abril 30, 2021

[Segurança] Principais golpes relacionados ao Pix

Aproveitando a campanha de segurança do PIX promovida pelo Banco Central, vale a pena relembrar rapidamente quais são os principais golpes relacionados ao Pix que acontecem atualmente, na minha opinião:
  • Sites falsos em nome do Pix: Os fraudadores enviam links falsos em nome do PIX ou de bancos conhecidos por e-mail, SMS ou redes sociais, para a vítima realizar seu cadastro ou uma transação do PIX. Uma vez no site falso, o criminoso consegue roubar os dados de acesso a conta da vítima.
  • Central de atendimento falsa: O fraudador se passa por um atendente do banco e entra em contato via telefone ou redes sociais para resolver assuntos de cadastro do PIX. Durante o atendimento, a vítima acaba fornecendo informações de login e senha do banco, ou até mesmo o acesso remoto ao seu celular, tablet ou computador.
  • Golpe do Pix em dobro: Os golpistas divulgam esquemas que prometem devolver o valor em dobro para a sua conta se você realizar um PIX para uma determinada “chave do Pix com problema”. O bug não existe e o dinheiro, na verdade, vai direto para a conta do fraudador (veja mais aqui).

Alguns cuidados básicos são suficientes para evitar esses golpes:
  • Proteja seu acesso as contas bancárias. Crie senhas complexas (que não sejam óbvias), não use senhas repetidas e jamais informe sua senha para terceiros;
  • Cuidado com links recebidos por e-mail, SMS ou whatsapp. Verifique a autenticidade dos endereços com cuidado, antes de clicar nos links;
  • Cadastre e faça transações do PIX somente pelo site ou app do seu banco;
  • Não confie em promessas de dinheiro fácil.
PS (adicionado em 30/09): Também existem malwares para celular direcionados a aplicar golpes com o Pix, como nesses 2 casos descobertos pela CheckPoint: Hackers Targeting Brazil's PIX Payment System to Drain Users' Bank Accounts.

#essefilmevocêjáviu
#evitegolpes
#campanhacontragolpes

abril 29, 2021

[Segurança] Fraudes e ameaças nos primeiros meses do PIX

A Axur acabou de divulgar um Relatório das fraudes e ameaças dos primeiros 3 meses de PIX, justamente na semana em que o Banco Central está realizando uma campanha pública de conscientização sobre a segurança e fraudes relacionadas ao PIX.

Esse relatório da Axur traz informações interessantes sobre as fraudes relacionadas com o PIX. A parte inicial do relatório, em que eles apresentam algumas estatísticas sobre a adoção do PIX pela população, traz números bem legais. A discussão sobre fraudes também está boa, mas a abordagem está um pouco superficial e não traz grandes novidades. Eles falam dos phishings, perfis falsos em redes sociais e trazem dados sobre como os ciber criminosos estão interessados sobre o uso do PIX.

Em apenas 3 meses, o PIX já se mostrou um sucesso de uso e aceitação pela população bancária, graças a velocidade e praticidade, que se reflete na sua “instantaneidade” do pagamento e, claro, pela não cobrança de taxas. Mas, assim como em qualquer outro serviço financeiro, os cibercriminosos estão se adaptando para transformar o PIX em uma ferramenta ágil, rentável e garantida em suas atividades criminosas.

Vejam alguns números do Banco Central que o relatório da Axur destacou sobre a adoção do PIX nos primeiros três meses desde o seu início e que refletem o padrão de comportamento dos usuários finais:
  • Uso de chaves para o PIX:
    • A preferência do brasileiro é pelo CPF e chaves aleatórias na hora de criar sua chave PIX, sendo que as chaves aleatórias são majoritariamente usadas por empresas. Das 388,5 milhões de chaves criadas, 34,3% foram registradas com o CPF do usuário, enquanto 26,09% foram criadas aleatoriamente.
    • Geralmente as empresas criam várias chaves PIX, enquanto as pessoas possuem uma chave só.
    • 73,91% das chaves PIX utilizam uma informação pessoal, em contraste com os 26,09% de registros aleatórios.

  • Nos 3 primeiros meses de uso do PIX, foram realizadas 322,2 milhões de transações, que totalizam 270,2 bilhões de reais.
  • 83,4% das transações com o PIX são de pessoa para pessoa ( P2P), correspondendo a 45,22% do total de valores movimentado (aproximadamente 114 bilhões de reais).
  • O PIX é mais popular nas pessoas a faixa etária entre 20 e 49 anos, que representam 86,33% das pessoas que aderiram ao PIX
Phishing, perfis falsos em redes sociais e cibercriminosos falando sobre o PIX foram as principais tendências do ciber crime destacados pela Axur.
  • Axur identificou 669 casos de páginas de phishing envolvendo o termo “pix” na URL. Segundo eles, a tendência é a utilização de domínios maliciosos genéricos, sem menção às marcas dos bancos;
  • Os cibercriminosos estão se passando por instituições financeiras, fintechs e empresas de meios de pagamento através de perfis falsos em redes sociais (Fake Social Profile) para enganar o consumidor final e oferecer atendimento relacionadas ao PIX;
  • O assunto PIX é mencionado com frequência em grupos de cibercrime, incluindo grupos no WhatsApp e Telegram. Antes mesmo do lançamento do PIX já havia conversas sobre ele entre os cibercriminosos, e esse tema foi ganhando volume com o tempo.
  • Os cibercriminosos também estão aceitando o PIX como forma de pagamento pelos seus “serviços”. Isso demonstra que a adesão do serviço foi tão forte que até o crime aderiu culturalmente.
Vale a pena dar uma olhada nesse relatório e ver mais detalhes.

Aproveite o embalo e veja também esse e-book da Axur: “PIX: o guia completo para proteger sua empresa e seus consumidores dos cibercriminosos”.

#essefilmevocêjáviu
#evitegolpes
#campanhacontragolpes

abril 28, 2021

[Cidadania] Diga não ao PL paulista contra a diversidade

Está em tramitação na Assembléia Legislativa do Estado de São Paulo (ALESP) um polêmico e absurdo projeto de lei que propõe criminalizar publicidades que tenham alguma forma de alusão a temáticas relacionadas a diversidade e preferências sexuais.

Projeto de Lei  (PL) 504 / 2020 em questão, tem o seguinte objetivo: "Proíbe a publicidade, através de qualquer veículo de comunicação e mídia de material que contenha alusão a preferências sexuais e movimentos sobre diversidade sexual relacionados a crianças no Estado [de São Paulo]".

O PL é curto, com apenas 3 artigos - aonde o artigo primeiro é o mais relevante por tipificar a conduta considerada danosa, como citado acima. Com apenas uma única frase, o PL consegue destruir décadas de luta pelo respeito a diversidade sexual:
Artigo 1º - É vedado em todo o território do Estado de São Paulo, a publicidade, por intermédio de qualquer veículo de comunicação e mídia que contenha alusão a preferências sexuais e movimentos sobre diversidade sexual relacionado a crianças.
Artigo 2º - As infrações ao disposto no artigo primeiro desta Lei serão, a princípio, multa e o fechamento do estabelecimento que atuar na divulgação até a devida adequação ao que dispõe esta lei.
Artigo 3º - Esta Lei entrará em vigor dentro de trinta dias a contar de sua publicação.
Como o texto do primeiro artigo desse projeto de lei é muito genérico e superficial, ele acaba permitindo diversas interpretações que podem dar margem a censura de campanhas de apoio a diversidade e a ações dos diversos movimentos sociais que lutam pela diversidade sexual. Por exemplo, como essa lei trataria uma propaganda de margarina exibida na TV aberta que mostre um casal homossexual tomando café da manhã? A redação do PL, como está acima, permitiria interpretar que a campanha deve ser censurada pois poderia ser assistida por uma criança e por simplesmente retratar um casal homoafetivo.

Devido a sua redação, diversos setores da sociedade temem que esse PL possa alimentar grupos que promovem o preconceito e o ódio as comunidades LGBT.Além disso, o texto projeto é considerado preconceituoso ("LGBTfóbico") pois associa as pessoas LGBT a uma imagem de má influência e trata seu modo de vida como se fosse uma prática danosa.

Por isso, ele representa um enorme risco de retrocesso para a sociedade e nossa luta pelo direito, respeito e valorização da diversidade humana.

É importante destacar que o parecer apresentado em conjunto por diversas comissões da ALESP (Comissão de Constituição, Justiça e Redação, Comissão de Finanças, Orçamento e Planejamento, Comissão de Defesa dos Direitos da Pessoa Humana, da Cidadania, da Participação e das Questões Sociais) recomendou que o artigo 1o fosse alterado para a redação abaixo, retirando a possibilidade de conotação contra os movimentos de diversidade e apoio a população LGBT:
"Artigo 1º - Fica vedada, em todo território do Estado de São Paulo, a publicidade, por intermédio de qualquer veículo de comunicação e mídia, de material que contenha alusão a drogas, sexo e violências explícitas, relacionados a crianças."
A redação proposta acima torna muito mais claro e objetivo quais temas seriam considerados ofensivos ao público infantil, sem fazer a associação a qualquer atributo relacionado a preconceito de sexo, raça, opção sexual ou qualquer forma de discriminação.

Todos nós precisamos seguir juntos e firmes na luta contra as diversas formas de preconceito enraizados em nossa sociedade (racismo, machismo, homofobia e muitos outros) e na construção de uma sociedade cada vez mais justa e inclusiva. As pessoas tem o direito a liberdade para serem quem são, livres da discriminação pela sua orientação sexual, raça, gênero, credo religioso ou qualquer outro motivo.

A ativista Maitê Schneider publicou um artigo no LinkedIn com uma lista de mais de 500 empresas que se manifestaram contra este projeto de lei (e essa corrente cresce a cada minuto - entre eu ver a lista e escrever esse post, mais de 100 empresas entraram na lista).



abril 27, 2021

[Segurança] Campanha de Segurança contra Golpes Envolvendo o Pix

Durante esta semana, o Banco Central, a Febraban e diversos bancos brasileiros estão realizando uma campanha de segurança para orientar a população contra os principais golpes financeiros envolvendo o Pix.

O tema da campanha, "O Pix é novo, mas os golpes são antigos", reflete a intenção de mostrar que os ciber criminosos tem aproveitado para usar o Pix em diversos golpes já existentes. O Banco Central está publicando posts em suas redes sociais diariamente (como, por exemplo, no twitter), usando uma linguagem visual baseada na temática de "cinema antigo" e as hashtags #essefilmevocêjáviu #evitegolpes e #campanhacontragolpes.

Segundo o Banco Central, os principais golpes e fraudes relacionados ao uso do PIX, que são golpes antigos que agora se aproveitam da agilidade fornecida por esse meio de pagamento, são os seguintes:
  • Invasão de conta: A vítima, enganada pelo criminoso, facilita o acesso a sua conta bancária, sem intenção. Pode acontecer ao responder mensagens de phishing recebidas por e-mail, SMS ou WhatsApp, ou acessando uma página falsa em nome do seu banco. Assim o fraudador rouba os dados de acesso, consegue entrar na conta bancária da vítima e imediatamente desvia dinheiro dessa conta por meio do Pix, transferindo dinheiro para contas de laranja;
  • Central de atendimento falsa: A vítima recebe uma ligação e acaba interagindo com uma central de atendimento falsa para tratar algum assunto normalmente relacionado a segurança, cadastramento ou problema relacionado ao Pix. Durante a conversa, acaba cedendo as suas credenciais ou até permitindo o acesso remoto ao seu celular, tablet ou computador;
  • Clonagem de WhatsApp: O fraudador consegue acessar o WhatsApp da vítima e, assim, envia mensagens para os contatos da agenda (amigos e parentes), solicitando que emprestem dinheiro, que é transferido por meio do Pix;
  • Vendas falsas: O golpista anuncia a venda de algum produto em rede social, sites de anúncio ou em uma plataforma e-commerce, normalmente com um preço muito baixo, para atrair suas vítimas. O fraudador negocia com a vítima, que faz o pagamento por meio do Pix mas acaba não recebendo o produto. Um golpe parecido é o caso de promessa de empréstimo mediante o pagamento prévio de uma taxa ou parcela. 
É muito importante ficar atento contra os golpes mais comuns que acontecem hoje em dia, sempre desconfiando de ligações recebidas em nome do seu banco e tomando cuidado com ofertas que prometem valores muito abaixo do mercado ou grande retorno financeiro. Ao realizar uma transferência pelo Pix, sempre tome o cuidado de conferir os dados do destinatário antes de confirmar a transação.

A campanha encerrará nesta sexta-feira, 30/04, com um evento online do Banco Central as 14h30, que será transmitido no canal do Banco Central no YouTube. O painel contará com a participação de especialistas do setor.

Para saber mais (posts aqui no blog):

abril 25, 2021

[Segurança] O legado de Dan Kaminsky

A comunidade de segurança ficou abalada nesse sábado, 24 de abril, quando surgiram as notícias do falecimento de Dan Kaminsky - um dos pesquisadores mais relevantes na comunidade internacional. Diversos profissionais manifestaram seu pesar nas redes sociais e comentaram sobre a importância de Dan Kaminsky, ressaltando sua personalidade criativa e receptiva.


Tamanho impacto na comunidade me fez lembrar quando foi noticiada a morte de Barnaby Jack, em 2013, na época também um dos pesquisadores mais relevantes no mercado. A notícia de sua morte surgiu alguns dias antes da Black Hat e da Defcon daquele ano, quando ele iria realizar uma palestra muito esperada sobre vulnerabilidades em implantes médicos.

Voltando a falar da triste notícia da partida do Dan Kaminsky, eu queria destacar dois tweets. O primeiro, do Jeff Moss, fundador e organizador da Defcon e BlackHat, aonde ele sugeriu a criação de um prêmio em sua homenagem, o "Kaminsky Awards". Em outro tweet, a Defcon fez uma coletânea das palestras de Dan no evento, que virou um playlist e que eu faço questão de transcrever aqui no blog, da mais antiga para a mais recente:
As suas palestras, em geral, são discussões sobre a segurança dos principais protocolos de rede da Internet - desde o próprio TCP/IP, passando pelo DNS e DNSSEC (um tema que contribuiu muito para sua fama em 2008 - veja os slides dele na BlackHat), PKI e passando por vários outros protocolos de rede, inclusive discutindo sobre Bitcoin em 2011.

 Na lista de vídeos acima é divertido ver a evolução da Defcon no decorrer doa anos, passando pelo Alexis Park, indo para o Riviera e depois para os hotéis mais modernos e, no último vídeo, a primeira edição da Defcon China.

Para saber mais:
PS: Pequena atualização em 25/04 para incluir o link para  notícia sobre a causa da morte.

abril 23, 2021

[Segurança] Aumenta ainda mais o arsenal de extorsões dos Ransomwares!

A vida não está nada fácil para as vítimas dos ransomwares. A cada dia os ciber criminosos inventam novas formas de extorsão.

Há poucos dias atrás, eu comentei das 5 extorsões utilizadas pelos operadores de Ransomware até o momento:
  • O básico: Não descriptografar os dados;
  • Expor publicamente os dados vazados, em fóruns online;
  • Realizar ataques de DDoS contra a vítima;
  • Call centers que ligam para a empresa atacada pelo ransomware.
  • Avisar o cliente que a empresa teve os dados roubados!
Agora, uma nova tática de ameaça começou a ser utilizada...


Avisar os acionistas !

A intenção, ao avisar os acionistas das empresas antes de divulgar a extorsão, é causar o caos mesmo, pois assim eles tem oportunidade de vender as ações da vítima antes que o anúncio de ataque de ransomware cause impacto na avaliação da empresa.


A mensagem diz:
"Agora  nosso time e parceiros estão criptografando várias empresas que tem ações na NASDAQ e outras bolsas de valores. Se a empresa se recusar a pagar [o resgate], nós estamos prontos para fornecer informações antes da publicação, assim será possível lucrar quando os valores das ações [da empresa] caírem."
Fogo no parquinho!

A propósito, já que estamos falando de ransomware, olha a treta: a empresa Quanta, fornecedora da Apple, anunciou que sofreu ataque do ransomware REvil, e o grupo responsável está exigindo o pagamento de um resgate de 50 milhões de dólares para evitar que arquivos confidenciais sejam vazados na dark web, incluindo "blueprints" de produtos da Apple.


PS (Adicionado em 26/05): Veja também esse rápido artigo da Kaspersky sobre Os novos truques dos ransomware.

abril 22, 2021

[Segurança] As técnicas de engenharia social utilizadas pelos ciber criminosos

Recentemente o portal CSO Online publicou um artigo sobre as "7 novas táticas de engenharia social que os agentes de ameaça estão usando atualmente". Embora interessante, é importante lembrar que o artigo representa uma visão do cenário americano.

Por isso mesmo, eu resolvi pensar nas principais técnicas de engenharia social que os ciber criminosos brasileiros estão utilizando atualmente em seus golpes contra os usuários finais - aproveitando e complementando esse artigo do CSO Online.
  • Perfis falsos em redes sociais: um dos principais golpes é o uso de perfis fake nas redes sociais, principalmente no Instagram, em nome de empresas e de atendentes de suporte dessas empresas. Os criminosos entram em contato com suas vitimas para obter dados pessoais ou dados de acesso, ou para oferecer falsas promoções, que devem ser confirmadas através de um código recebido por SMS - justamente o código para conseguir roubar o WhatsApp da vítima!
  • Descoberta de senha bancária: Eu não vejo notícia na imprensa sobre isso, mas hoje um golpe muito frequente para acesso a contas bancárias começa quando os criminosos conseguem roubar um celular da vitima, desbloqueado. Isso é fácil: basta pegar alguém distraído na rua, usando seu celular, ou assaltar um motorista que está usando o seu celular no painel, no app do Waze, por exemplo. Com o celular desbloqueado, eles vasculham os arquivos e até as informações no navegador do aparelho para buscar senhas gravadas no aparelho - e assim eles conseguem acessar o app bancário da vítima - e limpar a conta;
  • Mensagens falsas, de phishing, via e-mail,SMS e Whatsapp: golpe velho, mas que até hoje faz muitas vítimas. O artigo da CSO Online classifica esses phishing por SMS e Whatsapp como "Text fraud";
  
  • QR Codes maliciosos: esta é uma tendência que especulamos no mercado, principalmente com o uso de QR Codes como meio de pagamento (além de algumas empresas específicas, agora temos os QR Codes usados no PIX). No nosso caso, um QR code malicioso pode te fazer realizar um pagamento para a pessoa ou empresa errada;
  • Typosquatting: Mais um golpe velho, quando criminosos criam domínios com nomes parecidos dos originais, usados para hospedar sites maliciosos que pareçam reais.
O artigo cita outras táticas, que eu acredito que ainda vão demorar um pouco para se popularizar no Brasil:
  • Sequestro das notificações dos navegadores ("browser notification hijack")
  • Scams em falsos projetos colaborativos ("collaboration scams")
  • Personificação de fornecedores ("suply chain partner impersonation")
  • Gravações com deepfake ("Deepfake recordings") -isso pode virar uma tendência para uso em fake news e também para fraudadores tentarem burlar ferramentas de autenticação basedas em reconhecimento facial e liveness.
Para saber mais:

abril 20, 2021

[Segurança] Ataques de subdomain takeover

Imagina que você vai no cartório e no Correios e registra que existe uma casa na Rua José das Couves, número 51. Mas tem um detalhe: esse número não existe na rua! Aí um espertinho descobre isso, vai lá na rua e constrói uma casa e bota a plaquinha de número 51 na porta. Você tem o endereço, seus amigos mandam carta para você (faz de conta, né, porque hoje em dia ninguém manda carta), a sua compra na loja de e-commerce vai para esse endereço, mas a casa é de outra pessoa. Em vez de isso tudo chegar para você, o “espertinho” é quem fica com a sua correspondência.

Esse exemplo é bem tosco, criado por um amigo, o Julio Carvalho, que também me indicou alguns dos links que usei nesse post. Tudo isso para ilustrar o significado de um ataque de...


Subdomain Takeover

Em português, seria algo como "sequestro de subdomínios".

Esse é um ataque que acontece com frequência, aonde uma empresa cria um subdomínio apontando para algum serviço online, mas esse serviço não está ativo ou o serviço existente foi desativado. Esse subdomínio, portanto, aponta para lugar nenhum. O atacante, então, vai nesse serviço e cria uma entrada com o nome da empresa, conseguindo que o subdomínio válido aponte para um serviço malicioso. Tais casos frequentemente acontecem com serviços em nuvem oferecidos por terceiros, como o GitHub e com os serviços de bucket S3 da AWS. Nesses dois casos, por exemplo, o atacante descobre que o domínio está errado e cria um repositório com conteúdo malicioso no GitHub ou na AWS – mesmo que usando uma conta própria nesses serviços.


Com esse tipo de ataque, um ciber criminoso pode criar uma página de phishing, um site falso ou um repositório em nome da empresa, mas que esteja hospedando um conteúdo malicioso – só para citar 3 exemplos de consequências indesejáveis para as empresas.

De fato, com a popularização dos serviços de computação em nuvem e repositórios de dados em nuvem, esse ataque ganhou força. É o caso da Amazon Simple Storage Service (Amazon S3), o serviço de armazenamento de dados da Amazon.

No caso da AWS, o ataque de subdomein takover explora a forma que a AWS trabalha com a nomenclatura dos buckets S3. É possível criar uma URL virtual para identificar e dar acesso ao seu bucket, utilizando o formato https://bucketname.s3.Region.amazonaws.com (por exemplo, "ttps://suaempresa.s3.us-west-2.amazonaws.com"), que é equivalente a URL https:// s3.Region.amazonaws.com/bucketname.

Nesse caso, um atacante pode descobrir que sua empresa tinha uma URL cadastrada no DNS, via CNAME, apontando para um bucket desativado. Assim, ele pode “sequestrar” o seu bucket na AWS criando outro bucket com o nome (bucketname) equivalente ao previamente cadastrado pela sua empresa (por exemplo, “suaempresa”) dentro da “amazonaws.com”. Quem cair numa página que tenha esse link ou quem acessar diretamente o link (por exemplo, "ttps://suaempresa.s3.us-west-2.amazonaws.com" oi "https:// s3.us-west-2.amazonaws.com/suaempresa") vai cair numa URL com o nome da sua empresa, mas o conteúdo será malicioso.

O segredo para prevenir esse ataque é, principalmente, ter uma gestão muito cuidadosa dos seus registros DNS, aqueles que apontam o nome (URL) de um site ou serviço para o serviço em si. E também o monitoramento frequente dos seus ativos na nuvem e dos seus registros no DNA, para garantir que os seus domínios continuam válidos. Normalmente esse cadastro de subdomínios é feito pelos campos CNAME do DNS.

Para saber mais:

abril 16, 2021

[Geek] Os Pássaros não são reais

Para mim, de todas as teorias da conspiração, esta é a mais engraçadas e mais non-sense que eu já vi.

Resumindo.... Um grupo de americanos acredita que o governo trocou todos os pássaros do país por drones, pássaros robóticos usados para espionar a população.

Essa teoria tem um nome, site e diversos seguidores: de...



Birds Aren't Real

Em português, "Os Pássaros não são reais".

O site deles tem várias páginas explicando a teoria - e uma lojinha que me deixou com vontade de comprar várias coisas legais - e engraçadas.

O site e a FAQ explicam diversos detalhes sobre essa teoria da conspiração: Os seguidores desta teoria da conspiração acreditam que, entre 1959 e 2001, o governo americano matou mais de 12 bilhões de aves e as substituiu por robôs, forçando a extinção de diversas espécies de pássaros. Para que a população não perceba, os pássaros utilizam uma "tecnologia futurista" que mistura partes robóticas com organismos biológicos - assim as pessoas não percebem que um pássaro morto é um drone. As fezes doa pássaros são usadas para marcar alvos de vigilância - não é a toa que eles alegam que 87% das fezes caem em cima de carros, segundo "documentos confidenciais que vazaram em 2018".

Ah, se você tem um pássaro em casa, cuidado, pois ele é um robô da NSA que está te vigiando, e portanto, evite conversar sobre assuntos confidenciais perto dele!

Para saber mais (links adicionados em 25/04):

abril 13, 2021

[Segurança] Programa nuclear do Irã sofre um novo ciber ataque!

Há 11 anos atrás uma usina de refinamento de urânio virou notícia: em Novembro de 2010 a usina de Natanz, no Irã, teve uma grande parte de suas centrífugas utilizadas para enriquecer urânio destruídas por um ataque do vírus Stuxnet - ao alterar a velocidade de rotação das centrífugas de forma aleatória, o Stuxnet conseguiu destruir aproximadamente 1.000 das 4.700 centrífugas existentes.

Desde então, o Stuxnet virou sinônimo de guerra cibernética. O ataque foi o resultado de um longo plano criado em conjunto pelas forças de espionagem de Israel e dos Estados Unidos, numa operação que recebeu o nome de "Olimpic Games".

Ontem, 12 de Abril, diversos portais de notícia divulgaram que a usina de Natanz sofreu um novo ciber ataque na manhã de domingo, 11/04, que atingiu seu sistema de energia e causou um grande dano - possivelmente uma grande explosão no sistema de energia do complexo, que alimenta as centrífugas de enriquecimento de urânio. Especula-se que a recuperação do complexo pode durar 9 meses..

Embora não haja confirmação oficial, a suspeita é que o ciber ataque foi realizado pela força de ciber inteligência de Israel. Além disso, acredita-se que Israel está por trás do assassinato de diversos cientistas nucleares iranianos nos últimos anos.

O ataque aconteceu um dia após o governo do Irã celebrar o "dia da energia nuclear" e quando estavam prestes a inaugurar um novo modelo de centrífuga, capaz de enriquecer o urânio mais rapidamente.

Para saber mais:

[Segurança] Bomb Denial of Service (BDoS) attack

Recentemente o FBI prendeu um americano que planejava "derrubar 70% da Internet" explodindo um datacenter da Amazon.

A história parece bizarra demais para ser verdade, mas é sim: é bizarra e é verdade.

O americano Aaron Pendley, do Texas, pretendia explodir um datacenter da Amazon Web Services (AWS) localizado em Ashburn, Virginia. O FBI ficou sabendo desse plano maluco quando, em Janeiro desse ano, o terrorista amador postou uma mensagem num fórum online monitorado pelo FBI, o MyMilitia - um fórum usado por radicais de direita nos EUA. Em seguida, ele compartilhou seus planos com um participante do fórum, que o denunciou para o FBI.

Um agente disfarçado do FBI, que participava do fórum, entrou em contato com esse usuário e se ofereceu para vender explosivos plásticos C-4. Detalhe: o Aaron queria destruir o datacenter da AWS para tirar do ar os sistemas da CIA, FBI e do governo americano.


O agente do FBI marcou um encontro no dia 8 de Abril para fazer a venda do suposto explosivo, e aí o Aaron foi preso. Ele pode ser condenado a até 20 anos de prisão.

Os consultores e vendedores de planos e soluções de Recuperação de Disastres devem estar adorando essa história, e vamos vê-la em muitas apresentações comerciais de agora em diante.

Eu prefiro batizar esse "ataque" de...


Bomb Denial of Service (BDoS) attack


Que comecem os jogos!

abril 12, 2021

[Geek] 60 anos do vôo de Yuri Gagarin

Hoje, 12/04, fazem 60 anos que o primeiro homem foi para o espaço. Em 12 de Abril de 1961, às 9h07 no horário de Moscou, o cosmonauta russo Yuri Gagarin entrou para a história ao iniciar o seu voo a bordo da pequena cápsula Vostok 1 rumo ao espaço - com uma frase que entrou para a história: "Lá vamos nós". A decolagem aconteceu na base de Baikonur, na república soviética do Cazaquistão, que na época era uma instalação secreta.


Foi ele quem descobriu, pela primeira vez, que "a Terra é azul".

Um piloto de jatos da força aérea russa, major com apenas 27 anos de idade na época, Gagarin completou uma volta ao redor da Terra e, 108 minutos após o lançamento, pousou em solo russo – marcando a hegemonia da União Soviética (URSS) na recém inaugurada corrida espacial. Na época, o cosmonauta não possuía controle nenhum sobre a nave – ele apenas ficava sentado enquanto o centro espacial russo manobrava a nave.

Algun anos antes, em 1957, os russos já tinham assustado o mundo ao colocar em órbita o satélite artificial Sputnik, o primeiro satélite em órbita da Terra. 

Veja mais em:

abril 09, 2021

[Segurança] App vaza dados da Williams antes de lançamento do novo carro de F1

Esse é um caso interessante aonde uma falha em um app desenvolvido por terceiros impactou o lançamento de um carro de Formula 1 - mostrando uma relação importante entre segurança de aplicações e o negócio.

A Williams estava pronta para fazer um grande lançamento de seu novo carro de Fórmula 1 no dia 05 de Março deste ano, com o uso de um aplicativo de realidade virtual para que as pessoas "vissem" o seu novo carro para a temporada 2021.

Entretanto, uma pessoa conseguiu "invadir" o app na véspera do lançamento, permitindo acesso a imagens com os detalhes do carro, antes do lançamento.

As informações vazaram e as fotos do modelo 3D do novo carro foram compartilhados na Internet. O app de realidade virtual foi tirado do ar, causando uma situação embaraçosa para a Williams.

  

Não foi necessária uma invasão complexa. O incidente aconteceu pois uma pessoa fez uma rápida engenharia reversa do app de realidade virtual e encontrou o arquivo com os modelos em 3D. O atacante, identificado como Astorphobis, descreveu como conseguiu obter os dados:




abril 07, 2021

[Segurança] Raio X do mercado de Bug Bounty

No início de março a HackerOne lançou a nova versão de seu The 2021 Hacker Report, um relatório que descreve o mercado de Bug Bounty, do ponto de vista da HackerOne.


Veja algumas informações interessantes do relatório, que traça um perfil da comunidade de hackers e pesquisadores que participam dos programas de Bug Bounty gerenciados pela HackerOne:
  • Houve um aumento de 63% no número de hackers que enviaram vulnerabilidades válidas na HackerOne no ano passado, que atingiu mais de 1 milhão de hackers registrados na plataforma;
  • Os hackers ganharam US$ 40 milhões apenas em 2020. Nove participantes ganharam mais de 1 milhão de dólares desde 2019, e um pesquisador ultrapassou a marca de US$ 2 milhões em 2020;
  • A maioria (82%) da comunidade se define como hackers em tempo parcial e 35% mantêm um emprego em tempo integral;
  • 55% da comunidade possui menos de 25 anos;
  • A maior motivação, 85%, é de aprender e expandir suas habilidades. 76% são motivados pelas recompensas, 62% participam com objetivo de avançar em suas carreiras. Os hackers também são motivados pelo desejo de fazer o bem, com 47% hackeando para proteger e defender empresas e indivíduos de ameaças cibernéticas;
  • Das 10 principais vulnerabilidades, a categoria de "divulgação de informações" ("information disclosure") teve o maior aumento em envios válidos, com um crescimento de 65% comparado com o ano passado. Embora ainda não seja uma das dez principais vulnerabilidades relatadas, os relatórios de configuração incorreta aumentaram 310% em 2020, impulsionados pela mudança para a nuvem provocada pela pandemia.

O relatório também discute um pouco o impacto da pandemia do Coronavírus no mercado de Bug Bounty:
  • 38% dos pesquisadores passaram mais tempo hackeando desde o início da pandemia;
  • 34% ganharam mais recompensas;
  • 34% dos hackers disseram que viram mais bugs como resultado da transformação digital provocada pela pandemia.
Para saber mais:

abril 05, 2021

[Segurança] Aumenta o arsenal de extorsões dos Ransomwares

Eu já comentei aqui no blog que atualmente os ransomwares estão direcionados as empresas, aonde conseguem impor resgates com valores milionários. Por exemplo, recentemente a fabricante de computadores Acer foi infectada pelo ransomware REvil, que solicitou a modesta quantia 50 milhões de dólares pelo resgate dos dados. Este valor é um dos resgates mais caros já identificados em ataques de ransomware!

Para convencer as empresas a pagarem os resgates, já eram conhecidas as técnicas de "double extortion" e até mesmo "triple extorsion", ou seja, se as empresas não pagarem o resgate do ransomware, os ciber criminosos ameaçam:
  • Não descriptografar os dados, e assim a empresa perde acesso definitivo as suas informações (a menos que tenha um backup delas!);
  • Expor os dados publicamente, em fóruns online. Antes de criptografia, os ransomwares roubam os dados e, assim, podem ameaçar vazá-los posteriormente;
  • Incluir ataques de DDoS contra a vítima, e assim, forçar o pagamento;
  • Além disso, já foi noticiado o uso de call centers para ligar para a empresa atacada pelo ransomware.
Qual é a novidade agora? Avisar o cliente que a empresa teve os dados roubados!

Em uma reportagem recente, o Althieres Rohr destacou um caso noticiado no portal Bleeping Computer: uma empresa americana, invadida por ransomware, viu que os autores do ransomware estavam usando as informações roubadas para enviar e-mails alarmistas aos clientes e funcionários. A mensagem do ciber criminoso alerta sobre um iminente vazamento de dados da empresa e pede que o destinatário pressione a empresa para "proteger sua privacidade".

Imagina a treta que isso pode dar....

abril 01, 2021

[Segurança] Dicas do WhatsApp sobre como se proteger... do golpe do WhatsApp

Recentemente o Whatsapp começou uma campanha em redes sociais e sites compartilhando dicas sobre como se proteger do golpe do WhatsApp, que é uma verdadeira ciber pandemia aqui no Brasil.

Essa 1a frase merece um meme...


A campanha do Whatsapp, que você pode ver nessa matéria publicitária no portal G1, é baseada em infográficos com dicas bem objetivas sobre como prevenir e como agir caso você tenha seu WhatsApp clonado:
  • Deixe a sua foto do perfil privada, para que somente seus contatos a vejam. Isso porque um golpe muito comum consiste em colocar a foto da vítima num perfil qualquer e, com acesso aos seus contatos, se identificar como a vítima e dizer que trocou o número de telefone. Em seguida, pedir dinheiro emprestado. Esse golpe é tão simples que é difícil acreditar que alguém cai - mas muita gente, infelizmente, tem caído nesse golpe;
  • Ative o segundo fator de autenticação;
  • Nunca compartilhe o código de autenticação do WhatsApp que você recebe por SMS;
  • Caso você tenha seu WhatsApp clorado, avise seus amigos e familiares imediatamente, tente reativar a sua conta e procure ajuda do WhatsApp.
Eu tenho uma dica extra, que considero muito importante:
  • Se alguém parente ou amigo te pedir dinheiro emprestado pelo WhatsApp, antes de transferir o dinheiro faça uma ligação de voz ou vídeo para ter certeza de que está falando com a pessoa correta.
Veja o infográfico criado pelo pessoal do WhatsApp:


Aproveite e veja também a matéria do G1: Golpes no WhatsApp: veja, em infográfico, dicas sobre como se proteger.


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.