fevereiro 25, 2022

[Segurança] Guerra cibernética na Ucrânia

(Nota: Desde 01/04 esse post tem sido suspenso e colocado sob revisão do Blogger periodicamente, sob suspeita de violação da política de conteúdo do site. Este post é apenas uma coletânea de fatos técnicos sobre o ciber conflito entre Russia e Ucrânia, incluindo uma linha do tempo com os ciber ataques realizados no período do conflito e seus indicadores técnicos, obtidos de fontes públicsa, quando houver. 

Não há conteúdo malicioso sendo publicado aqui!

Devido a insistencia em suspender este post, eu optei por remover as informações sobre IOCs - Eu lamento pela comunidade de segurança ser censurada em tais informações relevantes.

Note: Since 04/01 this post was been suspended and placed under review by Blogger staff, on suspicion of violating the site's content guidelines. This post is just a collection of technical information and facts about the cyber conflict between Russia and Ukraine, including a timeline of cyber attacks carried out during the period of the conflict and their technical indicators (IOCs), obtained from public sources, whenever they were available.

There is no malicious content published here!

Due the insistence on unpublishing this post, I had to remove the IOCs information - I'm sorry for the information security community to have to be censored on such relevant information.)

Com o início da guerra da Rússia contra a Ucrânia, em 24 de fevereiro, é impossível não pensar nos ciber ataques que tem sido realizados nesse período. Isso porque a "guerra cibernética" não só é uma realidade (faz tempo!), mas também porque as operações online e os ataques cibernéticos fazem parte de qualquer estratégia de guerra moderna. A guerra cibernética já existe desde o ataque a Estonia em 2007 e já assistimos a casos de guerra física e cibernética acontecendo juntas desde a invasão da Georgia em 2008. Coincidentemente, os dois casos foram de conflitos envolvendo a Russia.

Há quem chame esse cenário de "guerra híbrida". Neste caso em particular, como disse muito bem o Wolmer Godoi, estamos vendo "um cenário jamais vivenciado pela história, uma guerra cinética, financeira e cibernética", em contraponto ao modelo de "guerra tradicional", disputada exclusivamente por forças militares na terra, mar e ar.

Eu acrescentaria mais uma coisa... "estamos vivenciando uma guerra cinética, financeira, cibernética e pelo TikTok".

Outro fator interessante é que estamos assistindo a guerra na Ucrânia através das redes sociais, com vídeos e posts compartilhados instantaneamente, pela Internet, a partir das pessoas que estão vivenciando o conflito, infelizmente: tanto civis e soldados. Assim, temos uma visão mais próxima do terror que é a realidade de uma guerra, sob o ponto de vista de quem está lá.

OBS: Para quem não é familiar com o assunto, "guerra cinética" é um termo usado para fazer referência ao cenário de guerra tradicional, no mundo físico - aquela que acontece desde a Idade da Pedra.

Para deixar claro, há diversas ações que são realizadas online, por forças militares e por civis, nos momentos antes, durante e depois de uma operação de guerra. Essas ações podem envolver grupos militares, que fazem parte oficialmente das forças armadas, grupos de cibercriminosos e de ciber espionagem independentes, porém apoiados informalmente ou indiretamente por governos específicos, grupos hacktivistas independentes e, inclusive, indivíduos (civis) independentes. Cada um desses grupos tem seu objetivos e tipos de ações bem específicos e claros, desde uma ação de ciber espionagem, ciber ataque a um alvo específico, participar de um protesto ou promover uma campanhas de desinformação - por exemplo. E as ações realizadas por cada num desses grupos podem ou não estar relacionados entre si.

A tabela abaixo resume, de forma bem simplificada, o papel de cada um desses grupos em um cenário de conflito cibernético. O objetivo não é desmerecer um grupo ou outro, até mesmo porque todos tem o seu papel neste momento. Mas é importante entender que cada um desses grupos tem seus objetivos e táticas bem específicos.

Ator Objetivo Complexidade / Risco Antes da Guerra Durante o conflito
Forças Armadas Estratégico e Militar:
Realizam operações de ciber ataque a infra-estrutura critica e alvos militares
Operações de inteligência
Ações de contra-informação
Alto
Ataques sofisticados e de longo prazo (APTs)
Invadir preventivamente os sistemas do país alvo
Campanhas para desacreditar o governo vigente (fake news, ciber ataques para impactar a credibilidade e os sistemas básicos)
Prejudicar ou interromper as operações militares do inimigo
Causar caos entre a população
Distribuir notícias (verdadeiras ou fake) a favor do próprio governo
Grupos de cibercrimes e ciber espionagems (independentes) Fraudes e Espionagem:
Ciber ataques destrutivos e espionagem a empresas e órgãos de governo
Alto
Ataques sofisticados e, às vezes, de médio prazo (APTs)
Desestabilizar as empresas, através de ciber ataques e fraudes
Roubo de informações estratégicas e de negócio
Impactar as operações regulares das empresas
Roubo de informações estratégicas
Grupos Hacktivistas Ativismo e Informação / Desinformação:
Protestos online
Causar impacto (pequeno) a empresas e órgãos militares e de governo
Baixo
Ataques pontuais.
Foco em DDoS, defacement, vazamento de dados e DoX.
Realizar ações de protesto online
Ciber ataques contra empresas e governos
Participar de campanhas de informação ou desinformação
Protestos online
Participar de campanhas de informação ou desinformação
Ciber ataques para causar impacto (pequeno e momentâneo)  a empresas e órgãos de militares e de governo
Indivíduos Ativismo e Informação / Desinformação:
Protestos online
Baixo
Participação em protestos online, compartilhamento de informação e eventual colaboração em ataques de DDoS.
Realizar ações de protesto online
Participar de campanhas de informação ou desinformação
Protestos online
Participar de campanhas de informação ou desinformação

Veja um exemplo interessante de hacktivismo: para combater a censura imposta pelo presidente russo Vladmir Putin, um grupo de programadores da Polônia criou um site que gera números de telefone e e-mails da população da Rússia, permitindo o envio de mensagens para a população russa sobre a guerra na Ucrânia.

Voltando ao conflito entre a Rússia e a Ucrânia, é importante lembrar que a Rússia tem um longo histórico de uso de ciber ataques em operações militares, desde invasão da Geórgia, em 2008, quando realizou ataques de DDoS contra o governo local no momento da invasão, além de campanhas de informação e desinformação. Logo, não é um adversário a ser ignorado.


A Ucrânia, por sua vez, já havia sofrido ciber ataques de grande extensão duas vezes: em 2015 quando um ciber ataque do vírus BlackEnergy contra empresas de distribuição de energia (causando um apagão que durou 6 horas), e em 2017, quando diversas empresas locais foram atacadas pelo malware Petya. Para saber um pouco mais sobre isso, vale a pena dar uma lida nesse artigo do The Record.

Alguns ciber ataques aconteceram nos dias que antecederam a triste invasão da Ucrânia por tropas Russas, incluindo o uso de malwares destrutivos e ações para cortar o acesso a Internet do país. Mas, dado o potencial e a experiência russa, alguns especialistas acreditam que os ciber ataques contra a Ucrânia poderiam ter sido maiores ou mais frequentes. Há quem acredite que o governo russo possa recorrer a novos ciber ataques conforme aumente as tensões com outros países e, talvez, como uma resposta para a escalada das sanções políticas e econômicas contra a Rússia. Outra teoria é que, talvez, o governo russo esteja esperando para contra-atacar assim que os governos ocidentais comecem. realizar ciber ataques contra eles.

Veja abaixo as três ondas de ciber ataques contra a Ucrânia, que ocorreram antes do início da invasão de seu território pelas tropas russas, no dia 24/02:

  • No dia 13 de Janeiro foi identificada a ação de um malware "wiper", batizado de WhisperGate, que sobrescreve a Master Boot Record (MBR) e apresenta uma nota falsa de resgate, simulando um ransomware;
  • Em 13 e 14 de janeiro, diversos sites do governo ucraniano sofreram defacement e saíram do ar após um grande ataque cibernético direcionado.aos portais do Ministério das Relações Exteriores, do Gabinete de Ministros, da Política Agrária, do Conselho de Segurança e Defesa e do Ministério da Educação e Ciência;

  • No dia 15 de fevereiro, um ataque de DDoS derrubou os sites do Ministério da Defesa da Ucrânia e dois bancos, Privatbank e Oschadbank;
  • Em 23 de fevereiro, um pouco antes do início da invasão russa, uma nova onda de ataques DDoS atingiu sites do governo Ucraniano, dos militares e bancos, incluindo o Ministério das Relações Exteriores, o Gabinete de Ministros, o Ministério da Defesa, o Ministério de Assuntos Internos e o Serviço Secreto. A botnet utilizada foi baseada no malware Cyclops Blink, baseado no VPNFilter. Também foi utilizado um "wiper", um malware destinado a destruir dados e sistemas, batizado de HermeticWiper (ou FoxBlade).

Além disso, segundo o governo americano, grupos de ciber espionagem ligados ao governo russo atacaram empresas ligadas ao Departamento de Defesa dos EUA desde janeiro de 2020.

Após o início da invasão da Ucrânia, estima-se que houve um aumento de quase 200% dos ciberataques contra o governo e o setor militar ucranianos, nos 3 primeiros dias da guerra. O pessoal da Curated Intelligence fez um timeline bem legal:

Além dos ciber ataques realizados pela Rússia, diversos grupos hacktivistas e de ransomware começaram a tomar partido contra algum dos lados do conflito, incluindo o grupo Anonymous (pró-Ucrânia), o grupo UNC1151 (também conhecido como GhostWriter ou TA445, supostamente bancados pelo governo da Bielorrúsia e historicamente contra a Ucrânia) e o grupo responsável pelo ransomware Conti (que inicialmente se manifestou pró-Rússia, mas depois começou a manifestar apoio a Ucrânia).

Outro grupo hacktivista pró-russia, que ganhou grande destaque, foi o Killnet, responsável por diversos ataques DDoS contra empresas e órgãos de governo nos EUA, Romênia e Itália.

O governo da Ucrânia pediu ajuda para criar um "Exército de TI" ("IT Army") com voluntários e grupos hacktivistas, já que não obteve apoio militar de outros governos, nem da OTAN. O próprio presidente da Ucrânia divulgou, em sua conta no Twitter, um pedido para que hackers se juntassem em um grupo no Telegram para apoiar o país no "cyber front".

Após o chamado da Ucrânia, alguns milhares de voluntários começaram a se organizar online, para participar em diversas iniciativas de apoio e protesto online. Segundo oficiais ucranianos, meio milhão de pessoas ao redor do mundo se voluntariaram a apoiar o "IT Army of Ukraine".

A onda de ciber ataques não parou por aí e seguiu intensa nos dias após a invasão da Ucrânia, incluindo ataques de DDoS, uso de malwares destrutivos (wipers),  roubo e vazamento de dados, defacement, etc. Até mesmo as autoridades russas admitiram que estão sofrendo um nível de ciber ataques sem precedentes.

Veja alguns desses ciber ataques, pelo menos aqueles que eu consegui acompanhar:

  • No dia 24 de Fevereiro, no dia do início da invasão russa e um dia depois do ataque pelo HermeticWiper, um novo malware atacou a Ucrânia, batizado de IsaacWiper pela ESET. A empresa divulgou essa descoberta em 01 de Março;
  • Em 24/02 a rede de acesso internet via satélites KA-SAT da empresa Viasat ficou fora do ar na Ucrânia, coincidindo com o início da invasão russa. Após obter acesso ao sistema de gestão da rede de satélites, o atacante desativou os modens dos clientes usando um malware wiper batizado de AcidRain. A empresa presta serviço para as forças militares e policiais na Ucrânia;
  • No dia 27/02 foram vazados 13 meses de conversas internas do grupo hacktivista Conti através do perfil anônimo ContiLeaks, expondo informações do grupo como forma de protesto contra a Rússia;
  • Em 27/02 o grupo hacktivista Belarusian Cyber-Partisans (CP), pró-Ucrânia, anunciou a invasão do sistema de ferrovias da Belarússia, causando a operação manual dos sistemas para impactar a movimentação de tropas russas;
  • 28/02 foi o dia em que o Anonymous invadiu diversos canais da TV estatal russa e transmitiram o hino nacional da Ucrânia e notícias da guerra;
  • Também em 28/02 o Anonymous alegou ter tido acesso a um computador russo do sistema de controle de gás na Ossetia do Norte;
  • No dia 01 de Março o jornal ucraniano Ukrayinska Pravda noticiou um suposto vazamento de dados pessoais de quase 120 mil soldados russos (cerca de metade do contingente russo alocado na guerra). Esse pode ser o primeiro caso de doxxing usado para fins militares da história;
  • Também em 01/03 foi divulgado pela Proofpoint que atacantes estavam usando usando contas de e-mail comprometidas de militares ucranianos para enviar phishing para membros de governos europeus, na tentativa de obter informações sobre os refugiados ucranianos;
  • Em 03/03 a Malwarebytes alertou sobre uma campanha de phishing ativa pedindo doações em dinheiro (em duas carteiras de criptomoedas) para ajudar os refugiados da Ucrânia;
  • Em 04 de Março, foi noticiado que um ciber ataque cibernético à rede de satélites Nordnet e Eutelsat pode ter sido causado por russos, deixando milhares de pessoas sem acesso a Internet na Europa. Acredita-se que os responsáveis foram russos, com objetivo de cortar o acesso a Internet do pessoal na Ucrânia;
  • Em 04/03 hackers do grupo "v0g3lSec" fizeram um defacement no site do instituto de pesquisa espacial da Rússia e vazou dados da agência espacial russa Roscosmos;
  • Em 06/03, um contra-ataque: o grupo Anonymous anunciou que conseguiu invadir o sinal de redes de streaming e TVs russas e transmitiram cenas da guerra;

  • Em 07/03, o mantenedor do pacote node-ipc publicou uma nova versão com um componente malicioso, sob forma de protesto contra a guerra, que causa dano ao ser instalado em computadores com endereço IP da Rússia ou Bielorrúsia (CVE 2022-23812);
  • Ainda em 07/03, o grupo Anonymous alegou ter invadido mais de 400 câmeras de segurança russas;
  • Em 09/03 o grupo de pesquisadores CISCO Talos divulgou a descoberta de um malware disfarçado como um software batizado de "Liberator", promovida por um grupo chamado disBalancer como uma ferramenta para realizar ataques DDoS contra alvos de propaganda da Rússia. O objetivo era infectar os "soldados cibernéticos" pró-Ucrânia, roubando dados da máquina aonde for instalado;
  • Em 10/03, o coletivo hacktivista Distributed Email of Secrets vazou duas coleções de dados com 820 GB de informações e documentos sensíveis da agência federal russa Roskomnadzor, responsável pela censura na imprensa local;
  • Também em 10/03, pesquisadores da empresa Website Planet divulgaram que o hacktivistas do Anonymous e de grupos afiliados conseguiram invadir 90% das bases de dados expostas em servidores vulneráveis de provedores de nuvem russos;
  • Em 12/03 um grupo de programadores poloneses lançou o site 1920.in, permitindo enviar mensagens por e-mail e SMS para a população russa sobre a guerra. Segundo o grupo Squad303, 7 milhões de mensagens SMS foram enviadas;
  • Em 14/03 o Grupo Anonymous hackeou a subsidiária alemã da companhia de energia russa Rosnetf;
  • Ainda no dia 14/03, o CERT da Ucrânia alertou sobre mensagens de phishing se passando por avisos de update do antivírus do Windows para instalar o malware Cobalt Strike;
  • Também no dia 14/03 foi noticiado, pela ESET, um novo malware wiper atacando as redes das empresas da Ucrânia. Batizado de CaddyWiper, ele busca infectar servidores Windows;
  • Em 15/03, um ataque de DDoS atribuído ao grupo Anonymous tirou do ar sites do governo russo, incluindo os sites do serviço secreto (Federal Security Service / FSB), da Bolsa de Valores, Analytical Center for the Government of the Russian Federation e do Ministério dos Esportes;
  • No dia 16/03 surgiu um vídeo falso, usando a tecnologia de "deepfake", para simular que o presidente da Ucrânia, Volodymyr Zelensky estava declarando a rendição das tropas;
  • Em 17/03 o grupo Anonymous vazou 79 GB de dados (incluindo e-mails e documentos internos) da empresa Omega, o braço de pesquisas da Transneft, a maior empresa de oleodutos do mundo, controlada pelo governo russo;
  • A partir do dia 17/03 as organizações ucranianas começaram a ser atacadas por mais um malware wiper distribuído através de ataques de spear-phishing, batizado de DoubleZero - conforme informado pelo CERT da Ucrânia em 23/03;
  • Em 20/03 o grupo de hackers anti-Rússia The BlueHornet ou AgainstTheWest atacou e desfigurou o site da operação francesa da Nestlé e publicou no Pastebin detalhes pessoais de 15 executivos, supostamente da Nestlé nos EUA.

  • Em 20/03 o grupo Anonymous declarou ter realizado um "Print Attack": invadiram pelo menos 160 impressoras vulneráveis no território russo e impresso mais de 40 mil mensagens anti-guerra no idioma local;
  • Em 22/03 o grupo Anonymous anunciou ter invadido e roubado 10 GB de dados da Nestlé, incluindo e-mails e senhas e dados de clientes. A Nestlé negou.

  • No dia 25/03 o grupo "The Black Rabbit World" (Thblckrbbtworld) (afiliado ao Anonymous) vazou 28 GB de documentos internos do Banco Central da Rússia;
  • Em 28/03 um ciber ataque causou grande impacto aos usuários da maior operadora de telecomunicações da Ucrânia, a Ukrtelecom, reduzindo o tráfego para apenas 13%;
  • Também no dia. 28/03 o CERT-UA alertou sobre a distribuição de mensagem com o malware PseudoSteel, disfarçado de um arquivo com nome ""Information on the loss of servicemen of the Armed Forces of Ukraine.docx.exe."" (em ucraniano). O vírus rouba arquivos locais e os envia para um servidor FTP externo. (NOVO)

Diversos ataques de phishing contra a população ou autoridades governamentais também já foram reportados.

Com isso, tivemos a oportunidade de ver uma participarção sem precedentes de civis e grupos hacktivistas no cenário da guerra. Principalmente no caso da Ucrânia, diversos ciber ativistas e hacktivistas passaram a buscar diversas formas de apoiar o país e sua população, tais como:

  • protestos online contra a guerra;
  • grupos de hacktivistas se organizando, via Telegram, para apoiar o governo Ucraniano e buscar formas de impactar o esforço de guerra russo;
  • captação de doações para a Ucrânia, em criptomoedas;
  • fornecimento de equipamentos de Internet, para permitir o acesso a rede Starlink, de Internet via satélite;
  • algumas empresas de segurança oferecendo produtos e serviços gratuitamente para o governo da Ucrânia e empresas locais;
  • surgimento de um "programa de bug bounty", oferecendo recompensas para quem indicar fragilidades na infra-estrutura russa;
  • envio de criptomoedas para apoiar os esforços de guerra e a população afetada pelo conflito.

O diagrama abaixo, preparado pelo pessoal da Curated Intelligence, resume quais são os principais grupos hacktivistas e ciber criminosos que se envolveram no conflito cibernético:

Outros países estão tomando partido, direta ou indiretamente, na base da ameaça ou na real. O governo americano tem ameaçado responder a invasão da Ucrânia com ciber ataques contra a Rússia, como parte das medidas de sanções. Em outro movimento, hackers do grupo UNC1151, ligados ao governo da Bielorrúsia, tentaram invadir os e-mails de militares da Ucrânia, segundo o CERT da Ucrânia (CERT-UA).

É claro que as empresas de todo o mundo tem medo de sofrer ciber ataques por grupos relacionados a guerra. Segundo dois alertas emitidos recentemente pela CISA (AA22-011A) e AA22-047A), os ataques de grupos russos são baseados, principalmente, na obtenção de acesso remoto à rede da vítima através de ataques de spear phishing e do uso de credenciais vazadas, ou através de ataques de força bruta contra equipamentos e dispositivos de acesso remoto ou aplicações expostas na Internet. Entre os alvos preferidos, estão os equipamentos FortiGate, CISCO e Big-IP (da F5 Networks), além das ferramentas Citrix, VMWare, Oracle Web Server e Weblogic, e Microsoft Exchange.

A Trellix fez um quadro resumindo os principais grupos e técnicas de ataque utilizados contra a Ucrânia:

Até 01/04, já haviam sido identificados 7 malwares wiper utilizados em ciber ataques contra empresas e órgãos de governo da Ucrânia, incluindo o WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero e o AcidRain. Segue abaixo alguns dos malwares envolvidos nos ciber ataques mais relevantes contra a Ucrânia: (veja o PS/2 desse post e veja aqui os IOCs desses malwares)

OBS: Na lista acima, eu optei por manter os wipers WhisperGate e WhisperKill juntos pois eu entendi que eles participaram da mesma cadeia de ataque, conforme descrito nos relatórios do CERT.UA e do pessoal do CISCO Talos.

A CISA emitiu um alerta em 26/02 (AA22-057A) que detalha melhor esses malwares e trás vários indicadores (IOCs) a mais sobre o HermeticWiper - alguns dos quais eu atualizei na lista acima.

O pessoal do Internet Storm Center (ISC), do SANS, fez um webcast bem interessante em 25/02 sobre os ciber ataques e as táticas utilizadas pela Rússia:

Com o decorrer da guerra, começou a surgir um debate muito interessante, do ponto de vista da privacidade e segurança cibernética, sobre como o uso excessivo e irresponsável das redes sociais podem acabar facilitando o acesso a informações estratégicas para o exército inimigo. Houve um caso simbólico em um ataque realizado pelas forças militares russas em 14 de março. Neste dia, o exército russo bombardeou uma base militar da Ucrânia na cidade de Yavoriv (mais informações aqui também), perto da fronteira com a Polônia. A base foi destruída e há relatos de pelo menos 35 mortos. Esta base, chamada de Centro para a Manutenção da Paz e Segurança internacional , estava sendo usada para receber e treinar pessoas de outos países que se voluntariaram a fazer parte do exército Ucraniano, numa espécie de "legião estrangeira de voluntários", a maioria ex-militares de diversos países ao redor do mundo. Especula-se que o ataque foi possível graças a espiões russos infiltrados entre os voluntários ou, simplesmente, pois voluntários brasileiros estavam postando fotos nas redes sociais indicando sua localização !!!

O conflito tem causado diversas sanções Econômicas contra a Rússia, na tentativa de conter a agressão. A indústria de segurança, em particular, não passou ilesa: após a Alemanha recomendar que as empresas desinstalem os produtos da Kaspersky, no final de Maio foi a vez dos EUA banirem completamente o uso de produtos da Kaspersky em todo o território nacional, graças à uma decisão da Federal Communications Commission (FCC) que categorizou a empresa como "um risco inaceitável" à segurança do país.

Para saber mais:

PS: Texto atualizado em 02/03 e grande atualização em 04/03. Atualizado em 07, 08 e 09/03. Novas referências incluídas em 10 e 11/03. Nova atualização em 16, 21, 22, 28, 30/03 e 01/04. Atualizado em 05/04. Feito pequenos ajustes no texto em 06/04. Atualizado em 08 e 11/04 para retirar os IOCs dos malwares (veja o PS/2). Pequenas atualizações em 01 e 09/06.

PS/2 (adicionado em 08/04): Optei por publicar um novo post com os IOCs dos malwares que atacaram a Ucrânia, devido a insistência da plataforma Blogger em suspender esse post diariamente (desde 01/04) sob a alegação de que violava o Community Guidelines - por conter informações sobre vírus. Eu lamento muito em ver que um controle automatizado e mal feito impede o compartilhamento de informação importante entre a comunidade de segurança :(

fevereiro 24, 2022

[Segurança] Perfil das fraudes no e-commerce

Um levantamento da AllowMe em conjunto com a OLX, divulgado no início desse mês, traz alguns dados bem interessantes sobre as fraudes no e-commerce brasileiro durante o ano de 2021.

Veja algumas das estatísticas mais interessantes:

  • Aproximadamente R$ 650 milhões de prejuízo estimado com os golpes aplicados no comércio eletrônico em 2021;
  • o golpe da Compra Confirmada foi o mais frequente no e-commerce em 2021, representando 32% dos casos;
  • outros golpes muito comuns incluem: o Anúncio Falso e o Roubo de Dados, cada um representando 24% das ocorrências, e Invasão de Conta fechando o ranking com 19% dos casos;
  • Celulares estão no topo da lista dos produtos mais visados nas fraudes, representando 45% dos casos. Video games ficam em segundo lugar, com 16%, seguido de computadores, com 15%;
  • 500 mil transações fraudulentas no e-commerce foram realizadas com uso de e-mails vazados, principalmente para criações de contas;
  • A região sudeste é a que mais teve fraudes confirmadas, com o estado de São Paulo liderando com 46%, seguido por Rio de Janeiro, 11%, e Minas Gerais, 8%.

O estudo também destaca que os golpes são praticados por associações criminosas bem articuladas,  que criam inúmeras contas falsas (utilizando dados válidos de pessoas) e tentam atrair o maior número de vítimas.

É interessante destacar que os equipamentos eletrônicos costumam ser os itens mais visados nas fraudes em comércio eletrônico, pois são ítens pequenos e de fácil revenda, co alto valor agregado (e alto lucro para o fraudador).

Para saber mais:

fevereiro 23, 2022

[Segurança] Golpe da compra confirmada

O pessoal do Fantástico fez, recentemente, uma reportagem bem didática sobre um tipo de golpe que tem acontecido com frequência nas vendas online. A reportagem, sobre o "golpe da compra confirmada", destaca os riscos de fraude para quem esta fazendo a venda de algum bem, mesmo que através de plataformas online conhecidas.

Nesse tipo de golpe, os criminosos abordam pessoas que anunciaram a venda de produtos em plataformas online e fingem ter interesse na compra, para no final simular que realizaram o pagamento e convencer a vítima que a venda foi concretizada. Assim, conseguir obter a mercadoria de graça e o vendedor fica no prejuízo.

Para realizar essa fraude, os golpistas ficam monitorando as plataformas de compra e venda de mercadorias (por exemplo, Mercado Livre, OLX, etc) e, quando identificam uma potencial vítima, manifestam o interesse. Depois de receber um contato do vendedor e ganhar a sua confiança, eles enviam uma imagem de um comprovante falso de pagamento ou até mesmo um e-mail falso em nome do site de e-commerce confirmando o pagamento. Após convencer a vítima que o pagamento foi realizado, para finalizar venda e buscar mercadoria, os fraudadores usam serviços de entregas por aplicativo (como, por exemplo, pelo Uber) - assim, eles não se expõem e fica mais difícil identificar o responsável pela fraude.

Para evitar o rastreamento, os criminosos tentam fazer a negociação fora da plataforma de e-commerce, por e-mail e WhatsApp. Em alguns casos, eles aproveitam que sabem o e-mail da vítima para enviar uma mensagem falsa em nome da plataforma de e-commerce, dizendo que a venda está confirmada

O pessoal da OLX fez um vídeo curtinho explicando didaticamente como esse golpe funciona:


Veja algumas dicas para evitar cair nesse golpe:
  • Sempre desconfie! Ainda mais se o comprador parecer apressado, nervoso ou impaciente;
  • Faça todas as negociações apenas pela plataforma de e-commerce, nunca por aplicativos de comunicação nem e-mail;
  • Não forneça seu e-mail para o comprador;
  • Desconfie pedirem seus dados pessoais para finalizar as compras;
  • Ao receber o pagamento por alguma venda, espere confirmar o pagamento em seu extrato bancário;
  • Sempre verifique cuidadosamente o endereço do remetente de qualquer e-mail que você receber, para garantir que trata-se do site conhecido;
  • As plataformas de compra e venda não cobram taxas extras para finalizar as compras nem para envio de mercadorias.
Aproveite e veja que legal a página "É Golpe!", com todas as reportagens do Fantástico explicando os principais golpes que acontecem atualmente.

Para saber mais:
PS (adicionado em 23/02): Segundo um levantamento da AllowMe em conjunto com a OLX, o golpe da compra confirmada foi o mais frequente no e-commerce em 2021, representando 32% dos casos:

fevereiro 22, 2022

[Segurança] O maior DDoS de todos os tempos: 3,47 Tbps contra a Microsoft

A Microsoft anunciou que evitou um número recorde de ataques distribuídos de negação de serviço (DDoS) direcionados a seus clientes em 2021, três dos quais ultrapassaram um volume de 2,4 terabits por segundo (Tbps).

Um dos ataques DDoS, de reflexão UDP, ocorreu em novembro de 2021 contra um cliente não identificado do Azure na Ásia, atingindo uma taxa de 340 milhões de pacotes por segundo (pps) e um throughput (taxa de transferência) que atingiu um pico considerado recorde:


3,47 Tbps



Segundo a própria Microsoft, este é o maior ataque já relatado na história. Este ataque durou um total de 15 minutos, aproximadamente, e teve origem em aproximadamente 10.000 equipamentos em vários países em todo o mundo, incluindo Estados Unidos, China, Coréia do Sul, Rússia, Tailândia, Índia, Vietnã, Irã, Indonésia e Taiwan.



Como comparação, veja a volumetria de alguns ataques já realizados:


Para saber mais:

fevereiro 18, 2022

[Segurança] Estatísticas do programa de bug bounty da Google

Recentemente a Google disponibilizou um relatório sobre os números dos seus Programas de Recompensas por Vulnerabilidades (VRP) para o próprio Google, Android, Abuse, Chrome, e também para o Google Play.

Veja alguns números interessantes sobre o programa de Bug Bounty da Google em 2021:
  • US$ 8,7 milhões foram pagos a pesquisadores no ano passado. Em 2020, a empresa tinha pago mais de US$ 6,7 milhões;
    • US$ 3,3 milhões do total das recompensas foram pagos pelo VRP para Chrome;
    • US$ 2,9 milhões foram pagos pelo VRP para Android;
    • US$ 550 mil foram pagos pelo VRP para Google Play;
  • US$ 157 mil foi pago para a maior recompensa em 2021, pela descoberta de uma cadeia de exploração no sistema operacional Android (CVE-2021-39698);
  • Mais de US$ 300 mil foram doados pelos pesquisadores a projetos sociais;
  • 696 pesquisadores de 62 países foram recompensados.

Para saber mais:

fevereiro 17, 2022

[Segurança] Golpe do falso emprego

O pessoal do Tecnoblog fez uma reportagem há pouco tempo atrás sobre um golpe que tem acontecido com muita frequência: fraudadores enviam mensagens por SMS prometendo ofertas de emprego em grandes empresas, trabalhando de casa.

Num cenário de pandemia, com alta taxa de desemprego, essa oportunidade é muito atrativa, não é?

Há algumas variações do golpe, mas o final é sempre o mesmo: a pessoa se torna vítima de algum esquema criminoso de movimentação de dinheiro ou mercadorias adquiridas de forma ilícita.

No caso do golpe analisado pelo pessoal do Tecnoblog, os criminosos mandam mensagens via SMS oferecendo oportunidade de emprego em grandes empresas, como a Amazon, Mercado Livre ou o Sebrae, entre outras. A mensagem promete uma oportunidade para conseguir dinheiro rápido, em meio período ou período integral, trabalhando de casa. Após entrar em contato com o remetente da mensagem, a vítima acaba induzida a participar em uma espécie de esquema de pirâmide financeira. Ela é convidada a fazer um aporte inicial, de baixo valor. Ao receber o lucro desse primeiro aporte, ela começa a enviar quantidades maiores de dinheiro até que o fraudador se dá por satisfeito e fica com o dinheiro da vítima.


A AllowMe também publicou uma investigação sobre esse tipo de golpe. No caso investigado por eles, o criminoso convence a vítima a baixar um app que seria sua "plataforma de trabalho", mas que serve para operacionalizar o golpe. A vítima é convidada a realizar compras pela plataforma, com a promessa de receber de volta o valor da compra acrescido de 30%. A cada compra, aumenta seu suposto "balanço", mas  ela não consegue recuperar o dinheiro - para isso, é convencida a realizar mais compras na plataforma: "Sempre que a vítima quiser sacar o dinheiro receberá uma tarefa ainda mais cara para cumprir até ela perceber que aquilo se trata de um golpe e não conseguirá mais o dinheiro".

Em outras modalidades do golpe, a vítima pode ser convidada a ajudar no trâmite de pagamentos ou de mercadorias. Sem saber, ela acabará atuando como laranja em diversas fraudes. Por exemplo, ela pode receber dinheiro de uma conta fraudada, transferir para o criminoso e ficar com uma "comissão". Ou receber uma mercadoria adquirida através de fraude e ganhar uma comissão para reenviar ela para o endereço solicitado pelo criminoso, recebendo uma recuperação.

Para saber mais:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.