a edição de encerramento da temporada 2017 do Roadsec, o evento itinerante de segurança que neste ano passou por 18 cidades brasileiras.



O evento acontecerá no dia 11/11, sábado, novamente no gigantesco espaço da Áudio Club. Neste ano o Roadsec São Paulo contará com quase 24 horas de programação (das 10:30 da manhã do sábado até 5 da manhã do domingo), formada por 5 trilhas de conteúdo com palestras, oficinas, atividades, e as finais do Hackaflag (nas categorias Individual e Grupos).

Desta vez o Roadsec vai ocupar 2 galpões do Áudio Club, para conseguir receber as comunidades, incluindo o Dumont Hackerspace, o pessoal maker do portal Embarcados, a galera de eletrônica, software livre, DIY, ativismo, etc. Neste ano eles terão novamente uma arena com batalha de robôs da Robocore, além da área de exposição de patrocinadores e a feira de food trucks.

Como destaque entre os palestrantes, vamos receber o Jonh Draper (o Captain Crunch), um lendário pioneiro na área de segurança, que ficou famoso ao descobrir, bem no início dos anos 70, que conseguia controlar centrais telefônicas usando um pequeno apito que era dado como brinde em caixas de cereais matinais.


No final do dia e a noite, após o encerramento das pelstras e oficinas, começam os hows. Neste ano o Roadsec terá shows do Matanza, Raimundos, Dual Core, YTCracker e mais 10 DJs.

Anote aí na sua agenda:
A propósito, se você tiver interesse em palestrar no Roadsec São Paulo, o Call for Papers está aberto até 06/10.

setembro 11, 2017

[Cyber Cultura] Estatísticas sobre IoT no Brasil

Uma reportagem recente da Decision Report cita algumas estatísticas relacionadas a adoção de IoT no Brasil, retiradas em um relatório da Aruba:
  • O Brasil é um dos cinco principais países do mundo para empresas que planejam adotar a IoT;
  • Hoje, mais de metade (57%) das empresas já adotaram tecnologias de IoT, e até 2019 esse número deverá atingir 85%;
  • Em todo o Brasil, o retorno do investimento (ROI) em IoT foi em média de 37% (9% maior do que a média global);
  • Mais de um quarto dos entrevistados (27%) relataram ROI em IoT acima de 40%, e 20% deles relataram ROI acima de 60%.
  • 95% viram um aumento na eficiência dos negócios desde a adoção de IoT;
  • Sobre o impacto no negócio, 91% viram o departamento de TI da organização se tornar mais eficiente; 88% relataram melhor visibilidade dos processos em toda a organização; e 83% obtiveram redução de custos;
  • Mais de metade dos entrevistados (61%) sentem que os ataques externos são a maior ameaça aos seus sistemas de IoT e 86% já sofreram um ataque relacionado à IoT;
  • As brechas de segurança mais comuns foram causadas por ataques de malware (51%) e spyware (36%).



setembro 08, 2017

[Segurança] User-Agents mais comuns

O site techblog.willshouse.com possui uma lista com os user-agents mais comuns. O user-agent é uma informação que faz parte do cabeçalho HTTP que identifica qual é o tipo e versão do browser.

Essa lista é atualizada dinamicamente desde 2012, e inclui as versões mais atuais dos browsers. É um material interessante para fazer algum estudo ou para compor alguma estratégia de detecção de acessos maliciosos ou suspeitos.

Acessando agora, podemos ver que os top 10 user agents são:

  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/603.3.8 (KHTML, like Gecko) Version/10.1.2 Safari/603.3.8
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
  • Mozilla/5.0 (Windows NT 10.0; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36

Os 2 primeiros user-agents dessa lista, relacionados ao Chrome, representam aproximadamente 12% do total.

Para saber o significado da string do user-agent, uma boa opção é dar uma olhada no site http://useragentstring.com. Lá ele destrincha para você cada trecho do user-agent.

setembro 06, 2017

[Segurança] Como denunciar um phishing em seu smartphone

O pessoal de um banco brasileiro criou um serviço para denunciar facilmente, via smartphone, as mensagens de phishing tradicionais ou recebidas no celular (SMSishing), um golpe muito comum hoje em dia.


Esse novo serviço de shutdown de URLs de Phishing utiliza um robô (bot) no Telegram que funciona 24h e disseca as mensagens recebidas para identificar a URL de phishing e tomar ações de bloqueio e report (para antivirus, etc), além de solicitar o shutdown automaticamente do site, em diversas línguas.

Para reportar um phishing, basta enviar a imagem da mensagem ou a URL (preferencialmente digite a URL, pois é mais preciso) para o contato @SMS_Suspeito_Bot no Telegram. Ou seja, tudo isso pode ser feito do seu próprio celular!

setembro 04, 2017

[Segurança] Golpes bancários através de SMS

A prática de SMSishing não é nova, nem aqui nem no mundo. O termo surgiu há vários anos atrás por causa do golpe baseado no envio de mensagens de phishing por celular, através de mensagens de SMS.

A vítima, no caso, recebe uma mensagem em seu celular em nome de alguma empresa conhecida (normalmente um banco), convidando para acessar um site aonde ela vai baixar um código malicioso ou, o que é muito mais comum, ela vai preencher um formulário falso (em nome da empresa) aonde vai passar seus dados para o fraudador.

Por algum motivo, no último ano esse tipo de golpe se intensificou absurdamente no Brasil, usando tanto mensagens de SMS e Whatsapp. O mais provável é que os ciber criminosos brasileiros perceberam que a grande maioria dos usuários bancários já tem smartphones (e, logo, conseguem facilmente acessar sites a partir de links que recebem no celular) e que é mais fácil enganar o usuário final através de uma mensagem de SMS do que uma mensagemd e e-mail, pois afinal as mensagens de SMS não costumam ser muito sofisticadas em termos de design gráfico. Afinal, são apenas mensagens de texto, sem nenhum logo ou design que necessite ser copiado.

A vida do ciber criminoso fica facilitada: basta criar um site simples (mesmo porque a visualização via celular faz com que uma página simples -sem muitas imagens, links nem frames- possa ser facilmente criada para se passar como verdadeira), bolar uma mensagem de texto minimamente convincente e baixar uma lista de números telefônicos (que também pode ser comprada na Internet por R$ 600).

O golpe começa com uma mensagem de SMS enviada ao celular da vítima, normalmente solicitando o recadastramento do seu dispositivo de segurança ou seus dados cadastrais. Para enganar a vítima, os ciber criminosos também podem optar por outras mensagens, como avisando de uma transação que foi realizada e que o usuário tem que ir no link para confirmar ou cancelar.



Ao clicar no link que está na mensagem de SMS, o celular já abre o navegador na página do Phishing, aonde o fraudador vai solicitar os dados do usuário: identificação da conta, senha e as vezes alguns dados cadastrais.



Nesse tipo de golpe também é muito comum que o fraudador peça o cartão de senhas, caso o banco adote este tipo de solução. Nesse caso, o site de phishing já aproveita que a vítima está usando um celular e pede para que ela envie uma cópia de seu cartão de senhas,


No final da história, o ciber criminoso consegue roubar os dados de acesso da vítima (número da conta e senha de login), além de dados cadastrais e, pior ainda, da senha para realizar transações (que em muitos bancos é uma senha variável utilizando o cartão de senhas).

Para evitar cair nesse tipo de golpe, a dica é a mesma de sempre: nunca clicar em links recebidos nessas mensagens. Se você quer verificar se aconteceu algo na sua conta bancária, ligue para o banco, vá na agência ou acesse online através do site real do banco.

Para saber mais:



Post atualizado em 02/12/2017

setembro 01, 2017

[Cyber Cultura] Ajude na Montagem do WikiLab

Deixa eu pegar carona no blog Hacker Culture para divulgar uma ação bem legal: Inscreva-se para ajudar na montagem do WikiLab!

O WikiLab do ABC é um projeto coletivo que conseguiu obter os fundos necessários para a construção de uma sede para o novo Laboratório hacker do ABC, tudo isso por meio de por meio de financiamento coletivo. O WikiLab, que estará localizado na UFABC, já está em processo de construção e todo mundo pode ajudar na montagem.

O WikiLab foi projetado pensando em estruturas modulares que devem ser encaixadas para formar a construção, semelhante a um grande quebra-cabeças. As partes do laboratório da UFABC já foram produzidas e estarão aguardando os voluntários para a montagem.


O mutirão para montagem da estrutura do WikiLab vai acontecer nos dias 12, 13, 14 e 15 de setembro (de terça a sexta).

Para subir o laboratório em uma semana eles precisam de muitos voluntários. Os pré-requisitos são apenas estar no campus de São Bernardo da UFABC no horário escolhido e ter vontade de aprender. Não precisa ter nenhum conhecimento específico, não precisa ser aluno da UFABC e nem mesmo ter ajudado na campanha.

Para se inscrever no mutirão é só entrar em https://wikilab.blog.br/inscricao/, preencher o formulário com a sua disponibilidade de data e horário e aguardar o contato da equipe.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.