março 24, 2020

[Segurança] Coronavírus e os riscos de ciber ataques

Os ciber criminosos já estão se aproveitando da pandemia do Coronavírus (COVID-19) para fazer fraude online.
:(

Os principais golpes utilizando o tema do Coronavírus incluem campanhas de phishing (por email, SMS ou por redes sociais)  para a captação de dados pessoais ou para a infeção dos smartphones das vítimas, os aplicativos falsos, com trojan, que se fazem passar por mapas em tempo real sobre a pandemia, além de ataques DDoS, esquemas de fraude digital para captura de dados de cartão, coleta de donativos ou cobrança de serviços.

Segundo estimativas da Interpol, baseada em denúncias recebidas, os 4 principais ciber crimes relacionados a pandemia do novo Coronavírus em 2020 foram as mensagens de Phishing e golpes relacionados, os malwares e ransomwares, domínios maliciosos e as mensagens falsas (fake news).



Já existem diversos relatos e notícias de que os cibercriminosos estão usando o Coronavírus como tema para seus golpes de engenharia social, incluindo mensagens e sites maliciosos (phishing). Além disso, já foram identificados sitesaplicativos falsos para celular para disseminar trojans. Alguns relatórios da indústria estimam que milhares de novos domínios maliciosos, com o tema do Coronavírus, surgem todos os dias: entre 14 e 18 de Março, foram criados 3.600 nomes de domínio suspeitos, contendo a palavra "coronavirus".

Diversas mensagens de phishing tem sido espalhadas pelas redes sociais e aplicativos de comunicação instantânea, como o WhatsApp, aproveitando-se da busca de informações e do medo da população para incentivá-los a clicar em links maliciosos. Segundo uma pesquisa da PSafe, divulgada pelo portal TechTudo e pelo 6 Minutos, essas mensagens falsas circulam no WhatsApp há pelo menos dez dias e já atingiram 2 milhões de usuários no Brasil.

O phishing com uma falsa promoção da Netflix e o que oferece uma falsa distribuição de álcool gel da AMBEV foram os que eu vi circulando com mais frequência. Mas vários outros temas tem sido explorados.

  

   

 

OBS: Os EUA também estão sofrendo com as fraudes ao programa de seguro desemprego deles.

Em outro caso que circulou bastante, do phishing prometendo o auxílio cidadão para trabalhadores autônomos, eu vi uma versão da mensagem com o link encurtado e outra com o link fake original:

  

Segundo a Akamai, uma campanha falsa prometendo o auxílio emergencial fez mais de 850 mil vítimas em 2 semanas!

A propósito, há inúmeros relatos de fraudes relacionados ao benefício de auxílio emergencial fornecido pelo governo. Esses golpes incluem inscrições no benefício feito com dados de terceiros, inscrições por pessoas que não seriam elegíveis ao benefício (por exemplo, por já estarem empregadas - inclusive servidores públicos), e inclusive, fraudes no acesso ao aplicativo (Caixa Tem), em que criminosos conseguem acessar o app com os dados da vítima e desviar o benefício. Segundo estimativas da Caixa, divulgadas no final de Junho deste ano, as fraudes em saques de pagamentos do auxílio emergencial deram prejuízo de mais de R$ 60 milhões à Caixa Econômica Federal! A Controladoria-Geral da União (CGU) identificou mais de 160 mil possíveis casos de fraudes no recebimento do auxílio emergencial.

OBS: Você sabe, né? Antes de clicar em um link encurtado pela bit.ly, copie o link, cole ele e adicione um "+" no final. Isso vai mostrar as informações sobre o link e qual é a URL para a qual você será redirecionado.


Segundo uma reportagem do Jornal Extra, dados da PSafe indicam que esse golpe do ovo de páscoa fez 560 mil vítimas em apenas três dias!

Mas convenhamos... sacanagem mesmo, é compartilhar phishing oferecendo cerveja grátis! Esse até eu teria clicado! Em menos de 4 horas, já tinha feito mais de 1000 mil vítimas (e eu conheço uma pessoa que clicou!).


Já estão até mesmo explorando o tema do Coronavírus para mandar mensagem falsa em nome dos bancos!!!


Também circulam mensagens falsas por e-mail em nome da Organização Mundial da Saúde, com arquivo malicioso em anexo.


A Kaspersky mostrou, em uma notícia de Março, um exemplo de uma campanha maliciosa por e-mail que usava o nome de uma farmácia em uma suposta fatura de compra de álcool gel no valor de R$ 3.877,76. Caso a vítima clicasse para visualizar a cobrança, seria infectada com um trojan bancário.


Para identificar uma mensagem suspeita, siga as mesmas dicas de sempre: verifique se o nome no link é um site válido e ref ao site que promete ser, busque por erros de português, e acima de tudo, desconfie sempre de grandes vantagens e promoções. E, acima de tudo: não dúvida, não clique no link e não compartilhe com mais ninguém!!!

Além dos ataques de phishing, outro caso que foi muito divulgado na mídia foi de aplicativos falsos para Android que supostamente seria um mapa da contaminação, mas na verdade eram trojans. Há vários deles espalhados por aí, como no caso do app "Coronavirus Tracker"(ou COVID-19 Tracker), disponibilizado pelo site malicioso "coronavirusapp[.]site", que contém um ransomware para sequestrar o celular da vítima (veja mais detalhes aqui). A boa noticia, nesse caso, é que o desenvolvedor do ransomware não ofuscou a chave utilizada para desbloquear o dispositivo!



  


O pessoal da empresa Lookout reportou o caso do "corona live 1.1", um app para Android que promete ser um mapa baseado no site criado pela universidade the Johns Hopkins. Mas, na verdade, esse app tem o spyware SpyMax, uma ferramenta usada para monitorar o uso do celular.

Segundo dados da Avast, divulgados pelo Terra, a empresa detectou 35 aplicativos maliciosos relacionados ao Covid-19 no mundo todo, que incluíam ransomwares ou trojans bancários. O interessante é que, segundo eles, esses apps maliciosos estão sendo distribuídos por SMS ou links na web - nenhum deles foi colocado nas lojas oficiais, como a Play Store do Google. Entretanto, segundo uma reportagem do portal The Hacker News, a BitDefender diz ter encontrado 579 aplicativos na Google Play em 01 de Janeiro que tinham a palavra "coronavirus" em seu manifesto. Dessas, 9 eram Trojans e 10 foram classificadas pela BitDefender como "Riskware".


Fique atento:
Cuidado: não clique nestes links nem baixe estes apps, pois você pode ter seu smartphone comprometido por um malware.


Até mesmo o Departamento de Saúde e Serviços Humanos dos Estados Unidos (Department of Health and Human Services / HHS) sofreu um ataque distribuído de negação de serviços (DDoS) após uma campanha com o objetivo de espalhar o pânico durante a pandemia do COVID-19.

Além de tudo o que eu citei acima, ainda temos também as mensagens com fake news sobre o Coronavírus circulando nas redes sociais e aplicativos de comunicação. Tais mensagens espalham a desinformação e são um risco para a sociedade. Afinal, em tempos de estresse e grande busca por informações, as pessoas são facilmente atraídas por mensagens mais  sensacionalistas. Para evitar essas mensagens falsas, sempre busque fontes oficiais ou sites confiáveis, de credibilidade. O próprio Ministério da Saúde criou uma página exclusiva para validar as informações que tem sido compartilhadas sobre o novo coronavírus: https://www.saude.gov.br/fakenews.

Por último, a imagem abaixo circulou em vários grupos no WhatsApp, aparentemente sobre um site fake que exigia os dados do cartão de crédito em troca de um teste se o usuário tem o Coronavírus. Mas de tão tosco, é difícil acreditar que o golpe seja verdadeiro.


Essa proliferação de golpes é preocupante pois a população está bem vulnerável. Além de estar propensa a buscar informações sobre o tema, a migrações dos usuários do ambiente corporativo para o home office os torna mais vulneráveis num primeiro momento. Essa enorme quantidade de pessoas trabalhando em casa, a maioria delas pela primeira vez, geralmente utilizam suas redes domésticas que são muito mais inseguras do que a infra-estrutura tecnológica que existe no escritório. Como muitas empresas estão sendo obrigadas a adotar a prática de trabalho remoto e home office, para tentar minimizar a possibilidade de infecção de seus colaboradores, vale a pena dar uma olhada nessas dicas de segurança.

Segundo informações da Federal Trade Comission (FTC) dos Estados Unidos, os golpes relacionadas à epidemia do novo coronavírus (COVID-19) totalizaram em perdas de US$ 4,7 milhões, baseado nas mais de 7,8 mil denúncias recebidas pela FTC até 31 de Março desse ano. O Departamento de Justiça dos EUA recebeu mais de 3.600 denúncias de fraudes relacionadas ao COVID-19 até 21 de Abril. Muitos desses golpes eram operados por sites que anunciavam vacinas e curas falsas. A Carbon Black estima que em Março houve um aumento de 148%, em relação ao mês anterior, nos ataques de ransomware, e eus eles podem ser relacionados com temas relacionadas ao coronavírus e direcionados a empresas com funcionários em home-office.

Um efeito colateral da pandemia foi o aumento de ciber ataques contra os funcionários em regime de Home Office. Segundo a Kaspersky, os ataques de ransomware tem aumentado nesse período de pandemia, aproveitando da maior fragilidade dos usuários trabalhando em home office. E o Brasil é um dos países mais atacados. Além disso, os criminosos também começaram a tentar explorar a infra-estrutura de acesso remoto que foi disponibilizada para os funcionários em regime de Home Office. A Kaspersky, por exemplo, identificou um grande aumento nos ataques de força bruta no protocolo RDP (Remote Desktop Protocol) em 2020.


O Hacktivismo também é uma ameaça, uma vez que ele se alimenta de crises econômicas e sociais.A tendência é que os protestos online e cyber ataques surjam e se proliferem na medida em que os efeitos negativos resultantes da pandemia se espalharem pelo mundo, como elevado número de mortes, pressão social e, principalmente, recessão econômica. No Youtube é possível encontrar vários videos de protesto sobre o Coronavírus, produzidos por diferentes células do Anonymous. Por exemplo, no dia 07 de Abril, uma célula do grupo Anonymous publicou um vídeo nas redes sociais (veja também no Youtube) acusando a Organização Mundial de Saúde de ter sido incompetente e corrupta no tratamento da pandemia. Dias antes, publicaram um vídeo criticando o Bill Gates.


Outro golpe que foi reportado recentemente pelo G1 (e veja resumo no Mente Binária), é o surgimento de "live" (as populares transmissões online) falsas. Essas "live fakes" em canais do YouTube reproduzem uma live oficial de algum artista conhecido, mas além de roubar a audiência dos artistas, também estão divulgando dados falsos para receber doações, que supostamente seriam destinadas a ajudar as vítimas da pandemia.

Com a possibilidade de surgimento de uma vacina contra o novo Coronavírus, o cenário de ameaças mudou e se tornou mais complexo: grupos de espionagem industrial e governamental começaram a atacar empresas farmacêuticas para ter acesso e roubar informações confidenciais sobre o desenvolvimento dessas vacinas. A Europol também já alertou sobre grupos criminosos criando esquemas para revender vacinas falsificadas em fóruns na Dark Web.

Com as vacinas sendo disponibilizadas no mundo inteiro e, felizmente, no Brasil também, o ciber crime não perdeu tempo: Já foram identificados diversos golpes relacionados a promessa de acesso a vacina, desde lojas virtuais fraudulentas e fóruns na dark web vendendo vacinas (possivelmente falsas), campanhas de phishing prometendo o cadastro para acesso a vacina e tentativas de golpe prometendo o cadastro para receber a vacina com objetivo de roubar o código de autenticação ao WhatsApp da vítima. (Atualização em 21/01)


No primeiro trimestre de 2021 a Kaspersky identificou que usuários corporativos no Brasil estavam recebendo e-mails falsos convidando para um suposto agendamento da vacinação. O e-mail levava as vítimas para um formulário que pedia seus dados pessoais e senhas. Mensagens falsas também foram enviadas em nome das empresas farmacêuticas, com um convite para participar de testes de novas vacinas.


Segundo o Fabio Assolini, da Kaspersky, já foram identificados domínios falsos criados com intenção maliciosa. (Atualização em 21/01)


Certamente também veremos aparecer mensagens de Phishing oferecendo venda de vacinas, ou convidando as pessoas para se cadastrarem nas filas de vacinação organizadas pelos governos e órgãos de saúde.

Com o avanço da vacinação e perspectiva de final da pandemia, um novo golpe aproveita a busca por certificados de vacinas - mesmo por pessoas que não querem se vacinar. Grupos criminosos cobram de 300 a 500 reais para incluir comprovante de vacinação no ConecteSUS, aproveitando de funcionários cooptamos para inserir os dados falsos no cadastro do sistema do Ministério da Saúde.

Para saber mais:

PS: Pequena atualização em 25/03 e duas atualizações em 26/03. Post atualizado em 23, 27 e 29/04. Atualizado em 07, 14, 19, 21 e 27/05. Atualizado em 08, 09, 15, 16, 22 e 23/06, e também em 08, 20 e 22/07. Atualizado em 05/08. Post atualizado em 02, 03 e 08/09. Pequena atualização em 02/10. Post atualizado em 14 e 19/10,  em 09 e 23/11, em 08, 09, 10, 24 e 29/12. Pequena atualização em 05/01/2020 (incluindo uma rápida reorganização dos PSs, para centralizar os avisos de atualização aqui no 1o PS). Atualizado em 08 e 21/01 e 19/02. Atualizado novamente em 10/06/2021, 26/01 e 11/02/2022. Atualizado em 21/03.

PS/2 (25/03): A Domaintools disponibilizou uma lista com os domínios maliciosos utilizados para golpes com tema do Coronavírus: "Free COVID-19 Threat List - Domain Risk Assessments for Coronavirus Threats". Eles prometem manter essa lista atualizada.

PS-3: Atualizado em 27/03, com o screenshot do phishing em nome do Banco do Brasil. Atualizado em28/03 com mais 2 exemplos de phishing.

PS 4: (01/04) O pessoal da Tempest criou uma página para centralizar informações sobre golpes relacionados ao Coronavirus, incluindo um repositório com os IOCs das ameaças identificadas pela Tempest (atualizado a cada 30 minutos): https://www.tempest.com.br/home/covid19/

PS 5: (02/04) A RedBelt criou uma página para disponibilizar informações sobre ciber ataques relacionados a pandemia, incluindo um infográfico bem caprixado e um relatório com os principais ataques cibernéticos mapeados por eles, descrevendo o que é, métodos de distribuição, funcionamento e, principalmente, formas de detecção.

PS 6: (03/04) O Fábio Assolini publicou vários tweets com exemplos de golpes virtuais recentes, recebidos por SMS, WhatsApp e e-mail. Veja, por exemplo, esses aqui, aqui, aqui e aqui.



 

PS 7: Post atualizado em 06/04, com informações sobre hacktivismo. Até o momento, identifiquei vários vídeos de protesto no Youtube, mas nenhum ciber ataque.

PS 8 (07/04): Durante essa live, a advogada Dra. Gisele Truzzi fala sobre a importância de proteção de dados nesse cenário de pandemia. Veja também esse vídeo sobre fake news e fraudes eletrônicas.


PS 9: Pequena atualização em 08/04. Além disso, a Polícia Federal soltou uma nota de alerta para ameaças cibernéticas durante a crise do Covid-19. Lista de referências reorganizadas em 09/04. Atualizado em 15/04.

PS 10: Mais uma atualização em 18/04. Além disso, vale destacar que, mesmo com a pandemia e algumas empresas sendo obrigadas a demitir seus profissionais, o mercado de trabalho nas áreas de tecnologia e segurança da informação continua aquecido. As empresas que possuem vagas em aberto estão aproveitando para ir atrás dos profissionais desligados. Veja esse artigo da Globo.com: Covid-19 provoca onda de contratações de profissionais de tecnologia; veja cargos em alta.

PS 11 (18/04): Passei aqui para lembrar que eu criei uma página aqui no blog para centralizar algumas informações e links importantes sobre a pandemia do Coronavírus (COVID-19).

PS 12: (18/08): Segundo a Polícia Civil do Distrito Federal (PCDF), entre março e junho de 2020 os crimes de estelionatos praticados pela Internet aumentaram 198,95% e os crimes de furto mediante fraude subiram 310,97%.

PS 13 (29/09): Segundo a Febraban, durante o período de quarentena, as instituições financeiras chegaram a registrar aumento de mais de 80% nas tentativas de ataques de phishing e o golpe do falso motoboy teve aumento de 65% durante o período de isolamento social.

PS 14 (08/12): A AstraZeneca, uma das três principais empresas farmacêuticas atuando no desenvolvimento de uma vacina para o novo coronavírus, sofreu um ataque cibercriminoso no final de Novembro, coordenado pela Coréia do Norte, que envolveu malware, phishing e engenharia social. Veja mais informações nessa reportagem do portal The Hack, que destaca que diversas empresas envolvidas no desenvolvimento da nova vacina tem sido alvo de ciber ataques.

PS 15 (11/02/22): Esse artigo do The Hackers News (COVID Does Not Spread to Computers) faz uma correlação muito interessante sobre o aumento dos ciber ataques durante o período de quarentena (lock down).

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.