setembro 30, 2021

[Segurança] Pare&Pense: Pode ser golpe!

A Febraban está iniciando uma nova campanha para a sociedade, de conscientização sobre os principais golpes financeiros que assolam os brasileiros.

Você já viu um anúncio de leilão oferecendo produtos por preços muito baixos? Já emitiu um boleto para pagamento em um site que não parecia muito confiável?O banco ligou pedindo a senha da sua conta? Um parente ou conhecido te chamou no WhatsApp pedindo dinheiro emprestado? Já recebeu um e-mail ou SMS do banco pedindo para você clicar e atualizar os seus dados bancários?

Com o tema "Pare&Pense: #podesergolpe", a campanha doca nas principais dicas de prevenção contra os golpes mais frequentes. Além de posts em redes sociais e do conteúdo disponível na página antifraudes.febraban.org.br, a campanha da Febraban também deve passar na TV aberta.


O site da Febraban listam os principais golpes abaixo:
  • Golpe da falsa central de atendimento
  • Golpe do falso motoboy
  • Golpe do falso leilão
  • Golpe do Whatsapp
  • Golpe da troca de cartão
  • Cuidado com as senhas
  • Golpe do link falso
E a Febraban também sugere 10 dicas para evitar cair nesses golpes:
  1. Cuidado com as suas senhas: Não compartilhe sua senha com amigos e parentes ou encaminhe senhas por aplicativos de mensagens, e-mails ou SMS. Nunca utilize dados pessoais como senha (ex. data de aniversário, placa de carro etc.) nem números repetidos ou sequenciais (ex. 111111 ou 123456) nem anote senhas em papel, no celular ou no computador.
  2. Nunca clique em links desconhecidos: Sempre confira a origem das mensagens ao receber promoções e e-mails que se dizem do banco. Nunca clique em links de promoções muito vantajosas ou que peçam sincronização, atualização, manutenção de token, app ou cadastro. O banco nunca envia e-mails informando que sua conta foi invadida e pede para enviar os seus dados.
  3. Cuidado em compras online: Dê preferência a sites conhecidos e confira sempre se o endereço do site é o verdadeiro. Para garantir, não clique em links, digite o endereço no navegador. Sempre use o cartão virtual para realizar compras na internet.
  4. Cuidado com o que compartilha nas redes sociais: Um simples post pode dar muitas informações sobre você para golpistas.O que você compartilha pode ajudar bandidos a conhecer seu perfil e comportamento.
  5. Cuidados com seu cartão: Nunca entregue seu cartão a conhecidos ou ao banco. Os bancos não pedem os cartões de volta, mesmo se houver a possibilidade de fraude ou defeito. Eles também não mandam um portador buscar seu cartão.
  6. Ative duplo fator de autenticação: Sempre ative a função de segurança “duplo fator de autenticação” em suas contas na internet que oferecem essa opção: e-mail, redes sociais, aplicativos, sistemas operacionais etc.
  7. Confira seu cartão após uma compra: Ao terminar de realizar uma compra na maquininha, verifique o nome no cartão para ter certeza de que realmente é o seu. Sempre confira o valor na maquininha antes de digitar a sua senha. E proteja o código de segurança.
  8. Cuidado nas operações bancárias: Sempre confira o nome do recebedor ao pagar um boleto, realizar transferências ou Pix.
  9. Não fotografe ou filme a tela do caixa eletrônico ao usá-lo: Nunca envie fotos, vídeos ou capturas de tela pelo celular. Se precisar de auxílio no caixa eletrônico, peça ajuda a um funcionário do banco devidamente identificado.
  10. Atenção com ligações: Se receber contato em nome do banco solicitando para ligar para sua Central de Atendimento, ligue a partir de outro aparelho, assim evita que o golpista “prenda” a sua linha telefônica e nunca informe suas senhas.
#podesergolpe

setembro 29, 2021

[Segurança] Chegou a 8.8 no Brasil !!!

Está chegando no Brasil a 8.8, um evento de segurança que nasceu no Chile e já tem várias edições em toda a América Latina e uma edição em Las Vegas, realizada na mesma semana da Defcon com palestrantes só da América Latina. A primeira edição da 8.8 foi realizada no Chile em 2011, um ano após o grande terremoto que atingiu o país em 2010, e que acabou inspirando o nome do evento.

8.8 Brasil vai acontecer no dia 06 de Outubro, das 10h as 19h. Devido a pandemia, o evento será online e gratuito. Além de excelentes palestrantes, a 8.8 Brasil terá como Keynote speakers o Chema Alonso e o Cesar Cerrudo.

A 8.8 Computer Security Conference é um evento sobre segurança cibernética, 100% técnico, cujo principal objetivo é compartilhar informações, democratizar o conhecimento e fomentar a comunidade. É uma conferência com palestrantes internacionais e nacionais, escolhidos entre grandes especialistas na área. A 8.8 se diferencia por ser uma conferência que busca a integrar a comunidade de pesquisa em segurança com os profissionais e executivos de mercado. O público é formado por profissionais experientes em segurança e executivos, CSOs e CISOs, junto com grandes palestrantes internacionais apresentando conteúdo de altíssima qualidade, com temas técnicos e avançados.

Como comparação, a 8.8 tem uma qualidade parecida com a nossa You Sh0t the Sheriff (YSTS), no Brasil, tanto em termos de infra-estrutura como programação e pela excelente qualidade das palestras. A maior diferença, nesse caso, é que a YSTS é um evento restrito somente para convidados, enquanto a 8.8 é um evento aberto ao público. No canal da 8.8 no YouTube é possível assistir diversas palestras que já foram realizadas.

A conferência se destaca por sempre usar uma linguagem visual colorida e com referências a cultura pop. O tema desse ano é "Enteka", a palavra em grego para "11", que foi adotada para representar o nosso primeiro passo em uma nova década.

Este ano estamos realizando a primeira edição no Brasil, e esperamos reunir muitos interessados ​​para um evento com palestrantes locais e internacionais em uma programação muito interessante e divertida, um dia inteiro de palestras das 10h as 19h. Montamos uma agenda com diversos palestrantes brasileiros, dois argentinos, uma canadense e um palestrante espanhol, o Chema Alonso - um dos maiores especialistas de segurança atualmente, Chief Digital Consumer Officer da Telefonica e conhecido por ter fundado a ElevenPaths. O Chema será o keynote speaker do evento, e esta será a primeira vez que ele palestra em um evento público no Brasil.

Devido a pandemia do novo Coronavírus, a 8.8 Brasil vai ser realizada online e gratuita. A 8.8 costuma ser realizada presencialmente, normalmente em um teatro, com uma trilha de palestras, competição de CTF e área de expositores, alem de intervalo e happy hour com cerveja grátis para os participantes. Nesse modelo tradicional, presencial, o evento é pago, com uma pequena taxa de inscrição. Mas, devido a pandemia, desde o ano passado o evento migrou para o mundo online, e assim, passou a não cobrar inscrições.

Para participar da edição brasileira da 8.8, online e gratuita, basta se inscrever nessa página de inscrições.

A 8.8 também está presente no México, Bolívia e Peru, além de três regiões do Chile e algumas edições temáticas - como uma edição para as forças armadas e a 8.8 Lovelace, realizada em Julho deste ano para apoiar as mulheres na área. Do ponto de vista global, o evento já recebeu mais de 240 palestrantes especialistas internacionais e nacionais em segurança da informação e mais de 9.000 participantes em todos os países.

A 8.8 Brasil é organizada pelo time da 8.8 Chile em parceria com os mesmos organizadores da Security BSides São Paulo: eu, o Thiago Bordini e o Ranieri Romera.

Além dos patrocinadores "globais", que suportam todas as edições do evento, a 8.8 Brasil vai contar com algumas empresas locais que também estão patrocinando essa primeira edição: a Axur, CrowdStrike, ForcePoint, Securiti e a Trend Micro Brasil já estão confirmadas!

Para saber mais:

PS: Veja também uma versão deste post no meu perfil do Linkedin.

PS/2 (Adicionado em 03 e 05/10): A grade de palestras do evento está disponível, com vários palestrantes brasileiros e internacionais. O Chema Alonso será o keynote speaker, iniciando o evento as 10 da manhã, mas também teremos vários palestrantes nacionais: o Filipi Pires, o Fabio Assolini falando sobre o malware Ghost Hand junto com o Fabio Marengue, o Noilson Caio, a Rob Robert, e também um painel sobre Threat Intel com o o Thiago Bordini, a Cris Barbosa e o delegado Emerson Wendt. Veja a agenda e se inscreva pelo site: https://www.8dot8.org/8-8-brasil/


PS 3 (adicionado em 05/10): Veja também algumas matérias que saíram sobre o evento:

[Segurança] H2HC 2021 cancelada :(

H2HC (@h2hconference) é, sem dúvida, o maior, mais antigo e mais importante evento brasileiro de pesquisa em segurança, além de um dos mais importantes da América Latina.

A H2HC não foi realizada no ano passado por causa da pandemia, mas estava prevista para acontecer nos dias 23 e 24/10 deste ano. Infelizmente, a coordenação anunciou que decidiu cancelar o evento este ano, novamente por causa do risco e dos impactos relacionados a pandemia do novo Coronavírus.

Em uma carta publicada no site do evento, os organizadores explicam que, além da preocupação com a saúde dos participantes, um fator decisivo foi a indisponibilidade de local: os dois hotéis em que foi realizada pelas últimas vezes estão fechados. Além disso, segundo eles, muitos dos palestrantes internacionais que foram consultados não tem interesse em arriscar uma viagem para participar do evento.

Assim como o You Sh0t the Sheriff (YSTS) e a Security BSides São Paulo, os organizadores da H2HC não se interessaram em realizar uma edição online pois também acreditam que o principal valor do evento é permitir a interação pessoal entre os participantes, algo que só é possível nos eventos presenciais.

Estamos próximos de completar 600 mil mortes no Brasil, relacionadas ao COVID-19, e as estatísticas sobre a pandemia mostram que, apesar do grande avanço na vacinação, a pandemia continua ativa em nosso país. Por isso, todo cuidado ainda é pouco.

Leia a carta publicada no site do evento.

setembro 24, 2021

[Segurança] Como evitar o golpe da maquininha

Com a popularização dos serviços de entrega e delivery, durante a pandemia, cresceu também o "golpe da maquininha", quando o entregador cobra presencialmente o valor da compra, e passa um valor muito acima do devido, roubando dinheiro da vítima.

Recentemente o pessoal do iFood publicou um artigo com um infográfico bem legal explicando como funciona a fraude e como as pessoas podem evitar cair nesse golpe da maquininha. Eles citam 4 variações desse golpe, como quando o entregador usa uma maquininha com o visor adulterado ou quando avisa que tem uma taxa extra.

Para saber mais:

setembro 23, 2021

[Segurança] Livro de Gestão da Segurança do Semola

 O Marcos Sêmola disponibilizou publicamente a íntegra do seu livro Gestão da Segurança da Informação no site www.livrodeseguranca.com. um dos livros nacionais mais antigos na área. Escrito há cerca de 20 anos atrás, ele inspirou diversas gerações de profissionais.

O livro, com 193 páginas nessa sua 2a edição, está disponível para download em PDF e no formato para o Kindle.

setembro 21, 2021

[Segurança] Todo mundo pode evitar golpes no WhatsApp

O WhatsApp lançou recentemente uma campanha de conscientização para seus usuários, utilizando influenciadores digitais para falar sobre os cuidados para evitar cair em fraudes realizadas através da troca de mensagens.

Os vídeos são bem produzidos, com visual atrativo, linguagem moderna e descontraída. Em cada vídeo, eles vão direto ao ponto. O tema da campanha é "Todo mundo pode evitar golpes no WhatsApp". Ou melhor: "Todo mundo pode cair em golpes no WhatsApp. Mas todo mundo pode evitar".

Este primeiro vídeo, da Pequena Lo, ensina como cadastrar a senha de 6 dígitos para proteger a conta do WhatsApp.

No vídeo com o Hugo Gloss, ele dá uma dica muito simples e importante: se algum conhecido pedir dinheiro emprestado e estiver usando um número novo, ligue para o número antigo para tentar confirmar a  identidade da pessoa e sua história.

Neste vídeo, a Thelminha fala sobre a importância de não compartilhar o código de ativação do Whatsapp, e assim, evitar que o fraudador tenha acesso a sua conta.

Vale a pena também dar uma olhada nessa página com dicas de segurança para sua conta do WhatsApp.



setembro 17, 2021

[Segurança] Preparativos para o Mês da Conscientização em Segurança

Outubro é considerado o mês da conscientização em segurança ("Security awareness month"), uma data escolhida para incentivar as empresas a concentrarem suas ações de conscientização.

Há muito material disponível gratuitamente para apoiar essas ações, e não por coincidência, diversas entidades e empresas compartilham mais dicas de materiais nesse mês.

O pessoal da Knowbe4 disponibilizou um kit de conscientização, com diversos template, postes e infográficos.


Eu achei legal que eles proposta um calendário de ações, aonde em cada semana teria um tema principal e seriam divulgados um infográfico, um vídeo, um pôster e um sumário de dicas para cada tema. Acho legal ter esse tipo de planejamento para dar coerência ao programa de conscientização.

Veja também:

setembro 16, 2021

[Segurança] Perguntas e respostas sobre Bug Bounty

Eu já apresentei algumas palestras sobre Bug Bounty, a mais recente foi no The Developers Conference, além de ter participado de painéis sobre o assunto, como dois painéis organizados pelo pessoal do MindTheSec: na edição deste ano e também no ano passado (Bug Bounty: como implantar um programa e o que você precisa saber - veja o vídeo).

Resolvi aproveitar e compartilhar aqui algumas perguntas e respostas frequentes, baseados em minhas palestras e no que discutimos nos painéis.

Atualmente estou estudando para caçar bounts em um futuro próximo, mas estou bem no início ainda, quais conhecimentos técnicos vocês consideram fundamentais pra quem ta começando?

Eu acredito que é necessário ter um conhecimento técnico em protocolos de redes, programação e engenharia reversa. Mas, na verdade, o ideal é você escolher uma área e se especializar nela - ex: desenvolvimento web, desenvolvimento mobile, redes, etc. E aí você vai buscar vulnerabilidades específicas nessa área de conhecimento.

Para aprendizagem na prática, eu recomendo também participar de competições de Capture The Flag (CTF).

Num cenário onde existe um backlog de vulnerabilidades conhecidas e um cenário amplo de aplicações críticas. Como identificar o momento certo de colocar o bug bounty no ar e quais apps priorizar?

Na minha opinião pessoal, a empresa precisa ter um processo maduro de segurança antes de implantar um programa de Bug Boutny. Isso inclui uma cultura de DevSecOps, para minimizar a possibilidade de bugs em seus ambiente em produção, e principalmente, processos e capacidades para identificar e corrigir vulnerabilidades, preventivamente e proativamente.

Claro que cada empresa vai adotar o programa de bug bounty de acordo com sua realidade e suas capacidades. Uma possibilidade é começar o programa com um escopo limitado e ir abrindo o programa à medida que a maturidade do time vai aumentado.

O Bug bounty pode substituir o pentest?

Não. Eu acredito que o Bug Bounty complementa o esforço de identificar vulnerabilidades, que inclui o pentest, testes estáticos e dinâmicos, etc.

Além do mais, O importante é que o aplicativo esteja o mais seguro possível, dentro das capacidades da empresa. Um aplicativo inseguro em produção pode causar grandes prejuízos em fraude. Se tiver um programa de bug bounty, a quantidade de reports e o gasto com premiação pode ser enorme.

Como funciona a comunicação entre o pesquisador e a empresa diante da falha encontrada e classificada? 

Toda comunicação é realizada através plataforma de bug bounty, aonde o pesquisador se cadastra, acessa a página referente ao programa da empresa e possui uma interface (por exemplo, como um formulário) para submeter o seu report. Essa plataforma permite a comunicação entre o profissional, a empresa e o time de triagem dos chamados, um serviço que pode ser fornecido pelo provedor da plataforma.

Veja, por exemplo, esse pequeno vídeo da HackerOne que explica como funciona a gestão de reports na plataforma deles:

Bugs encontrados, são decorrência da lógica falha do programador? Ou são consequência involuntárias? 

Bugs podem acontecer por qualquer problema ou causa. Pode ser um erro na especificação do software ou do protocolo, pode ser um erro lógico na implementação ou causado por uma codificação errada, por exemplo.

Quando erros básicos são descobertos como isso se reflete nas equipes internas de devsecops? Advertência até demissão? 

Bugs fazem parte do processo de desenvolvimento. Não existe porque punir o programador, seja uma advertencia ou nem mesmo uma demissão, a menos que você comprove que o bug foi intencional, criado com objetivo de prejudicar a empresa (o que eu acredito que deve ser raro). Se a sua empresa tiver capacidade de identificar os programadores responsáveis por determinado produto ou código, e identificar que um determinado programador tem desenvolvido software com uma quantidade muito grande de bugs, acima da média da equipe, provavelmente esse profissional precisa de treinamento e capacitação.

Não existe um contrato e seu uso na justiça se o escopo for ultrapassado? Como a empresa pode comprovar e usar esse recurso na quebra de contrato?

Antes de mais nada: não existe contrato nem relacionamento direto entre a sua empresa e os pesquisadores, tudo é intermediado pela empresa que fornece a plataforma de Bug Bounty. Na verdade, existe um contrato entre a empresa que tem o programa de Bug Bounty e a empresa que oferece a plataforma, e os pesquisadores tem um relacionamento com a plataforma, aceitando seus termos de uso ao se cadastrar nela.

Também não faz sentido para a empresa quebrar contrato com o fornecedor da plataforma caso um pesquisador reporte uma vulnerabilidade fora do escopo. Nesses casos, o que acontece é que o Report será rejeitado, a empresa não pagará a premiação e ele (ou ela) irá perder pontos de reputação na plataforma, mesmo que a vulnerabilidade seja real. Por isso poucas vezes alguém envia uma notificação sobre problema que esteja fora do escopo.

As empresas no Brasil estão começando a focar e considerar no budget o programa Bug bounty?

Eu acredito que o mercado nacional de bug bounty ainda não tem a mesma maturidade que o mercado americano e global. Acredito que poucas empresas brasileiras estão considerando a possibilidade de implementar um programa de bug bounty, mas estou vendo um aumento crescente pelo interesse no assunto.

setembro 14, 2021

[Carreira] Dicas para promover a diversidade na sua empresa

Neste dia 13/09/2021 eu tive a oportunidade de participar, como moderador, em um painel no Mind The Sec dentro da trilha LeaderZone, em que discutimos sobre a "Diversidade na contratação", ou melhor, a diversidade no nosso mercado de trabalho. O painel foi ótimo e contou com a participação da Ceu Balzano, da Karina Queiroz e do Rodrigo Bonfim.

No meu ponto de vista, que eu expus logo no inicio do painel, o nosso mercado de trabalho é um reflexo do preconceito estrutural que existe na nossa sociedade: é formado predominantemente por profissionais do sexo masculino (homens), brancos e héteros. Proporcionalmente a população, a presença de mulheres e pessoas negras é bem pouca. Isso é consequencia do racismo estrutural, dos problemas econômicos e dos preconceitos que existem em nossa área - incluindo aquela visão incorreta de que "tecnologia é coisa de menino".

Infelizmente o tempo foi curto e todos nós ainda temos muito o que discutir sobre esse assunto, mas nós do painel preparamos uma pequena lista com 9 dicas de como promover a diversidade no mercado de segurança:
  • Em vez de contratar um profissional Senior, forme um Junior;
  • Busque pessoas em faculdades de segunda linha e colégios técnicos;
  • Participe de programas de mentoria para jovens;
  • Apoie comunidades que auxiliam as minorias a entrar no mercado;
  • Busque analisar a história e as motivações, seja mentor;
  • Tenha um canal de transparência, para receber denúncias;
  • Eduque e conscientize pelo exemplo, não pelo "mimimi";
  • Não espere que os outros vão resolver o problema por você. Arregace as mangas!
  • Contrate pessoas de outras cidades e estados (aproveita que liberou o home office!).
Sobre a dica do canal de transparência, quero complementar que, infelizmente, ele pode ser necessário, mas também tem o aspecto positivo de transmitir a mensagem de que a empresa está prestes a ouvir e investigar qualquer atitude inapropriada de seus colaboradores. Também transmite as minorias a mensagem de que a empresa se preocupa com elas e que existe um canal para pedir ajuda, caso necessário.

setembro 13, 2021

[Segurança] Roubo de celulares em São Paulo

Uma reportagem do jornal SP TV2 trouxe números alarmantes sobre o roubo e furto de celulares no estado de São Paulo e na capital.


Segundo o levantamento baseado em dados de casos registrados pela Secretaria de Segurança Pública (SSP), cerca de 160 mil celulares foram levados pelos criminosos nos primeiros sete meses do ano, no estado de São Paulo, uma média de 31 por hora, ou 1 celular a cada 2 minutos. Foram 86.962 casos de roubo com agressão ou uso de armas. Enquanto você lê esse post, provavelmente 2 celulares foram roubados.

Para ser sincero, os dados apresentados na reportagem são um pouco incoerentes ou desencontrados: entre os erros mais gritantes, os totais e as médias parecem não coincidir, e a reportagem apresenta duas listas diferentes sobre os bairros com maior número de casos. Por exemplo, nos dados da reportagem, a Praça da República tem mais casos do que todo o bairro da República, aonde a praça está inserida! Talvez essa discrepância aconteça pela confusão entre furto e roubo - talvez os responsáveis pela reportagem tenham misturado estatísticas dos dois casos, sendo que seria mais simples tratar tudo como uma coisa só, como sugere o título da reportagem.

A propósito, quem escreveu a reportagem não se tocou que "86.962 mil" representa, na verdade, 86,9 milhões.


Mas, enfim, foram apresentadas as seguintes estatísticas:
  • roubo de celulares na Capital: 50.602
  • roubo de celulares no estado de São Paulo: 86.962
  • furto de celulares no estado de São Paulo: 72.763
Na cidade de São Paulo, em média são furtados 210 celulares todos os dias. Veja quais são algunss bairros com maior número de registros de furto ou roubo de celulares na capital de São Paulo de Janeiro a Julho desse ano:
  • Capão Redondo: 2.021 casos
  • Brás: 1.955 casos
  • Praça da República: 1.859 casos (*)
  • Bela Vista: 1.541casos
  • Grajaú: 1.541casos
  • Jardim Ângela: 1.328 casos
  • Consolação: 1.299 casos
  • Bom Retiro: 1.204 casos
  • República: 1.196 casos (*)
  • Campo Limpo: 1.204 casos
(*) Esses números são descaradamente conflitantes.

  

O elevado número de roubos na região central da cidade acontece porque esta é uma região com grande movimentação de pessoas, o que acaba atraindo os criminosos. Atualmente existem grupos especializados em roubar celulares para invadir as contas correntes das vítimas, através dos apps bancários, além de realizar fraudes nos apps de e-commerce e delivery. Por isso, os criminosos tentam pegar os celulares quando eles estão sendo usados, desbloqueados. Ou então, ao anunciar o assalto exigem que a vítima desbloqueie o aparelho. A recusa pode acabar em morte da vítima, infelizmente, como já aconteceu várias vezes.

Para saber mais:
PS (adicionado em 21/09/2021): Os casos de roubo de celular estão acontecendo com assustadora frequência, e os criminosos estão ficando cada vez mais agressivos, com relatos de vítimas serem baleadas e mortas se reagem ao assalto. Por isso, todo cuidado é pouco.
PS/2 (adicionado em 30/09): Devido a grande repercussão que esse crime tem causado, as autoridades estão se mobilizando para combate-lo. Uma operação policial recente em São Paulo prendeu mais de 300 pessoas envolvidas, incluindo "canteiros", pessoas especializadas em criar contas falsas em aplicativos bancários, para receber os valores transferidos das vítimas.

[Humor] Piadas de tiozão sobre ransomware

Nesta semana teremos o Mind The Sec, o maior e mais importante evento corporativo de segurança (na minha opinião). O evento, previsto para 5 dias, de 13 a 17 de setembro, Durante o evento, o intervalo de almoço será preenchido por um bate-papo apresentada pelo pessoal dos podcasts You Sh0t the Sheriff e Securecast, comigo também participando, de bicão. No ano passado fizemos essa conversa no estilo "rádio", mas dessa vez será com imagem também.

As conversa acontecerão nos dias 14 a 16, das 12:30 as 14h.


O objetivo é ter um bate-papo descontraído e divertido, comentando sobre o evento e o que mais surgir de assunto. Para contribuir com o humor de qualidade duvidosa, eu criei algumas "piadas de tiozão" sobre ransomware, que irei comentar durante a rádio:
  • Quantos ransomwares são necessários para trocar uma lâmpada? Só um. Os ransomwares fazem triple extorsion (criptografa, vaza os dados e faz DDoS) e ainda queimam e trocam a sua lâmpada.
  • O que um ransomrare disse para o outro? Não sei, estava criptografado.
  • Por que o ransomware cruzou a estrada? Para invadir a empresa do outro lado.
  • O que é um pontinho preto na tela do computador? É o ransomware DarkSide.
  • Por que o CISO saiu da empresa depois do ataque de ransomware? Porque ele pegou "ranço" pela coisa.
Para evitar spoilers, eu vou atualizar esse post com as respostas somente depois do evento ;)

PS: Post editado com pequenos ajustes.
PS/2: post atualizado para incluir as respostas em 14, 15 e 16/09. Duas novas piadas adicionadas em 16/09.

setembro 10, 2021

[Segurança] O Golpe do Falso Pagamento

A OLX, junto da AllowMe, realizaram um estudo sobre os principais golpes aplicados no comércio eletrônico no 1o semestre de 2021, e o resultado destacou que o "Golpe do Falso Pagamento" lidera a lista de fraudes identificadas na pesquisa, representando 42% dos casos observados e causando um prejuízo estimado em cerca de R$ 6 milhões apenas nos primeiros seis meses de 2021. A lista também inclui o golpe da falsa venda (25%0 e o roubo de dados (23%).

Nesse golpe, o fraudador elabora um falso comprovante de depósito com os dados da vítima e o envia por e-mail ou aplicativo de mensagem para finalizar a compra de um produto e convencer o vendedor que o pagamento foi realizado. Assim, a vítima faz a entrega do produto negociado, mas quando percebe o golpe, o criminoso já está com o produto em mãos e some, deixa de responder as mensagens.

Os produtos que mais foram procurados pelos criminosos foram celulares, presentes em 47% do total de ocorrências, seguido por videogames, com 19% e computadores, com 13%.

Veja algumas dicas para prevenir o golpe:

  • Sempre verifique a identidade das pessoas com quem está falando;
  • Sempre verifique que o pagamento foi realizado, antes de finalizar a venda;
  • Desconfie de comprovantes de pagamento recebidos por mensagem ou e-mail, Sempre confira diretamente no extrato do seu banco ou na carteira digital;
  • Negocie sempre pelos chats das plataformas de compra e venda e evite aplicativos de mensagem. Fraudadores preferem meios de comunicação onde não podem ser rastreados;
  • Desconfie de compradores apressados, que tentam agilizar o contato. Essa é uma das táticas utilizadas para passar um senso de urgência e convencer a pessoa a entregar o produto antes da confirmação do pagamento.

Para saber mais:

setembro 09, 2021

[Segurança] Principais notícias de segurança em Agosto de 2021

Esse é um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Entre diversas outras coisas, esse mês foi marcado pelo ataque de ransomware nas lojas Renner e pelo início das sanções da LGPD.

Boa leitura!

01/08/2021 - Para evitar golpes, Procon-SP quer proibir pagamento de delivery na entrega (CNN)

01/08/2021 - Dados das pessoas são vendidos no meio da rua e facilitam a ação de golpistas (vídeo) (R7)

01/08/2021 - Empresa de transporte de valores, Protege é alvo de sequestro de dados (UOL)

02/08/2021 - 0News - Notícias de Segurança (Mente Binária)

BlackMatter: novo grupo de ransomware cria especulação sobre volta do REvil e do Darkside. Nova versão do LockBit usa GPO para distribuir o ransomware. Especialistas descobrem mais de 30 servidores do APT29. Ciberataque interrompe a atividade dos principais portos da África do Sul.] Documentos com supostas instruções sobre ciberataques do Irã são vazados.


Novo software malicioso, chamado de Redline Trojan Stealer, é utilizado para roubar informações de terceiros se infiltrando nos sistemas. Até o momento, milhões de vítimas já foram feitas pelo mundo todo, sendo que mais de 40 mil pessoas no Brasil tiveram suas senhas vazadas pelo ataque.
Um malware focado no roubo de informações bancárias e credenciais de mensageiros instantâneos como o Discord teria sido baixado mais de 30 mil vezes a partir do repositório oficial da linguagem de programação Python, o PyPI. A praga estava dividida em oito pacotes disponibilizados publicamente por criminosos para serem utilizados em soluções legítimas. O malware foi retirado do ar assim que a administração do repositório foi avisada.
A Axur identificou o retorno de um golpe que era muito comum há alguns anos, batizado pela companhia de “golpe da renegociação”. De posse dos dados de CPF das vítimas, obtidos facilmente dos mega vazamentos frequentes de dados, os criminosos obtém informações de dívidas em sites de emissões de segunda via de boletos. Com essas informações em mãos, os criminosos entram em contato com as vítimas para oferecer uma renegociação, e nesse caso, enviam um boleto falso para o suposto pagamento.
O deputado Luís Miranda (DEM-DF) conseguiu aplicar um contragolpe em criminosos que tentaram tomar R$ 20 mil dele após hackear o chip do celular do ex-presidente da Câmara Rodrigo Maia e invadir sua conta do Telegram. Ao receber mensagem dos criminosos, Miranda viu que se tratava de um golpe e disse que o banco precisava de uma taxa de R$ 50 para fazer a transferência no mesmo dia. Logo após receber os R$ 50, Miranda enviou um áudio ao golpista tirando onda: "Bandido, comigo não".
A empresa de segurança Check Point Research (CPR) encontrou algumas falhas de segurança no e-reader Kindle, da Amazon. Segundo a companhia, ao abrir um arquivo malicioso disfarçado de e-book, o usuário pode ter seu dispositivo invadido por hackers. A Amazon liberou uma atualização obrigatória em abril de 2021, que corrige essa falha.
Após ser condenado por desviar quase R$ 600 mil de aposentados, o criminoso invadiu o sistema da Justiça Federal de São Paulo, para tentar se absolver no processo, e conseguiu ter acesso ao certificado digital de servidores, procuradores e juízes.
A Polícia Civil recebeu denúncias contra uma falsa agência que estaria aplicando golpes em Belém (PA). O estabelecimento era uma espécie de casa lotérica onde as pessoas procuravam o local para efetuar pagamentos de boletos referentes a contas de luz, telefone e internet, que estaria funcionando há uma semana. Denunciantes contam que efetuaram vários pagamentos e nenhum dos boletos pagos foi compensado.

09/08/2021 - 0News - Notícias de Segurança (Mente Binária)

Gigantesca operação da espionagem chinesa é documentada. APT31 usa novo Dropper contra alvos na Mongólia, Rússia e nos EUA. Pacote que abusa de erro de digitação foi baixado mais de 700 mil vezes no npm. Membro descontente de operação de ransomware vaza material da gangue. LemonDuck evolui para se tornar uma das principais ameaças de cryptojacking. Novo serviço de distribuição de malware é identificado.
Uma pesquisa da empresa Apura Cyber Intelligence concluiu que o Brasil é um dos países líderes no crescimento de ataques de dupla extorsão às empresas. O país é o sétimo mais atacado por Ransomware, atrás de Estados Unidos, Canadá, França, Reino Unido, Alemanha e Itália. As principais vítimas foram dos setores de saúde, indústria e manufatura e o setor público.
Mais de R$ 3 bilhões, cerca de US$ 604 milhões de dólares, foram roubados em criptomoedas a partir de um ataque a Poly Network, um protocolo de interoperabilidade que permite a troca de tokens entre diferente blockchains. Os criminosos transferiram centenas de milhões de dólares para carteiras de criptomoedas separadas. Em comunicado, a Poly Network entendeu que as ações do hacker foram realizadas de forma ética, para alertá-la sobre os problemas de segurança que enfrentava e devolveu os valores desviados. A empresa vai pagar a ele uma recompensa de US$ 500 mil.
Uma configuração incorreta na área Community, do Salesforc, pode levar à exposição de informações confidenciais de empresas. Como a área de Comunidades é indexada pelo Google e pode ser configurada para fornecer acesso a usuários não autenticados (convidados), criminosos podem explorar essa configuração insegura para consultar objetos que podem conter informações confidenciais.
Clientes da carteira digital Iti, do Itaú, relatam que suas contas foram movimentadas indevidamente em dezenas de comentários em redes sociais e em serviços de reclamação. Em praticamente todos os casos, os clientes perdem acesso ao aplicativo e tem movimentações estranhas em seus cartões de crédito, como transferências para pessoas desconhecidas. Além disso, quando tentam recuperar o acesso à conta, os clientes percebem que o número de celular cadastrado não é mais o seu.
Uma professora aposentada de 78 anos de idade, foi vítima de um golpe bancário por telefone cujo prejuízo pode chegar a R$ 60 mil, após receber o telefonema de uma suposta funcionária do Banco do Brasil (BB), do qual é cliente, informando sobre a tentativa de acesso indevido à sua conta. Em uma segunda ligação, a aposentada foi orientada a ativar o “módulo de segurança”, realizando vários procedimentos no caixa eletrônico.
Analistas identificaram o vazamento de dados de 1 milhão de cartões de crédito, inclusive de grandes bancos brasileiros, como Santander, Itaú, Bradesco, Nubank e Banco do Brasil. O grupo russo “All World Cards” está oferecendo de forma gratuita as informações roubadas para outros criminosos na darkweb. De acordo com informações publicadas no fórum, os dados foram roubados entre 2018 e 2019
Mais de 10 mil usuários de smartphones Android, de 144 países diferentes, tiveram suas contas do Facebook comprometidas após baixarem aplicativos falsos infectados com um trojan identificado como FlyTrap.
O MInistério da Economia publicou uma “Nota de Esclarecimento” dando conhecimento ao público de que houve um ataque cibernético de ransomware à sua rede interna, atingindo a Secretaria do Tesouro Nacional.
Os operadores do ransomware BlackMatter publicaram em seu site de vazamentos na dark web um post afirmando que estão de posse de 50 gigabytes de dados da Solar Bebidas, segunda maior fabricante e engarrafadora do Sistema Coca-Cola no Brasil.
Ataque contra Poly Network causa prejuízo de 600 milhões de dólares. Vulnerabilidades ProxyShell estão sob exploração ativa, afirmam pesquisadores. Glowworm: novo ataque reconstrói áudio por meio de flutuações de luz. Descoberta a possibilidade de conduzir ataques de DDoS de amplificação refletida por meio de TCP.


15/08/2021 - Homens são 91% das vítimas de fraude financeira (Tribuna de Minas / Agência Estado)

Os homens são vítimas de 91 a cada 100 golpes financeiros aplicados no país, mostra pesquisa sobre fraudes financeiras do Centro de Estudos Comportamentais e Pesquisas (Cecop) da Comissão de Valores Mobiliários (CVM). A pesquisa revelou que a criptomoeda é o produto mais citado pelas vítimas (43,3% dos casos) e que o principal meio de divulgação das fraudes é o WhatsApp (27,5% das citações).
Uma vulnerabilidade no site da Ford permitia acessar áreas confidenciais da plataforma para extrair dados de clientes da montadora e registros de funcionários, entre outras informações. O banco de dados exposto continha informações sobre clientes e funcionários, números de contas bancárias e tokens de acesso ao site. Também estavam acessíveis os perfis de usuários da organização e o sistema de emissão de bilhetes internos.
O Detran-SP (Departamento Estadual de Trânsito de São Paulo) sofreu um suposto vazamento de dados, de acordo com publicação em fórum cibercriminoso oferecendo à venda pelo valor de US$ 200 uma base com 2 milhões de linhas com informações sensíveis de motoristas, como nome completo, número do documento, placa do carro e unidade federativa. Segundo uma fonte anônima, a extração dos dados aconteceu em 2021, o que revelaria a possibilidade de vazamento não autorizado ou vulnerabilidade presente no sistema.
O JP Morgan Chase Bank admitiu, em comunicado, a existência de um bug técnico em seu site e aplicativo online que permitiu o vazamento acidental de informações bancárias de clientes para outros clientes. Entre os dados expostos estavam extratos, lista de transações, nomes de clientes e números de contas.
A Delegacia da Receita Federal em Natal (RN) divulgou um alerta sobre um novo golpe postal que está usando o nome da instituição para fazer vítima. Enviado através dos correios, uma suposta notificação alerta que a vítima deve pagar Impostos sobre Operações (IOF) para desbloquear um empréstimo feito por uma instituição financeira, e usa site falso em nome da Receita para supostamente regularizar o CPF. O documento falso alega que o crédito ou financiamento solicitado será desbloqueado somente após pagamento de um suposto imposto através de dados bancários do fraudador.
O PIX está sendo usado em golpes espalhados por mensagens em SMS oferecendo um suposto desconto em faturas de cartão de crédito e celular. Algumas destas mensagens afirmam que operadoras de cartão de crédito se uniram em uma campanha para oferecer desconto caso o pagamento da fatura seja feito com o novo método de pagamento. Outro golpe, em nome das operadoras de telefonia, promete um desconto na fatura do celular. Em comum, as chaves PIX não são relacionadas as instituições verdadeiras.
Na tarde de quinta-feira (19/08), a rede de lojas varejistas Renner foi vítima de um ataque de ransomware que paralisou o seu site, vendas online e causou impacto nas lojas físicas. Segundo uma captura de tela que circulou pela web com uma suposta nota de resgate deixada pelos criminosos, a empresa foi vítima do ransomware RansomEXX. A empresa restabeleceu sua operação em três dias e nega ter pago o resgate.
Foi identificado um ciber criminoso nigeriano tentando recrutar empregados de empresas, oferecendo 1 milhão de dólares, em bitcoins, para infectar a rede das empresas com o ransomware Black Kingdom.
A Receita Federal alertou sobre um golpe peculiar: uma carta enviada aos contribuintes contendo instruções falsas para roubar dados. As correspondências intituladas como "Intimação para regularização de dados cadastrais", enviadas pelos Correios, buscam extrair informações fiscais e bancárias dos usuários através de links maliciosos descritos no material impresso.
Criminosos estão divulgando sites e promoções falsas imitando as caixas misteriosas da Amazon, que oferecem centenas de itens divididos por categorias por valores bem abaixo do valor individual. Com os sites felaos imitando a Amazon, criminosos tentam obter dados de login e de pagamento dos clientes interessados.
A Kaspersky revelou uma perigosa ameaça em uma das modificações (mod) mais populares do WhatsApp. A empresa identificou a presença do trojan Triada no aplicativo modificado FMWhatsApp, capaz de infectar dispositivos Android e roubar dados sensíveis dos usuários.

27/08/2021 - Ladrões hackeiam e levam BMW de Tom Cruise na Inglaterra (Olhar Digital)



28/08/2021 - Criminosos aplicam ‘golpe da 3ª dose’ para clonar celular (CNN)


30/08/2021 - Executivos da Bangkok Airways se desculpam por vazamento de dados (em inglês) (Data Breach Today)

Segundo investigações, a empresa foi atacada pelo ransomware LockBit, que pode ter dado acesso aos atacantes a dados pessoais de clientes.

30/08/2021 - Ataque de Ransoware a cidade na Suiça expõe dados de cidadãos (em inglês) (Data Breach Today)

30/08/2021 - 0News - Notícias de Segurança (Mente Binária)

Falha crítica permitia tomar o controle de todos os bancos de dados Cosmos DB. Ataque hacktivista contra prisão no Irã, mostra maus-tratos contra presos. Hacktivistas desferem grande ataque contra o governo de Belarus. Configuração padrão de Power Apps permitiu exposição de mais de 38 milhões de registros. Novo zero-day para iPhone é observado em ataques contra ativistas.


Uma grave exposição de dados pode ter atingido cerca de 21 mil funcionários da Claro e da NET, entre técnicos e terceirizados. Os registros estavam disponíveis online em um servidor mal configurado, pertencente à área de manutenção da companhia, com pastas que traziam cópias de documentos de identificação e até contratos com a assinatura dos prestadores.
Uma nova campanha de phishing está enganando usuários de redes sociais, pedindo que a vítima se reconheça em um suposto vídeo, já tendo coletado informações de login e senha de mais de 700 mil usuários do Facebook. As mensagens, direcionadas a usuários de redes sociais, contém links maliciosos associados a chamada “Acho que você aparece nesse vídeo, é você?”. O link direciona para uma página falsa com o logo do TikTok pede que usuário faça o download do aplicativo, levando a outra página falsa que furta as informações de login do Facebook da vítima.
O Federal Bureau of Investigation (FBI) e a Cybersecurity & Infrastructure Security Agency (CISA) publicaram um alerta para que empresas se certifiquem de estarem com as proteções em dia contra possíveis ataques de ransomware nos finais de semana e feriados prolongados no mundo todo, quando geralmente os escritórios das empresas estão fechados. As entidades ressaltam que vários ataques em 2021 aconteceram justamente nesses períodos.

31/08/2021 - Polícia fecha 'escritório do golpe' na Zona Leste de SP, onde criminosos enganavam clientes de bancos (G1)

Conforme a investigação, os criminosos ligavam para as vítimas se passando por integrantes das áreas de segurança de bancos e alertavam falsamente sobre o acesso de criminosos aos dados cadastrais dos clientes. A partir disso, convenciam as vítimas a fornecer senhas e dados bancários, com os quais os criminosos retiravam dinheiro das contas. Segundo a polícia, o esquema funcionava em uma sala em um prédio comercial.

setembro 02, 2021

[Segurança] Data Privacy Benchmark Study

Já faz um mês em que as sanções da LGPD entraram em vigor, e ainda vale a pena falar mais sobre o assunto.

Por isso, quero destacar o Data Privacy Benchmark Study, um estudo realizado pela CISCO em 2021, que trouxe informações sobre práticas corporativas de privacidade ao redor do mundo, com preocupação especial no impacto causado pela pandemia. Foram entrevistados 4.400 profissionais de TI em 25 países.

De acordo com a pesquisa, foram encontradas evidências de que a privacidade se tornou uma prioridade ainda mais importante durante a pandemia, incluindo um aumento nos orçamentos relacionados a privacidade. Veja alguns dados sobre as posturas das organizações, que foram coletados na pesquisa:
  • Os orçamentos (budget) relacionados a privacidade dobraram em 2020, atingindo uma média de 2,4 milhões de dólares;
  • 79% dos entrevistados indicaram que as leis de privacidade tiveram um impacto positivo na organização;
  • 93% das organizações reportam as métricas de privacidade para seus executivos;
  • 93% precisaram do apoio dos times de privacidade para ajudá-las a enfrentar esses desafios;
  • 35% está obtendo benefícios (ROI) que equivalem a pelo menos o dobro de seus investimentos;
  • Para 34% dos profissionais de segurança, a privacidade de dados é uma área de conhecimento importante.
  • 60% responderam que não estavam preparadas para os requisitos de privacidade e segurança envolvidos no home office;
  • 87% apresentaram preocupação com as proteções de privacidade para se conectar remotamente.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.