[Segurança] Fraudes na App Store em 2024

A Apple divulgou seu relatório anual de fraudes na Apple Store, destacando que nos últimos cinco anos, a App Store impediu mais de US$ 9 bilhões em transações fraudulentas.

Veja as principais estatísticas de 2024 sobre os esforços de prevenção à fraude da Apple:

• mais de US$ 2 bilhões de transações fraudulentas foram impedidas no ano passado. Em 2023 a Apple bloqueou cerca de US$ 1,8 bilhão em atividades fraudulentas na App Store;
• mais de 146.000 contas de desenvolvedores foram encerradas devido a preocupações com fraudes;
• mais 139.000 inscrições de desenvolvedores foram recusadas, impedindo que pessoas mal-intencionadas enviassem seus aplicativos para a App Store;
• mais de 711 milhões de criações de contas de clientes foram rejeitadas e quase 129 milhões de contas de clientes foram desativadas, impedindo que essas contas realizassem atividades maliciosas;
• mais de 10.000 aplicativos ilegítimos foram bloqueados em lojas piratas, incluindo malware, aplicativos pornográficos, aplicativos de jogos de azar e versões piratas de aplicativos legítimos;
• mais de 1,9 milhão de aplicativos foram rejeitados por não atenderem aos padrões de segurança, confiabilidade e experiência do usuário determinados pelas Diretrizes de Avaliação de Aplicativos (App Review Guidelines), dos mais de 7,7 milhões de aplicativos enviados e analisados ​​na App Store;
• mais de 37.000 aplicativos por atividade fraudulenta;
• a Apple rejeitou mais de 43.000 envios de aplicativos por conterem recursos ocultos ou não documentados;
• mais de US$ 2 bilhões em transações fraudulentas foram impedidas;
• a Apple identificou quase 4,7 milhões de cartões de crédito roubados e proibiu mais de 1,6 milhão de contas de realizarem transações novamente.

No último mês, a Apple também impediu quase 4,6 milhões de tentativas de instalação ou lançamento de aplicativos distribuídos ilicitamente fora da App Store ou de marketplaces de terceiros.

Para saber mais:

• The App Store prevented more than $9 billion in fraudulent transactions over the last five years
• Apple says it blocked $2 billion in App Store fraud last year

[Hackerspace] RIP Sickeira

Nesse final de semana perdemos o Sickeira, um grande ativista e colaborador da comunidade hacker e maker brasileira. Ele partiu repentinamente, na madrugada do domingo (25/05). Fez parte da fundação do ABC Makerspace e foi muito ativo também no Garoa, Laboratório Hacker de Campinas (LHC) e, principalmente, no Dumont Hackerspace - o "hackerspace itinerante" que representa a nossa comunidade em eventos.

O Sickeira estava sempre presente nos eventos da comunidade, principalmente nas Campus Party, na Security BSides São Paulo (BSidesSP) e na CryptoRave. Na BSidesSP, era um dos principais organizadores da Village Dumont, que centralizava o conteúdo dos hackerspaces brasileiros.

Nessa última BSidesSP ele subiu ao palco principal, após ser sorteado durante a cerimônia de encerramento, nos presenteando com essa foto maravilhosa:

Ele me acompanhou por algumas horas na madrugada da última CryptoRave, e assistiu a minha palestra às 2 da manhã. Eu lamento muito não ter tirado uma última selfie com ele nesse momento. Felizmente temos, ao menos, nossa última foto durante a BSidesSP, graças ao Douglas, do LHC:

O Sickeira era uma pessoa simples, humilde, mas também super entusiasmado e comprometido com a nossa comunidade, sempre puxando conversa com todos. Ele deixará muitas saudades.

Para conhecer um pouquinho mais sobre o Sickeira, visite o seu perfil no instagram e o seu blog pessoal.

Descanse em paz, Sicka - até mais e obrigado pelos peixes!

Para finalizar, seguem mais algumas fotos dele no final de semana da BSidesSP (obrigado Douglas e PUB, que fez a cobertura do evento):

  

  

  

  

[Segurança] Mente Binária oferece gratuitamente o "Curso de Inteligência de Ameaças Cibernéticas Online"

O pessoal da Mente Binária anunciou nessa última BSidesSP o lançamento de um novo curso, online e gratuito, sobre inteligência de ameaças, o Curso de Inteligência de Ameaças Cibernéticas Online.

O Curso de Inteligência de Ameaças Cibernéticas Online (CIACO) é mais um projeto social da Mente Binária, na forma de um curso online e gratuito sobre Cyber Threat Intelligence (CTI), que aborda desde conceitos fundamentais, aplicados em diversas áreas da segurança cibernética, até temas mais avançados como técnicas estruturadas de análise, metodologias de atribuição, entre outros.

Este será um curso completo sobre CTI com aulas semanais online, formadas por vídeos curtos (de 5 a 15 minutos, salvo exceções), exercícios práticos, perguntas e material descritivo mais detalhado. A previsão é que tenhamos aulas novas entre quintas e sextas de cada semana. 

O curso não possui carga horária total definida e ficará mais avançado e interessante conforme progredir. O curso está dividido inicialmente em cinco módulos, onde cada módulo abordará conceitos do "ciclo de inteligência". O programático pode ser alterado conforme o curso avançar:

• Módulo 1: Conceitos introdutórios.
• Módulo 2: Planejamento, modelagem de ameaças (threat modeling), compreender o cenário de ameaças (threat landscape), etc.
• Módulo 3: Técnicas de "pivoting", inteligência de fontes abertas (open source intelligence - OSINT), review de ferramentas, etc.
• Módulo 4: Técnicas de análise de dados, modelos e frameworks de cybersegurança como o Cyber Kill Chain (CKC), Diamond Model, Mitre ATT&CK, técnicas de atribuição (attribution), etc.
• Módulo 5: Como compartilhar e consumir informações para fins de inteligência, quais os tipos de relatórios, como escrever relatórios, etc.

Inteligência de Ameaças Cibernéticas (Cyber Threat Intelligence - CTI) são os conhecimentos, práticas e processos utilizados para se coletar e analisar informações sobre ameaças digitais para entender quem são os atacantes, como agem e o que estão planejando, a fim de que os defensores tomem as melhores decisões para se proteger. Os conceitos são derivados e adaptados da área tradicional de inteligência.

Para assistir o curso, você deve ter uma conta na plataforma do portal Mente Binária, ir na página do curso e clicar em "Enroll" para se inscrever e, assim, ter acesso ao conteúdo. Por enquanto há apenas duas aulas gravadas, além de "Aula 0", de introdução ao curso.

Veja mais informações aqui: Curso de Inteligência de Ameaças Cibernéticas Online.

Veja também todos os Cursos da Mente Binária.

[Segurança] Novidades e spoilers sobre a BSidesSP

Sim, a BSidesSP chegou!!! Nesse final de semana, 17 e 18 de maio, acontecerá a vigésima edição da Conferência Security BSides São Paulo (BSidesSP).

O evento já bateu todos os recordes de inscritos, e promete lotar o hotel Nacional Inn Jaraguá, o mesmo do ano passado. Os ingressos gratuitos foram todos consumidos em 6 horas e esgotamos todos os ingressos em cerca de 3 semanas!

E nós? Já estamos quase prontos para receber a comunidade de segurança.

Nesse ano teremos várias novidades:

• É edição de aniversário!!! Teremos brigadeiro para todo mundo, além de alguns detalhes na decoração. Os palestrantes e as pessoas que compraram o ingresso de "Kit Apoiador"irão receber uma linda moeda comemorativa dessa edição. Os palestrantes também vão ganhar um Cupcake;
• O tema central do evento é "House of Hackers", pois somos a casa da cultura hacker nacional, um local para troca de conhecimentos e fortalecimento da comunidade. Mas também brincaremos com outros temas como o tão desejado Oscar que o Brasil ganhou esse ano e o próprio aniversário da BSidesSP;

• "Da comunidade para a comunidade" - Nós não falamos muito sobre isso, mas escolhemos um slogan para a BSidesSP, além do tema principal da edição desse ano ("House of Hackers");
• O "mascote" oficial do evento nesse ano é o Pikachú. Após ser visto fugindo dos protestos na Turquia, ele chegou em São Paulo! E, como disse a Fernanda Torres, sobre as premiações e homenagens que recebeu nesse ano por causa do Glodo de Ouro e do Oscar: "Eu me sinto um Pikachú".
• No Piso 1, o mesmo do teatro, teremos estandes de patrocinadores, uma novidade para a BSidesSP;
• Também no Piso 1, na mesma sala aonde ficará o CTF, teremos um Escape Room!!!
• Teremos 17 villages, e algumas novas: Apple Red Team, Carreira, Exploit Village, Humint e a Jurassic Village;
• BTW, aproveite a Jurassic Village para conhecer alguns equipamentos e materiais antigos, além de conversar com algumas personalidades jurássicas da nossa comunidade;
• Teremos uma sala para os podcasters realizarem entrevistas durante o evento, uma forma de apoiar e divulgar essas iniciativas;
• Teremos transmissão ao vivo da trilha principal da BSidesSP, no Teatro. Para assistir, é necessário se increver gratuitamente no Sympla.

Para a galera que vai no evento, alguns avisos importantes:

• Lembrem-se que nesse ano há ingressos separados para o sábado e para o domingo. Certifique-se de ter se inscrito no dia certo;
• Para agilizar o checkin do pessoal, a galera que vai retirar camiseta, kit de apoio ou kit de palestrante vai fazê-lo no Piso 1, após o checkin realizado. Ou seja, no domingo todos os inscritos irão fazer o checkin e pegar o mesmo kit de participante, com crachá, mapa e agenda do evento, adesivos, folhetos e brindes. Quem precisar retirar camiseta ou kit fará isso depois que entrar no evento;
• Não perca a oportunidade de ir também na CryptoRave! O evento acontece no mesmo final de semana e na Biblioteca que fica praticamente em frente ao hotel da BSidesSP!
• Veja a grade final de palestras e atividades das Villages no nosso site.
• Sim, teremos mais cartinhas do Masters of Pwnage!

Tretas? Também já tivemos, pois um evento sem treta é um evento sem alma. Nesse ano, achamos que seria mais prático e fácil para todos se fizéssemos a inscrição para os mini-treinamentos no sábado. Mas o Sympla não tem um jeito fácil e intuitivo de evitar que uma mesma pessoa compre mais de um ingresso no mesmo pedido. Resultado: muita gente se inscreveu em mais de um treinamento ao mesmo tempo, tomando vaga dos demais. E, convenhamos, é impossível assistir 2 treinamentos que acontecem no mesmo horário em salas diferentes. Tivemos cerca de 170 pessoas que, juntas, consumiram mais de 400 vagas - mais de 230 pessoas não conseguiram se inscrever e ficaram de fora! Teve gente que se inscreveu várias vezes, totalizando 7 ingressos. E, como desgraça pouca é bobagem, descobrimos que o Sympla não permite que a pessoa cancele o próprio ingresso, quando é um ingresso gratuito. Nós, como organizadores, não conseguimos cancelar 1 ingresso, somente o pedido completo - o que cancelaria todos os ingressos desse pessoal.

Somos um evento de comunidade raiz: o nosso objetivo é, unicamente, apoiar a formação e crescimento da comunidade brasileira de cibersegurança. O evento é gratuito porque queremos que todas as pessoas tenham a possibilidade de participar. A grade de palestras é montada cuidadosamente pra trazer assuntos relevantes, importantes e inovadores para o nosso mercado. Para nós você não é um produto, é uma pessoa em busca de trocar conhecimento. O evento é bancado exclusivamente pelos nossos patrocinadores, sem objetivo de lucro, apenas o suficiente para trazer um evento de qualidade.

O resultado disso veremos nesse final de semana. Estamos ansiosos e empolgados, nos esforçando para entregar uma edição à altura da nossa comunidade.

A BSidesSP vai acontecer nos dias 17 e 18 de maio, no final de semana antes da You Shot the Sheriff (YSTS). No sábado temos o "pré-evento", com mini-treinamentos, atividades do CTF e competição do Masters of Pwnage - além de implante de biochip, tatuagem e algumas lojinhas. No domingo teremos o evento completo, com 4 trilhas de palestras, villages, CTF e lojinhas bem legais.

#bsidessp #houseofhackers #bsidessp20ed

A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.

A BSidesSP 2025 acontecerá nos dias 17 e 18 de Maio de 2025 e conta com o patrocínio da Apura Cyber Intelligence, Elytron, Gemina, Google, Hacker Rangers, Hekate, LogicalIT e Tata Consultancy Services (TCS), além da Azion, Bunker Cyber Security, Checkmarx. Clavis, Cymulate, Forcepoint, Hakai Security, HPE / Aruba Networking, Leonnes Cybersecurity, PurpleBird Security, Snyk, Strike, Tempest Security Intelligence e a Webdefense. Também patrocinam a Nova8, Beephish, BugHunt, Hatbash, Tailor Security Tech, Thallium e Vantico. A competição de Capture The Flag (CTF) é realizada graças ao apoio e organização da comunidade Hack in Cariri e conta com o patrocínio da Defcon1 e da LUMU. A realização do evento conta com o apoio sensacional da Hekate. A BSidesSP jamais seria possível ser realizada se não fosse por essas empresas.

Obrigado às empresas que acreditam e apoiam a nossa comunidade!!!

Anote aí na sua agenda:

• Security BSides São Paulo (BSidesSP) edição 20
• Site: https://www.securitybsides.com.br
• Quando: dia 17/05 a partir das 15h e 18/05 a partir das 10h
• Onde:
• Hotel Nacional Inn Jaragua
• R. Martins Fontes 71, Centro, São Paulo/SP, CEP 01050-000
• e-mail: reservas1_arroba_nacionalinnjaragua.com
• Cupom de 5% de desconto para hospedagens no período do evento (aplicar na tela de pagamento): BSIDES25

Quer conferir estas e outras novidades? Fique de olho nas nossas redes sociais, no nosso grupo no Telegram e no nosso site.

Veja também:

• "Eu quis fazer as pessoas sorrirem", conta "Pikachu" da Turquia
• Fernanda Torres fala sobre meme de se sentir como Pikachu: "Mais do que nunca"
• Aproveite e assista essa entrevista no Tecsec Podcast contando a história da BSidesSP, o papo está incrível!
• Aqui no blog:
• As Villages da BSidesSP 2025
• Contagem regressiva para a BSidesSP
• House of Hackers
• Descontos exclusivos para quem vem de fora para a Security BSides São Paulo 2025
• Um final de semana de CryptoRave e BSidesSP - a Lollapalooza da cybersegurança!
• Vem aí o Primeiro CTF sobre Inteligência Artificial!
• CTF especial no Dia Internacional da Mulher
• Reserve a sua agenda para a Security BSides São Paulo 2025
• Os números da BSidesSP 2024
• Eventos de Segurança no primeiro semestre de 2025
• Como foram os eventos de segurança em 2024
• Já que essa é uma edição de aniversário, que tal lembrar como foi a premiação do Bozo Security em 2012?

[Segurança] Os golpes mais aplicados contra clientes bancários em 2024

A Febraban (Federação Brasileira de Bancos) divulgou os 10 golpes mais aplicados contra clientes dos bancos em 2024, e a lista contém golpes bem conhecidos. O golpe do WhatsApp, das falsas vendas e da falsa central/falso funcionário de banco são as três abordagens mais comunicadas por clientes em 2024 às instituições associadas e que foram repassadas à Febraban.

A criatividade dos criminosos não conhece limites, e a cada dia novas tentativas de golpes surgem, visando enganar e prejudicar a população. A grande maioria é baseado fortemente na engenharia social.

Segundo a Febraban os top 10 golpes, que impactam pessoas em todo o Brasil no ano passado, foram:

1. Golpe do WhatsApp: O golpista descobre o número do celular e o nome da vítima de quem pretende clonar a conta de WhatsApp, para entrar em contato com um parente ou conhecido e pedir dinheiro emprestado. Com essas informações, tenta cadastrar o WhatsApp da vítima em seu aparelho. Para concluir a operação, é preciso inserir o código de segurança que o aplicativo envia por SMS sempre que é instalado em um novo dispositivo. Os fraudadores enviam uma mensagem pelo WhatsApp fingindo ser do Serviço de Atendimento ao Cliente de site de vendas ou de empresa que a vítima tem cadastro. Eles solicitam o código de segurança, afirmando se tratar de uma atualização/protocolo, manutenção ou confirmação de cadastro. Uma medida simples para evitar que o WhatsApp seja clonado é habilitar, no aplicativo, a opção “Verificação em duas etapas”;
2. Golpe da falsa venda: Criminosos criam páginas falsas que simulam e-commerce, enviam promoções inexistentes por e-mails, SMS, mensagens de WhatsApp e anúncios em redes sociais, além de perfis falsos de lojas em redes sociais. Sempre desconfie de promoções muito atraentes e dê preferência aos sites conhecidos para as compras;
3. Golpe da falsa central telefônica/falso funcionário: O fraudador entra em contato com a vítima se passando por funcionário do banco ou empresa com a qual o cliente tem um relacionamento ativo. O criminoso informa que há irregularidades na conta ou que os dados cadastrados estão incorretos. A partir daí, solicita os dados pessoais e financeiros da vítima e orienta que realize transferências alegando a necessidade de regularizar problemas na conta ou no cartão. Também pode solicitar que a vítima instale um aplicativo malicioso em seu celular, disfarçado de uma falsa atualização do banco. Desconfie de ligações e mensagens recebidas contendo solicitações de dados. Ao receber uma ligação suspeita, o cliente deve desligar, e de outro telefone, deve entrar em contato com os canais oficiais de seu banco;
4. Phishing: O phishing, ou pescaria digital, é uma fraude eletrônica que visa obter dados pessoais do usuário por mensagens e e-mails falsos que induzem o usuário a clicar em links suspeitos. Também existem páginas falsas na internet que induzem a pessoa a revelar dados pessoais. Nunca clique em links recebidos por mensagens;
5. Golpe do falso investimento: Falsos grupos criam sites de empresas de fachada e perfis em redes sociais para atrair as vítimas e convencê-las a fazerem investimentos supostamente altamente lucrativos e com retorno rápido. Usam vários artifícios para enganar os interessados: fornecem informações falsas da suposta empresa, mostram depoimentos inexistentes de pessoas que foram bem-sucedidas com o investimento, entre outros. Em alguns casos, para criar credibilidade, indicam que o usuário faça investimentos baixos no início e até chegam a pagar algum valor para a vítima. Posteriormente, induzem a vítima a fazer investimentos mais altos. Depois que conseguem tirar uma quantia alta da pessoa, somem. Sempre desconfie de promessas de rendimentos ou retornos muito acima daqueles praticados no mercado;
6. Golpe da troca de cartão: Golpistas que trabalham como vendedores prestam atenção quando você digita sua senha na maquininha de compra e depois trocam o cartão na hora de devolvê-lo. Com seu cartão e senha, fazem compras usando o seu dinheiro. Quando você for fazer uma compra com seu cartão físico, lembre-se de sempre cheque o valor na tela da maquininha, sempre confira se o cartão que te devolveram é o seu mesmo e sempre passe você o cartão na maquininha. Não entregue cartões para ninguém;
7. Golpe do falso boleto: Os criminosos apostam na desatenção dos pagadores para aplicar golpes, falsificam boletos e colocam seus dados bancários para que recebam o crédito do documento de pagamento. Confira com atenção os dados do beneficiário do boleto tais como CPF ou CNPJ do emissor, data de vencimento e valor no momento do pagamento;
8. Golpe da devolução do empréstimo: O golpista, de posse dos dados do cliente, realiza a contratação de um empréstimo em alguma instituição indicando a conta legítima do cliente para recebimento. Após a efetivação do empréstimo, os golpistas entram em contato com o cliente, se passando por funcionários do banco, e solicitam a devolução do dinheiro para que façam o cancelamento da operação. E indicam uma chave pix ou um boleto para a devolução, direcionando o pagamento para uma conta em poder do fraudador. Sempre entre em contato diretamente com o banco pelos canais oficiais (telefone, site ou aplicativo). Nunca transfira dinheiro para contas de pessoas ou empresas desconhecidas;
9. Golpe da mão fantasma: o criminoso entra em contato com a vítima se passando por um falso funcionário do banco. Usa várias abordagens para enganar a vítima: informa que a conta foi invadida, clonada, que há movimentações suspeitas, entre outras artimanhas. E diz que vai enviar um link para a instalação de um aplicativo que irá solucionar o problema. Se o cliente instalar o aplicativo, o criminoso terá acesso a todos os dados que estão no celular;
10. Falso motoboy: O golpe começa com uma ligação ao cliente, de uma pessoa que se passa por funcionário do banco, e diz que o cartão foi clonado, informando que é preciso bloqueá-lo. Para isso, diz o golpista, bastaria cortá-lo ao meio e pedir um novo pelo atendimento eletrônico. O falso funcionário pede que a senha seja digitada no telefone, e fala que, por segurança, um motoboy irá buscar o cartão para uma perícia. O que o cliente não sabe é que, com o cartão cortado ao meio, o chip permanece intacto, e é possível realizar diversas transações.

Fonte:

• Saiba quais foram os 10 golpes mais aplicados contra clientes bancários em 2024

[Carreira] Cursos gratuitos no WOMCY Training Center

O WOMCY Training Center, criado pela WOMCY, Latam Women in Cybersecurity em parceria com a CISCO, Fortinet e Microsoft, está oferecendo alguns cursos gratuitos. Todos tem certificado de participação emitidos pela WOMCY e são preparatórios para certificação.

• SC-900 Security, Compliance, and Identity Fundamentals (115 aulas): O SC-900 cobre os principais conceitos de segurança, conformidade e identidade dentro do ecossistema Microsoft, incluindo Azure, Microsoft 365 e Defender. É ideal para iniciantes que querem entender como a Microsoft protege dados e sistemas;
• AI-900 Fundamentos de AI no Azure900 (48 aulas)
• Soluções de IA no GitHub (57 aulas)

Não peca a oportunidade e inscreva-se !!

[Segurança] Guia de Segurança Cibernética no Agronegócio

O Cybersecurity Observatory in Agribusiness - OSCA, lançou o "Guia de Segurança Cibernética no Agronegócio" em novembro do ano passado, um material muito importante para discutir a necessidade de promover a cibersegurança no setor do Agronegócio.

O guia tem 36 páginas e pode ser baixado gratuitamente.

O Guia foi lançado durante o Seminário “Segurança Cibernética no Campo: protegendo a agropecuária do futuro”, ocorrido no MAPA em Brasília. Ele é fruto direto da campanha mundial “Outubro: mês de Conscientização sobre a Segurança Cibernética no Agronegócio Brasileiro” que o OSCA aderiu e promoveu, com posts realizados sempre às 3ª e 5ª feiras, ao longo das cinco semanas de outubro. Os posts da campanha foram compartilhados pelo Linkedin.

O Guia foi escrito pelos fundadores, pesquisadores e editores do OSCA (ordem alfabética): Heleno do Nascimento Santos, Helton Garcia, Joao Souza Neto, Marcelo Cunha, Marcus Peixoto e Paulo Henrique Latado, à partir das boas práticas de segurança cibernética mundiais selecionadas para o setor de Alimentos e Agricultura pela Food and Ag-ISAC. Conta ainda com Prefácio escrito por Guilherme Soria Bastos Filho, Coordenador do Centro de Estudos do Agronegócio da FGV - FGV Agro.

O "Guia de Segurança Cibernética no Agronegócio" busca ser uma fonte inspiradora de informações sobre práticas essenciais de segurança cibernética que devem, na medida do possível, ser implementadas pelas organizações do Agronegócio brasileiro (antes, dentro da porteira e depois). O guia apresenta 9 práticas que foram escolhidas a fim de proteger o setor contra os graves riscos cibernéticos decorrentes do seu processo de transformação digital. Também traz um pequeno glossário.

O guia pode ser compartilhado e distribuído gratuitamente de acordo com a licença Creative Commons.