Posts que nunca foram escritos

Periodicamente eu faço uma pequena limpeza nos meus rascunhos aqui no blog. E eu achei umas coisas antigas que estavam esquecidas aqui nos meus rascunhos :(

Normalmente, eu demoro alguns dias escrevendo os posts, que ficam como rascunho. Ou, tenho uma idéia sobre algum assunto que possa ser legal compartilhar aqui no blog, e começo ele como um rascunho. Eu tenho algumas dezenas de posts que ainda são rascunhos, inclusive alguns bem longos, que vou escrevendo aos poucos. Mas nem sempre esses rascunhos tem a oportunidade de ser publicados.

Como saber se foi invadido?

• A good article on top IOCs was recently published on Dark Reading, comprised of 15 solid indicators of malicious activity and/or data breaches in enterprise environments.  Top 15 Indicators Of Compromise

Artigo: The Maturation of Cybercrime

Papo sobre senhas:

• Quais são os principais erros das pessoas na hora de criar senhas?
• Antes de mais nada, acho importante destacar que as senhas são a principal proteção de segurança para nosso acesso em todos os serviços online e aplicativos. E estão presentes até na hora que você passa o seu cartão de crédito no posto de gasolina. Infelizmente, em muitas ocasiões elas são nossa única proteção, então, de posse da nossa senha, um fraudador consegue acessar coisas importantes em nosso nome (como nossas redes sociais, aplicativos, etc). Aqui na Apura, nós identificamos 72 milhões de senhas vazadas de brasileiros somente em 2022, uma média de 6 milhões de credenciais por mês. Agora, em 2023, este número já subiu para mas de 10 milhões de senhas vazadas por mês. Somente em Abril deste ano, identificamos o vazamento de 10.260.915 credenciais. Isso inclui todo tipo de senha, incluindo informações de login em sites e aplicativos de celular, acesso a redes sociais e e-mails (pessoais e corporativos), e até mesmo credenciais de acesso a diversos sistemas corporativos, de empresas brasileiras. O que reparamos, na prática, é que as pessoas cometem 3 erros principais ao escolher as suas senhas: usam senhas simples, fáceis de serem adivinhadas, usam uma mesma senha para vários sites ou serviços e compartilham ela sem cuidado. Essas erros facilitam muito a ação dos ciber criminosos. Por exemplo, hoje em dia quando um ladrão rouba o seu celular, seu principal objetivo não é revender seu aparelho, mas sim acessar seus apps bancários. Para isso, a primeira coisa que ele vai fazer é buscar pela palavra senha no seu histórico de mensagens no Whatsapp, e provavelmente vai encontras algumas senhas. Ele vai testar essas senhas nos seus apps bancários, e se não der certo, vai testar combinações triviais e muito usadas, como 123456, abc123, data de nascimento, etc. Seria como se alguém roubasse sua carteira com todos os seus cartões de crédito, todos eles como a mesma senha numérica e, num deles, você anotou a senha no verso. Dá para imaginar o tamanho do estrago que pode acontecer?
• Em geral, como os criminosos conseguem ter acesso a elas?
• Os vazamentos de senhas acontecem, principalmente, graças a vírus especializados no roubo de senha em seus computadores e celulares (chamamos eles, tecnicamente, de "stealers") e ao vazamento de dados de empresas. Nesse último caso, está cada vez mais comum descobrirmos bases de dados expostas na Internet, em servidores em nuvem, com dados cadastrais de clientes. Ou o hacker simplesmente invade os sistemas da empresa e rouba essa base de dados. No caso dos malwares do tipo "steller", eles são plantados em nossos computadores e celulares (normalmente depois que o usuário clica em alguma mensagem falsa, de "phishing", e baixa o arquivo malicioso para seu aparelho) e monitoram todo o nosso uso de aplicativos e acesso a sites. Toda vez que acessamos uma tela de login, o "steller" copia as informações de nome de usuário e senha e envia para um computador central, controlado pelo criminoso. No final do dia, esse criminoso tem uma base de dados gigante com todas as nossas senhas usadas no dia-a-dia.
• Pensando no ponto de vista do usuário final, a forma mais comum de ter suas senhas roubadas é quando anotamos ou compartilhamos elas, como quando você passa sua senha para um familiar por WhatsApp, ou naquele bloquinho de notas no seu celular aonde você anota suas senhas. Nesses casos, se o criminoso tiver acesso ao seu aparelho, ele descobre todas as suas senhas.
• Quais práticas contribuem com a ação dos cibercriminosos? O que podemos deixar de fazer para dificultar a ação deles?
• Além da falta de cuidado com as senhas, como dito na 1a pergunta, outro descuido muito comum que facilita as ações dos hackers é que muitas vítimas acabam acreditando em mensagens falsas, chamadas "phishing" (do inglês;ês "pescaria", pois o criminoso está pescando senhas na Internet), que os direcionam para sites com vírus ou sites falsos, imitando sites conhecidos. Os vírus podem roubar nossas senhas, e ao acessar um site falso, a vítima pode digitar sua senha, pensando que está no site do banco ou do seu e-commerce preferido. Os principais cuidados que devemos ter incluem o uso de senhas fortes (que sejam difíceis de serem adivinhadas), ativar o segundo fator de autenticação sempre que esse recurso existir, usar senhas únicas e, ao invés de anotar suas senhas em um bloquinho de notas, utilize um desses softwares especializados para guarda de senhas, pois eles usam criptografia para salvar nossas senhas.
  Pense na sua senha como se fosse sua escova de dentes: você não a compartilha com ninguém, troca periodicamente e não deixa jogada em qualquer lugar.
  No segmento corporativo, é importante monitorar os vazamentos de senhas e agir proativamente, bloqueando o acesso de um usuário que teve sua senha exposta. Para isso, existem ferramentas de Cyber Threat Intelligence, que monitoram os fóruns criminosos em busca desses vazamentos.
• E o que podemos fazer? Como criar senhas fortes e, por exemplo, onde anotá-las e guardá-las em segurança?
• A principal proteção que podemos usar é o chamado "segundo fator de autenticação", quando o site ou aplicativo usa uma segunda senha para liberar o nosso acesso, e essa senha é gerada por um aplicativo especializado ou encaminhada para você por e-mail ou SMS. Assim, mesmo quando o criminoso consegue descobrir a sua senha, ele não vai conseguir o acesso pois não terá essa segunda senha. Além disso, como todos nós temos que decorar centenas de senhas, o ideal é usar uma ferramenta especializada para guardar essas senhas de forma segura, que chamamos de "gerenciadores de senha". Há ótimas ferramentas gratuitas no mercado.
• Para garantir uma senha forte, "blindada contra cibercriminosos", a minha sugestão mais prática é que você pegue a sua senha favorita, aquela que você já está acostumado, e troque alguma letra maiúscula por minúscula, inclua no meio dela alguns números e dois ou três caracteres especiais (como o ponto, hífen ou vírgula, por exemplo). Assim, você consegue criar uma senha muito mais difícil de ser descoberta, mas não perde tanto a facilidade de lembrá-la.
• Para refletir: essa tendência de mais invasões aos nossos sistemas através de exploraçào de senhas já era esperada diante da digitalização do país? Ou se deve mesmo à falta de atenção e cuidado dos usuários?
• Sim, o crime cibernético acompanha a evolução das tecnologias e se adapta rapidamente. A digitalização do nosso país, que já era uma tendência natural, foi muito acelerada no período da pandemia, quando muitas pessoas foram obrigadas a usar serviços online pela primeira vez de forma rotineira. Em muitos casos, eram pessoas que não estavam acostumadas com as malícias do mundo digitaram que acreditavam em qualquer mensagem que recebessem e clicavam em qualquer link indiscriminadamente. E o crime acompanhou essa tendência, com um crescimento significativo nesse período para, justamente, tentar pegar esses novos usuários. A própria Febraban noticiou um aumento de 80% nos golpes de phishing durante a pandemia. Por isso mesmo, é muito importante sempre fazermos ações para educar e conscientizar o cidadão comum sobre os riscos online. Navegar na Internet é como andar numa rua no centro de São Paulo: você pode sair duma loja, dobrar uma esquina e cair numa rua perigosa, com risco de ser assaltado.

Sobre o mercado de vulnerabilidades e bug bounty (informações de 2017):

• Pesquisadores de segurança de todo o mundo tem a chance de ganhar dinheiro (licitamente ou não) quando descobrem vulnerabilidades em softwares. Embora a grande maioria dos fabricantes não remunerem quem lhes forneça essa informação, diversas empresas, governos (o "mercado cinza") e criminosos (que formam o "mercado negro") oferecem dinheiro em troca de receber informações exclusivas sobre a vulnerabilidade descoberta. Algumas empresas, como a iDefense e a Tipping Point anunciam publicamente seus programas de compra de vulnerabilidades, e se diferenciam das demais pelo compromisso de notificar os fabricantes sobre as vulnerabilidades descobertas. Este mercado é global, e percebemos que a maioria das empresas que trabalham com pesquisa em segurança já possuem alguma forma de presença na América Latina, principalmente no Brasil e na Argentina.
• Ninguém está a salvo no milionário mercado de compra e venda de bugs da internet
• Em 95, a Netscape – do finado navegador – lançou o primeiro programa de bug bounty (recompensas por bugs) e colocou dinheiro na parada. Em 2002, por sua vez, a IDefense mudou o jogo ao se tornar a primeira intermediadora desse mercado. Ela comprava cada falha por até US$ 400 e as revendia para os desenvolvedores.
• Organizações pagam até US$900.000 à Hacker por descobertas de Vulnerabilidades
• A Vulnerability Disclosure Tale: Handcuffs or a Hug?
• 5 highest-paying bug bounty programmes
• Here's a Spy Firm's Price List for Secret Hacker Techniques
• Pornhub Launches Bug Bounty Program; Offering Reward up to $25,000
• Zerodium Offers $1.5 Million Bounty For iOS Zero-Day Exploits
• U.S. Air Force launches Bug Bounty Program

Segue uma pequena coletânea de notícias de 2018 e 2019 que exemplificam o grau de sofisticação e diversidade do ciber crime brasileiro, aonde qualquer empresa de qualquer setor pode ser uma vítima:

• Em março/2019 a Trend Micro fez um artigo sobre um novo tipo de trojan bancário brasileiro direcionado ao Bradesco, Banco do Brasil e Sicredi, além de roubar informações de login do usuário. O trojan, que a Trend classificou de "fileless", também instala uma ferramenta de RAT para que o ciber criminoso tenha acesso remoto ao computador da vítima;
  
  
• O pessoal da CISCO publicou em 2018 um blog analisando uma família de Trojans bancários bem típica do cenário brasileiro, batizada de Metamorfo. Eles se espelham por phishing e, uma vez infectado, atacam usuários de diversos bancos brasileiros (Santander, Itaú, Banco do Brasil, Caixa, Sicredi, Bradesco, Safra, Sicoob, Banco da Amazonia, Banco do Nordeste, Banestes, Banrisul, Banco de Brasilia e Citi).
• Em 2028s pesquisadores da ESET descobriram uma nova família de malwares bancários para Android direcionada a usuários no Brasil. Trata-se de um malware bancário que simulou ser um aplicativo para melhorar o desempenho do dispositivo, chamado “Cleand Droid”, e que registrou mais de 500 instalações; um aplicativo para monitorar o Facebook chamado “Quem viu teu perfil” que contou com mais de 10.000 instalações, e um aplicativo chamado “MaxCupons” que registrou 1.000 instalações da loja oficial do Google. Conforme Stefanko explicou, para ficar fora do alcance dos radares, esses aplicativos maliciosos (que já foram reportados para a equipe de segurança do Google) só poderiam ser baixados e instalados no Brasil. Eles foram distribuídos pela loja oficial do Google Play e contaram com ajuda de anúncios patrocinados no Facebook.
• Ciber criminosos ganham muito dinheiro aqui no Brasil com fraudes online. Em setembro de 2018 a Polícia Civil prendeu 29 suspeitos de desviar R$ 30 milhões de contas bancárias. Uma das fraudes aplicadas pelo grupo era o simples envio de mensagens de phishing por e-mails e SMS no celular, aonde pediam para que os clientes atualizassem suas senhas clicando em um link que direcionava para uma página falsa, aonde capturavam as informações de login das vítimas. Outro golpe era feito através de ligação telefônica aonde os fraudadores se faziam passar por funcionários de bancos para obter dados pessoais;
• Em um outro golpe, com pouca sofisticação, em 2019 uma quadrilha faturou mais de R$ 19 milhões com falsificação de boletos bancários no Distrito Federal e em Goiás. De acordo com os investigadores, a quadrilha interceptava o boleto da vítima e emitia um novo, com valor pouco abaixo do boleto original, gerado através de compras online com perfis falsos em sites de e-commerce. Eles usavam os dados do boleto original para fazer um novo documento, alterando o código de barra e o valor. Assim, a vítima pagava pelo boleto referente a compra dos criminosos, e ficava no prejuízo.
• Mais notícias e informações:
• Hackers vendem logins da Polícia Rodoviária para você apagar suas multas
• Cybercrime groups continue to flourish on Facebook
• Hiding in Plain Sight
• Malwares bancários brasileiros são sofisticados e o tipo favorito dos nossos cibercriminosos
• Metamorfo Banking Trojan Keeps Its Sights on Brazil
• Campanha de malware no Brasil usa componentes legítimos do Windows
• Malware bancário visa pessoa jurídica e pode driblar biometria (Camubot)
• Laranja de bando que roubava contas bancárias foi ameaçada de morte no PI
• Golpistas usam contas em nome de 'laranjas' para driblar polícia
• Com CPF de terceiros, suspeitos aplicam o 'Golpe da Conta Fácil'
• Saiba quais foram as principais fraudes virtuais em 2018
• Android Trojan: How is data being stolen from messaging apps?
• Pesquisa da Trend Micro de 2014 (12 anos atrás!!!): "The Brazilian Underground Market"