Bruna Chieco

A Avast divulgou intrusões de rede que duram meses e o alvo são contas de usuário esquecidas ou desconhecidas que concediam acesso remoto a sistemas internos com pouco mais de uma senha. A empresa divulgou em seu blog que em 23 de setembro identificou um comportamento suspeito em sua rede e iniciou uma investigação em parceria com a agência de inteligência tcheca, Security Information Service (BIS), e uma equipe forense externa. As evidências apontaram para atividade no MS ATA/VPN. O usuário, cujas credenciais foram aparentemente comprometidas e associadas ao IP, não tinha privilégios de administrador de domínio, mas conseguiu obter privilégios de administrador de domínio. A conexão foi feita a partir de um IP público hospedado fora do Reino Unido. O atacante também usava outros pontos de extremidade através do mesmo provedor de VPN. A avast identificou que as tentativas de acessos iniciaram em 14 de maio deste ano. No blog, a empresa publicou a cronologia das atividades suspeitas. Paralelamente, a Avast executou medidas proativas para proteger os usuários finais. A suspeita era que o CCleaner era o alvo provável. Em 25 de setembro, as versões do CCleaner foram suspensas e as versões anteriores verificadas, e não houve nenhuma alteração maliciosa. A empresa informou que os usuários do CCleaner estão protegidos e não são afetados. Todas as credenciais de usuário interno foram redefinidas. ?

A cidade de Baltimore, em Maryland, nos Estados Unidos, contratou um seguro contra ciberataques após ter arcado com altos custos em ataques de ransomware. De acordo com o Baltimore Sun, o seguro vale US$ 20 milhões e cobre interrupções adicionais nas redes da cidade durante o próximo ano. A contratação é resultado de um processo de licitação competitivo envolvendo 17 seguradoras. O primeiro plano, com cobertura de responsabilidade de US$ 10 milhões da Chubb Insurance, custará US$ 500 mil em prêmios. A segunda, com cobertura em excesso de US$ 10 milhões, será fornecida pela AXA XL Insurance por US$ 335 mil. É a primeira vez que a cidade contrata um seguro cibernético, e os planos têm uma franquia de US$ 1 milhão. Apesar do prazo ser de um ano, a expectativa é que Baltimore estenda a cobertura. A decisão decorre de ataques sofridos em maio, quando sistemas da cidade foram acessados e os arquivos criptografados por meio de um ransomware. O resgate não foi pago pela prefeitura, mas o ataque paralisou muitos sistemas, interrompendo o serviço de e-mail dos funcionários, o faturamento da água, e suspendendo as transações imobiliárias.

O blog alemão Netzpolitik sofreu ameaças de cibercriminosos conhecidos como Grupo Gamma, criadores do spyware Finfisher. Segundo o The Register, os atacantes alegaram que o blog violou as leis da mídia alemã ao não pedir que comentassem as acusações contra eles. Isso fez com que o Netzpolitik retirasse duas publicações sobre o Finfisher do ar. Juntamente com os Repórteres Sem Fronteiras e algumas ONGs, os ativistas do Netzpolitik apresentaram a queixa criminal contra o Grupo Gammar. O malware criado por eles é implantado secretamente nos dispositivos das vítimas, permitindo que seus operadores os espionem. O Finfisher (também conhecido como Finspy) foi encontrado em uso por autoridades do Bahrein, país do Oriente Médio. Mais recentemente, descobriu-se que o malware estava em uso pelas autoridades do Uzbequistão para espionar agências de notícias. ?

No ano passado, a Cofense informou que as macros do Office estavam envolvidas em quase metade das entregas de malware detectadas. A National Cyber Security Centre, agência do governo dos Estados Unidos, também identificou campanhas de phishing de alto perfil usando malware, como Trickbot e Emotet; os quais tiveram participação na recente campanha de ransomware da Ruyk, e detectou que as mitigações atuais precisam ser revisadas. Segundo a agência, a única mitigação totalmente eficaz é desabilitar as macros — veja o passo a passo para a desabilitação. Para facilitar esse processo, outros recursos de segurança mais recentes foram incluídos nas versões recentes do Office, na tentativa de atenuar algumas classes de macros maliciosas, permitindo que a maioria das atuais ainda seja executada. A ideia é tornar as coisas mais seguras enquanto você substitui seus documentos e fluxos de trabalho habilitados para macro por outra coisa. A NCSC recomenda, portanto, proteger a sandbox dos aplicativos do Office no macOS e no Windows para desativar os recursos de macro mais perigosos que são comumente usados por malware; usar um produto antivírus compatível com AMSI no Windows que verifica atividades maliciosas em macros enquanto são executadas; identificar abordagens alternativas mais seguras para macros do Office, como o Microsoft Flow; utilizar o novo Serviço de Diretiva de Nuvem do Office incluído no Office 365.

Apesar de ser um nome muito usado, poucas pessoas sabem de fato qual é o conceito de vírus e costumam tratar esse termo de maneira genérica. Os vírus são um tipo específico de malware. O Infosec publicou um artigo, em inglês, detalhando uma explicação sobre a maneira que eles se comportam, e nós do Mente Binária compilamos algumas das principais informações compartilhadas no artigo. Segundo o Infosec, os vírus não são tão predominantes como costumavam ser, especialmente com o surgimento de outros tipos de malware nos últimos anos. Aliás, sim, eles são apenas um dos tipos de malware que existem por aí. O vírus se esconde dentro do código legítimo de um aplicativo e se replica até que sua tarefa programada seja concluída. Quando não se reproduz, um vírus pode modificar programas legítimos no sistema comprometido e inserir seu próprio código. Por se comportarem como os vírus baseados em nosso mundo físico, eles receberam esse nome. Inclusive, os vírus são muito mais antigos que os outros tipos de malware, e já existiam antes do uso predominante da Internet. O vírus não pode fazer nada sozinho; ele depende do usuário para ativá-lo, o que ocorre normalmente quando o usuário que usa o aplicativo para a finalidade a que se destina. Ao executar o aplicativo, o código do vírus é ativado e a tarefa programada é alcançada. Um vírus possui quatro fases em relação ao seu funcionamento: inativa, de propagação, de disparo e de execução. Existem também diferentes tipos de vírus, cada um com suas próprias características e usos pelos atacantes, incluindo vírus de scripts web, vírus polimórficos e vírus de macro. Devido às mudanças constantes desse tipo de malware, profissionais de segurança buscam se manter sempre atualizados sobre os ataques que os vírus podem realizar. ?

A Apple removeu o aplicativo HKmap.live da App Store após uso indevido que supostamente implicaria em questões de segurança. De acordo com o The Verge, o aplicativo é utilizado para mapeamento por moradores de Hong Kong. Contudo, em meio a protestos que ocorrem na região, foram marcados no app a localização da polícia e informações sobre o fechamento de ruas. Segundo comunicado da Apple, muitos usuários manifestaram preocupação em relação ao uso do aplicativo. "Verificamos junto ao Departamento de Crimes de Cibersegurança e Tecnologia de Hong Kong que o aplicativo foi usado para atacar e emboscar policiais, ameaçar a segurança pública, e os criminosos o usaram para vitimar os moradores em áreas onde eles sabem que não há aplicação da lei", diz o comunicado. Em resposta, os desenvolvedores do HKmap disseram que não há evidências para apoiar a acusação. “O HKmap App nunca solicita, promove ou incentiva atividades criminosas. O aplicativo consolida informações de fontes públicas e de usuários, por exemplo, via transmissão de notícias ao vivo, Facebook e Telegram”, complementam. Houve ainda uma manifestação via Twitter por parte dos administradores aplicativo contrária à decisão da Apple pelo banimento. ?

A Microsoft lançou esta semana atualizações de software que corrigem mais de 50 problemas no Windows e softwares projetados para rodas em cima do sistema. Segundo o KrebsOnSecurity, apenas 15% dos problemas foram classificados como críticos. A Microsoft rotula falhas críticas quando poderiam ser exploradas por atacantes ou malwares para assumir o controle de um sistema vulnerável sem qualquer interação do usuário. A Microsoft também enviou na terceira semana de setembro uma atualização de emergência para corrigir uma falha crítica do Internet Explorer (CVE-2019-1367) que estava sendo explorada. A atualização, contudo, causou erros para muitos usuários da Microsoft cujos computadores aplicaram a atualização de emergência desde o início. Mas a correção disponível agora aborda esses problemas. Também foram corrigidos erros perigosos no Remote Desktop Client, recurso do Windows que permite ao usuário interagir com uma área de trabalho remota como se estivesse na frente do outro computador. O bug é crítico, mas só pode ser explorado enganando um usuário para conectar-se a um servidor malicioso da Área de Trabalho Remota. Outras vulnerabilidades notáveis abordadas este mês incluem falhas críticas de segurança nas versões do Microsoft Excel 2010-2019 para Mac e Windows, bem como no Office 365. Essas falhas permitiriam que um atacante instalasse um malware apenas fazendo com que o usuário abrisse um arquivo do Office. Mantenha seu Windows atualizado. ⬆️

O Twitter assumiu recentemente que os números de telefone e endereços de e-mail cadastrados nas contas dos usuários podem ter sido inadvertidamente usados para fins de publicidade. A rede social publicou um comunicado explicando que o sistema de publicidade de Audiências Personalizados e Públicos Parceiros utilizou esses dados para essa finalidade. Segundo a empresa, o público-alvo personalizado é uma versão de um produto padrão do setor que permite que os anunciantes segmentem anúncios para clientes com base nas próprias listas de marketing do anunciante. "Quando um anunciante carregou sua lista de marketing, podemos ter correspondido as pessoas no Twitter à sua lista com base no e-mail ou número de telefone que o titular da conta forneceu para fins de segurança. Este foi um erro e pedimos desculpas", diz o comunicado. A rede social não soube informar quantos usuários foram impactados por isso, e reforçou que nenhum dado pessoal foi compartilhado externamente com parceiros ou terceiros. "Em 17 de setembro, resolvemos o problema que permitia que isso acontecesse e não usamos mais números de telefone ou endereços de e-mail coletados com finalidade em segurança para publicidade", ressaltou.

Cibercriminosos do Irã tentaram invadir contas de e-mail de atuais e antigas autoridades do governo dos Estados Unidos, incluindo membros da campanha presidencial de 2020 do país. De acordo com o ZDNet, os ataques ocorreram em um período de 30 dias entre agosto e setembro. A descoberta foi feita pela Microsoft. Os ataques foram atribuídos a um grupo chamado Phosphorous, também conhecido como APT35, Charming Kitten e Ajax Security Team. Em seus ataques, o grupo operou em diferentes estágios, criando mais de 2,7 mil testes para identificar contas de e-mail pertencentes a clientes específicos da Microsoft. Depois disso, 241 contas foram selecionadas, incluindo contas associadas à campanha presidencial dos Estados Unidos, atuais e ex-funcionários do governo do país, jornalistas que cobrem política global e iranianos renomados que vivem em outros países. O atacantes chegaram a invadir quatro contas vinculadas à campanha presidencial americana por meio de acesso à caixa de entrada secundária de e-mail da vítima. A senha foi redefinida e o link para escolha da senha nova foi enviado nessa caixa de entrada secundária, permitindo aos cibercriminosos controlarem a conta principal da Microsoft. O Microsoft AccountGuard, serviço especial da Microsoft que faz parte do programa Defending Democracy, foi criado justamente para evitar esse tipo de ataque contra nações.

Um homem esloveno acusado de criar a botnet Mariposa e administrar o fórum de crimes cibernéticos de Darkode foi preso na Alemanha a pedido de promotores dos Estados Unidos. De acordo com o KrebsOnSecurity, Matjaž “Iserdo” Škorjanc, está detido pelas autoridades alemãs desde a semana passada, em resposta a um mandado de prisão internacional emitido pelos EUA por sua extradição. Ele foi condenado em dezembro de 2013 por um tribunal esloveno a quatro anos e dez meses de prisão. A botnet Mariposa foi uma poderosa máquina de crime detectada pela primeira vez em 2008, e estima-se que tenha infectado mais de 1 milhão de computadores. Škorjanc foi acusado de operar o malware inicialmente em 2011, juntamente com outros dois homens que supostamente escreveram e venderam o código de botnet da Mariposa. Depois disso, Škorjanc ainda trabalhou como diretor de tecnologia da NiceHash, uma empresa eslovena de criptografia em criptomoeda. Em dezembro de 2017, aproximadamente US$ 52 milhões em bitcoins desapareceram misteriosamente dos cofres da NiceHash, incidente que a polícia eslovena ainda está investigando. A prisão de Škorjanc vem junto com outras quedas de crimes cibernéticos na Alemanha que ocorreram na semana passada. Em um dos casos, autoridades alemãs anunciaram a prisão de sete pessoas e estavam investigando outras seis envolvidas em uma operação de hospedagem na Dark Web que supostamente apoiava vários mercados de pornografia infantil, crimes cibernéticos e drogas. Os servidores estavam enterrados em um bunker militar fortificado. ?

Fernando Dantas (aka “feroso”), especialista de Segurança do Itaú e membro do Epic Leet Team, foi um dos dois finalistas brasileiros e dos 308 globais do 6º desafio anual Flare-On, torneio de engenharia reversa mundial e gratuito realizada pela FireEye. Ele detalhou ao Mente Binária como foi a experiência de participar do torneio e concluir os 12 desafios. Segundo ele, as tarefas são focadas em engenharia reversa, visando também compartilhar desafios enfrentados pelo time da FLARE (FireEye Labs Advanced Reverse Engineering) em casos reais de ameaças analisadas por eles. "É liberado apenas um desafio por vez, ou seja, é necessário resolver o que está aberto para liberar o próximo". O torneio se iniciou no dia 16 de agosto, às 21h. "Eu comecei apenas no domingo, dia 18, por volta do meio-dia, e inacreditavelmente já havia competidores finalizando os 12 desafios", conta. Os Desafios Dantas descreve os quatro primeiros desafios como tranquilos, porém bem variados. "A partir do quinto desafio, a complexidade aumentou e fui resolvendo aos poucos, entre um e dois por semana, até que finalmente consegui finalizar o último no dia 25 de setembro, faltando apenas dois dias para o término do evento". Entre os desafios que ele gostou e que mais agregaram conhecimento, ele cita os seguintes: Challenge 6 - Bmphide: um executável .NET que utiliza esteganografia para esconder informações em imagens e possui técnicas de anti-análise como código que se auto-modifica. Challenge 7 - Wopr: Executável gerado pelo Pyinstaller que simula o sistema utilizado no filme War Games com técnicas de anti-análise em Python como checagem de integridade e descriptografia de código em tempo de execução. Challenge 10 - Mugatu: Um ramsonware que também utiliza técnicas de anti-análise como alteração de IAT em tempo de execução e injeção de DLL. Challenge 12 - Help: Um malware avançado e modularizado, contendo drivers de kernel e módulos em userland com recursos de keylogger, screenlogger e exfiltração de dados com comunicação criptografada e também criptografia de dados em memória para dificultar a análise forense. "No geral, foi necessário utilização de disassemblers, descompiladores, debuggers e muita escrita de scripts para reverter algoritmos, quebrar criptografia e eventuais ataques de força bruta a algoritmos. Também foi necessário conhecer diversas tecnologias, arquiteturas e linguagens diferentes como x86, x86-64, PE, ELF, APK, DirectX, .NET, Python e até NES", diz Fernando dantas. Ele descreve a experiência de ter participado como uma oportunidade ótima de aprendizagem e para praticar as habilidades necessárias no vasto mundo da engenharia reversa, além de ser uma grande oportunidade para quem está buscando emprego na área. "Todos os finalistas são citados no site do FLARE, além de ter a opção de enviar o currículo para eles após terminar o último desafio. Recomendo para todos os interessados em engenharia reversa a tentar resolver os desafios e também a ler os write-ups oficiais do próprio time da FLARE, que são uma rica fonte de conhecimento e perfeitos para praticar engenharia reversa de software", compartilha. "Agora vou esperar chegar a tão suada medalha e já ir me preparando para o Flare-On 7!", complementa Dantas. Em nome de toda a equipe do Mente Binária, parabenizamos o Fernando Dantas por representar tão bem o Brasil nessa competição! Estamos muito felizes com o resultado! ????

Uma vulnerabilidade de execução remota de código no seu mecanismo JavaScript do Foxit PDF Reader foi encontrada pelo pesquisador da Cisco Talos, Aleksandar Nikolic. O software, que usa JavaScript em vários pontos diferentes ao abrir um PDF, contém um erro na função de leitura JavaScript, o que acarreta no uso elevado e alto consumo da memória disponível. Isso significa que um atacante pode explorar essa vulnerabilidade (CVE-2019-5031) para obter a capacidade de executar remotamente o código. Isso porque a vulnerabilidade de corrupção de memória explorável permite que um documento PDF especialmente criado acione uma condição de falta de memória que não é tratada adequadamente, resultando em execução arbitrária de código. Um atacante precisa levar o usuário a abrir o arquivo malicioso, acionando, assim, essa vulnerabilidade. Se a extensão do plug-in do navegador estiver ativada, o usuário acaba acessando um site mal-intencionado, o que também pode ativar a vulnerabilidade. A Cisco Talos declarou que trabalhou com a Foxit para garantir que esses problemas fossem resolvidos, e já há atualizações disponíveis para corrigir a falha, que afetou a versão 9.4.1.16828 do software. ⬆️

A FireEye divulgou o resultado do sexto desafio anual Flare-On, torneio de engenharia reversa mundial e gratuito. Foram inscritos 5.790 participantes, sendo que deles 3.228 terminaram pelo menos um desafio. Segundo a FireEye, este o torneio teve o maior número de finalistas de todos os tempos, com 308 jogadores completando todos os 12 desafios. Os Estados Unidos recuperaram o primeiro lugar no torneio, com um total de 29 finalistas. Cingapura manteve sua posição de país per capita de finalização do Flare-On, com um finalizador Flare-On para cada 224 mil pessoas que vivem no país. Vietnã, Rússia e China também estiveram entre os países com mais finalistas. O Brasil aparece em 29º lugar, com dois finalistas. A lista de ganhadores foi publicada. As soluções escritas por cada autor de desafio também foram divulgadas. Vale conferir, principalmente se você está estudando engenharia reversa ou quer seguir carreira de análise de malware. ?

A física e cientista da computação da Universidade de Tecnologia de Delft, na Holanda, Stephanie Wehner, está construindo, junto a um time, um novo passo para a Internet. Nascida na Alemanha, ela é uma das líderes intelectuais trabalhando para projetar a Internet quântica, uma rede que, em vez de bits clássicos com valores de 0 ou 1, transmitirá bits quânticos, ou qubits, nos quais ambas as possibilidades, 0 e 1, coexistem. De acordo com reportagem da Quanta Magazine, esses qubits podem ser feitos de fótons combinados em duas polarizações diferentes. A capacidade de enviar qubits de um lugar para outro através de cabos de fibra óptica revolucionará muitos aspectos da ciência e da cultura, principalmente em termos de segurança da informação. Coordenadora da Quantum Internet Alliance, iniciativa da União Europeia para construir uma rede de transmissão de informações quânticas em todo o continente, Stephanie trabalha junto com dois colegas, e eles estabeleceram um plano de seis estágios para a realização da Internet quântica. Cada estágio de desenvolvimento suportará novos algoritmos e aplicativos, e o primeiro já está em andamento com a construção de uma rede quântica de demonstração que conectará quatro cidades na Holanda. Stephanie explica, contudo, que a ideia não é substituir a Internet atual, mas permitir funcionalidades novas e especiais. Ela diz ainda que um dos pilares da Internet quântica é o chamado "entrelaçamento quântico", uma propriedade especial dos qubits. "Eu teria um bit quântico aqui e você teria um bit quântico em Nova York, e usaríamos a Internet quântica para entrelaçar esses dois qubits. E então, se eu fizer uma medição do meu qubit aqui e você fizer a mesma em Nova York, sempre obteremos o mesmo resultado, mesmo que ele não tenha sido determinado com antecedência", explica em entrevista à Quanta Magazine. Esse entrelaçamento dá margem para alta confiabilidade, segurança e privacidade de conexão. "Se meu qubit aqui está entrelaçado com o seu qubit em Nova York, sabemos que nada mais pode ser parte desse entrelaçamento". Em entrevista em vídeo concedida à Quanta Magazine, Stephanie conta de maneira rápida e clara o que é a Internet quântica e quais as suas vantagens — entre elas a possibilidade de ter aplicações mais seguras, inclusive na nuvem. Veja a entrevista, em inglês:

O americano Bob Burdett estava andando de bicicleta em uma montanha em Spokane, cidade de Washington, nos Estados Unidos, quando sofreu um acidente que o deixou inconsciente. Quem o salvou foi seu Apple Watch, que ligou para o 911. Burdett só percebeu o que havia ocorrido quando acordou em uma ambulância. De acordo com o site Cult of Mac, o Apple Watch detectou a queda forte e como Burdett não se mexeu depois nem respondeu aos alertas, entrou em contato automaticamente com os serviços de emergência por conta própria. A história de Burdett foi compartilhada no Twitter. É possível ativar esse tipo de detecção de queda no Apple Watch Series 4 e Series 5. Ao ativá-la, o dispositivo tenta determinar se a pessoa está ferida por meio de alertas sonoros e mudos, juntamente com uma mensagem na tela perguntando se o usuário está bem. Se o Apple Watch detectar movimento do usuário, responderá ao alerta e não ligará automaticamente para os serviços de emergência. Mas se o relógio detectar que o usuário está imóvel por cerca de um minuto, fará a ligação automaticamente. Ele ainda envia uma mensagem de texto para notificar os contatos de emergência do usuário, juntamente com a localização da pessoa ferida. ⌚

O russo Andrei Tyurin, também conhecido como Andrei Tiurin, confessou uma série de crimes cibernéticos cometido nos Estados Unidos com foco principal em instituições financeiras, corretoras e empresas americanas. De acordo com o site do United States District Court for the Southern District of New York, Tribunal Federal do Distrito de Nova York, Tyurin é acusado de cometer esses crimes com outros parceiros em apoio à manipulação do mercado de valores mobiliários, jogos ilegais online e esquemas de fraude no processamento de pagamentos cometidos por seus co-conspiradores. O procurador dos EUA em Manhattan, Geoffrey S. Berman, disse que a extensa campanha dos ciberataques de Andrei Tyurin atingiu diversas instituições e empresa, e mais recentemente reuniu os dados de mais de 80 milhões de vítimas, o que configura em um dos maiores roubos de dados de clientes dos Estados Unidos de uma única instituição. A campanha de Tyurin e seus parceiros durou de 2012 a meados de 2015. Declarado culpado de uma acusação de conspiração por cometer invasão de computadores, sua pena máxima é de cinco anos de prisão. A acusação de fraude eletrônica acarreta pena máxima de 20 anos de prisão; enquanto a conspiração para violar a Lei de Execução Ilegal de Jogos na Internet acarreta uma sentença máxima de cinco anos de prisão. A conspiração para cometer fraude eletrônica e fraude bancária o leva ainda a uma pena máxima de 30 anos de prisão. Tyurin também se declarou culpado de uma acusação de conspiração para cometer fraude eletrônica, com pena máxima de 30 anos de prisão; e de conspiração para cometer ciberataques, que possui uma sentença máxima de cinco anos de prisão. A sentença de Andrei Tyurin está programada para 13 de fevereiro de 2020, e ao somar essas penalidades, tudo indica que ele deve passar muito tempo na cadeia. ?‍♂️

O colunista de tecnologia do Washington Post, Geoffrey A. Fowler, iniciou uma pesquisa sobre Smart TVs e descobriu que elas entraram na lista de sites e aplicativos e empresas de cartão de crédito que lucram com compartilhamentos e informação pessoal dos usuários. Ele cita especificamente como esse mercado funciona nos Estados Unidos, onde, segundo pesquisa da eMarketer, os americanos passam em média 3 horas e meia por dia em frente a uma TV. Apesar dos registros de TV não conterem consultas de pesquisa confidenciais ou dados financeiros, há um histórico que abre uma janela para os interesses dos usuários e que compõem sua personalidade, o suficiente para que empresas saibam os gostos pessoais de alguém e construam uma base de dados. Fowler explica, em um artigo publicado no Washington Post, que realizou um experimento em sua própria TV Samsung conectada à Internet, bem como em novos modelos de Smart TVs de outras marcas mais vendidas nos Estados Unidos: TCL Roku TV, Vizio e LG. Ele configurou cada TV e por meio de um software da Universidade de Princeton chamado IoT Inspector observou como os modelos transmitiam dados. "Muitos saíram de aplicativos de streaming e de seus parceiros de publicidade. Mas mesmo quando mudei para um sinal de transmissão ao vivo, pude ver cada TV enviando relatórios uma vez por segundo", conta em seu artigo. Ele diz ainda que quando o rastreamento está ativo, algumas TVs gravam e compartilham tudo que cruza os pixels na tela, mesmo a fonte sendo um cabo, um aplicativo, um DVD player ou uma caixa de streaming. A desculpa dos fabricantes de TV para isso é que acompanhar o que assistimos os ajuda a fornecer recomendações personalizadas úteis. Mas o rastreamento de TV é principalmente direcionado a anunciantes e empresas de mídia. Fowler entrou em contato com essas empresas, que disseram que o conteúdo enviado pelas fabricantes de TV pode ser medido para que os anúncios sejam bem segmentados e monitorados quanto ao desempenho. Além disso, esses dados também são cruzados com o que o usuário faz em seu telefone, tablet e laptop. ? Já publicamos aqui uma matéria sobre como somos constantemente rastreados em aplicativos e sites por aí, e uma maneira de detectar isso é por meio do aplicativo Spod VPN, por enquanto disponível para iOS e que combina uma VPN a um filtro web para bloquear rastreadores e ameaças em apps e páginas da Web. É uma boa maneira de começar a se proteger desse monitoramento, que aparentemente se estenderá para qualquer coisa conectada à Internet. ?

As fraudes da Internet não necessariamente envolvem algum tipo de ciberataque para tentar extorquir dinheiro das vítimas. Dessa vez, um dos leitores do Mente Binária relatou que sofreu uma tentativa de fraude ao anunciar seu MacBook na OLX e no Mercado Livre. O anúncio foi feito no dia 16 de julho pela manhã, e para tentar uma venda mais rápida, o leitor deixou aberto seu número de telefone e e-mail para que possíveis interessados entrassem em contato com ele. Aí que começaram as tentativas de fraude. O leitor conta que poucas horas depois de divulgar o anúncio já começou a receber diversas mensagens no site da OLX e também via WhatsApp. No geral, as mensagens eram bem similares. A imagem abaixo mostra uma dessas mensagens. Mostra também que os supostos interessados no produto já foram bloqueados pelo site, sendo impossibilitados de enviar novas mensagens: Mensagens de supostos compradores interessados no produto enviadas pela OLX "Era um padrão de mensagem, não era personalizada, só as contas de usuário eram diferentes", conta o leitor, que deixou o anúncio ativo por quatro dias. "Recebi em média quatro mensagens no site da OLX por dia", diz. "Ao mesmo tempo, algumas pessoas me adicionaram no WhatsApp fazendo perguntas, mas tinham pressa em fechar negócio. As mensagens eram diferentes e algumas até incluíam mensagens de áudio". Ele conta ainda que um dos supostos interessados já queria fechar o negócio sem sequer perguntar as configurações do laptop. Conversa do leitor com mais um suposto interessado na compra Algo comum entre as mensagens recebidas pelo leitor é que quase todas que foram enviadas via anúncio da OLX falavam para fechar negócio via Mercado Livre, o que indicava algum tipo de facilitação para falsificar a transação nessa plataforma. O caso mais suspeito foi a troca de e-mails da vítima com um suposto comprador do MacBook. O leitor desconfiou da pressa do interessado, pois ele não sabia o estado do produto e nem se receberia de imediato, mas quis realizar o pagamento naquele momento. Foram realizadas três trocas de e-mails: E-mails enviados à vítima simulam comprovante de pagamento e confirmação de venda via Mercado Live Conforme mostram as imagens acima, o comprador enviou um suposto comprovante de pagamento do Mercado Livre, um segundo e-mail com explicações sobre a venda, e um terceiro, simulando o Mercado Pago, pedindo dados bancários. Porém, o estranho foi que o remetente do e-mail era pagamentosonlinemercado@gmail.com, claramente um e-mail criado com a intenção de imitar o Mercado Livre. Isso aumentou a desconfiança do leitor, que depois desse dia, decidiu retirar o anúncio do ar. Se ele tivesse acreditado no falso comprovante de pagamento, poderia ter entregue o produto ao criminoso e teria sido mais uma vítima dos fraudadores. Como identificar o golpe As mensagens se assemelhavam em uma coisa: todos tinham pressa em fechar a compra. "Um dos compradores, inclusive, usou dois números diferentes com a mesma foto no WhatsApp para tentar fechar negócio", conta o leitor. O conhecimento e interesse que o suposto comprador tem pelo produto também é uma boa dica. "Pedi R$ 11 mil pelo notebook, e o cara não perguntou o estado do produto. Por um valor alto desse, eu iria no mínimo querer ver o produto, marcar encontro em um lugar público e realizar a transferência pessoalmente", destaca. Uma possível ferramenta que os golpistas têm utilizado para entrar em contato com mais agilidade com os anunciantes são os web scrappers — um robozinho que pode ser programado para acessar um site em um determinado intervalo de tempo, e qualquer mudança ele avisa. Isso significa que os golpistas podem se utilizar desse scrapping no site da OLX ou outras plataformas de compra e venda de produtos, buscando novos anúncios que tenham número de telefone ou e-mail expostos, e assim eles entram em contato com o vendedor e tentam efetuar a fraude enviando comprovantes de pagamento falsos. O ideal é não colocar número de telefone nem e-mail nesses anúncios. Desconfiar da velocidade com que as mensagens chegam e verificar a origem dos e-mails, assim como nosso leitor fez, também ajuda a evitar o golpe. ?

A fraca segurança da rede Wi-Fi da WeWork, empresa americana que aluga espaços de trabalho compartilhados para startups, tem deixado dados de usuários expostos. Segundo o Dark Reading, a vulnerabilidade pode prejudicar tanto empresas que utilizam o espaço quando as que nunca entraram na WeWork, mas negociam com empresas que usam seus escritórios. Uma reportagem mais detalhada do CNET, em inglês, fala sobre as implicações que essa falha pode causar aos usuários do espaço. As descobertas são de Teemu Airamo, que avaliou a segurança do Wi-Fi da WeWork em 2015, quando considerou mudar sua empresa de mídia digital para um dos escritórios da empresa em Manhattan. Ele conseguiu visualizar centenas de registros financeiros de outras empresas e de dispositivos na rede do edifício. Ao alertar o gerente da comunidade sobre sua descoberta, a resposta foi que a WeWork já sabia que isso poderia ocorrer. As descobertas de Airamo incluem 658 dispositivos que expõem inúmeros de dados, entre eles registros financeiros, transações comerciais, bancos de dados de clientes, e-mails de outras empresas, varreduras de carteira de motorista e passaporte, pedidos de emprego, contratos, ações judiciais, credenciais bancárias e dados de saúde. Para piorar a situação, vários locais do cenário massivo da WeWork usam exatamente a mesma senha de acesso à rede Wi-Fi. ? Em resposta às revelações, a WeWork disse que pôde entrar em detalhes sobre sua segurança, alegando período de silêncio determinado pelo governo em torno de seu IPO pendente. ?‍♀️

Um banco de dados inseguro contendo 18 Gb de informações expôs mais de 20 milhões de registros, a maioria sobre cidadãos do Equador. De acordo com o ZDNet, a população afetada inclui 6,7 milhões de crianças. Muitos registros vazados foram duplicados, como informações de indivíduos falecidos. Os pesquisadores do vpnMentor, Noam Rotem e Ran Locar, descobriram o banco de dados desprotegido em um servidor Elasticsearch, que parece pertencer à empresa equatoriana de consultoria Novaestrat. Eles compartilharam a descoberta com o ZDNet, que auxiliou na análise dos dados vazados. As informações mais extensas parecem ter sido coletadas no registro civil do governo equatoriano, contendo nome completo de pessoas, data e local de nascimento, endereço residencial, estado civil, números de identificação nacional, informações sobre trabalho, números de telefone e níveis de escolaridade. O ZDNet verificou a autenticidade desses dados, que estavam atualizados e com informações recentes, ainda deste ano. No vazamento ainda foi encontrado um índice "família", que continha informações sobre membros da família de todos os cidadãos, como filhos e pais, permitindo que alguém reconstruísse árvores genealógicas de toda a população do país. Em uma análise mais detalhada, o banco de dados também continha índices rotulados com siglas de entidades privadas, entre elas o Banco del Instituto Ecuatoriano de Seguridad Social e a Associação de Empresas Automotivas do Equador. No total, foram encontrados 7 milhões de registros financeiros e 2,5 milhões de registros contendo detalhes de carros e proprietários de automóveis. ? O banco de dados foi protegido no final da semana passado. ?

Os crimes cibernéticos estão crescendo tanto que seguradoras americanas estão começando a enxergar uma nova oportunidade de negócios — oferecer cobertura para caso de ataques de ransomware. De acordo com o The Register, uma seguradora da Califórnia chamada Mercury Insurance já iniciou a oferta desse tipo de cobertura para clientes no início do mês. Além da cobertura do seguro, o usuário afetado também pode obter assistência profissional de especialistas em extorsão cibernética para lidar com os ataques de ransomware. A cobertura inclui uma franquia de US$ 500 por ocorrência, podendo ser adicionado o valor anual de US$ 30 para um limite de cobertura de US$ 25 mil, e US$ 41 para um limite de cobertura de US$ 50 mil. Apesar de parecer um bom negócio, já que os ataques de ransomware estão crescendo especialmente nos Estados Unidos, especialistas colocam em dúvida se esse tipo de seguro pode ajudar a aumentar os cibercrimes. Isso porque os grandes pagamentos das seguradoras podem começar a chamar a atenção dos cibercriminosos, que até então tinham como principais alvos as empresas, por ter mais chances de receber o pagamento pelo resgate das informações. Mas caso usuários domésticos comecem a contratar esses seguros, especialistas acreditam que eles podem se tornar vítimas mais frequentes das invasões com bloqueio de dados e pedido de resgate. ?‍♀️

O FBI, em parceria com autoridades do mundo todo, prendeu centenas de cibercriminosos que participavam de gangues de phishing em diversos países. Também foi recuperado o valor de US$ 3,7 milhões, segundo o próprio FBI. Cerca de 281 suspeitos foram detidos na operação, que foi denominada reWired, sendo a maior parte nos Estados Unidos. Também foram identificados criminosos na Nigéria, Turquia, Gana, França, Itália, Japão, Quênia, Malásia e Reino Unido. O principal alvo dessas gangues são funcionários de organizações com acesso à área de finanças. Os criminosos enviam e-mails cuidadosamente elaborados e também usam métodos sofisticados, como engenharia social e intrusão, para enganar as vítimas e levá-las a fazer transferências bancárias para contas que supostamente pertencem a um parceiro de negócios confiável — mas na verdade são controladas pelos atacantes. O FBI também interrompeu e recuperou transferências no valor de US$ 118 milhões, provenientes desses ataques A operação segue a WireWire, do ano passado, que teve um esforço semelhante e totalizou 74 prisões e apreensão de US$ 2,4 milhões. Este ano, 39 dos 56 escritórios de campo do FBI participaram da varredura ao lado de oficiais estaduais e locais, e agências parceiras. "Através da Operação reWired, estamos enviando uma mensagem clara aos criminosos que orquestram esses esquemas: continuaremos perseguindo você, não importa onde você esteja", disse o Diretor do FBI, Christopher Wray, em comunicado. ?‍♂️

O Sandboxie está se transformando em uma ferramenta gratuita, e tem planos de fazer uma transição para código aberto. A novidade foi anunciada pela sua desenvolvedora, a Sophos, na semana passada. O Sandboxie é um software de isolamento de programas para Windows, o que faz com que esses programas rodem num ambiente controlado e isolado, livres de malwares, por exemplo. A Sophos deve divulgar mais informações sobre o projeto de código aberto futuramente. A princípio, o Sandboxie, que até então utilizava uma chave de licença para ativar e conceder acesso aos recursos premium apenas para clientes pagos, ganhou uma versão gratuita, atualizada e que não restringe nenhum recurso. Quem já obtém a licença também deve instalar a versão mais recente para receber as atualizações, garantindo o acesso a todos os recursos. De acordo com a Sophos, o Sandboxie nunca foi um componente significativo de seus negócios, e uma das alternativas que a desenvolvedora considerou para o futuro da ferramenta seria encerrá-la. "No entanto, amamos demais a tecnologia para vê-la desaparecer. Mais importante, nós amamos demais a comunidade Sandboxie para fazer isso. A base de usuários do Sandboxie representa alguns dos membros mais apaixonados, com visão de futuro e conhecedores da comunidade de segurança, e não queremos decepcioná-los", disse a Sophos em comunicado. O Sandboxie auxilia os usuários a manter seu computador protegido. Este vídeo demonstra um usuário do Sandboxie executando um ransomware, chamado Cryptolocker, e verificando que o ransomware afetou somente os arquivos dentro do isolamento do Sandboxie, ou seja, os arquivos gerais do computador permanecem intactos, pois o ransomware não consegue "escapar" do ambiente protegido pelo Sandboxie. É louvável o esforço de transformar um software proprietário em livre, ao invés de vê-lo morrer. Nossos parabéns aos tomadores de decisão da Sophos e à toda comunidade envolvida com o Sandboxie! ????

Na semana passada, um ataque de Negação de Serviço Distribuído (Distributed Denial of Service - DDoS) deixou a Wikipedia completamente fora do ar na Europa, África e no Oriente Médio. De acordo com o blog Naked Security, da Sophos, o ataque parece ter sido o mais disruptivo dos últimos tempos, já que derrubou o site por quase três dias. Alguns usuários de outros lugares do mundo, como Estados Unidos e Ásia, também foram afetados. A empresa ThousandEyes divulgou uma análise sobre o ataque, destacando que se tratou de uma inundação volumétrica à moda antiga projetada para sobrecarregar os servidores Web da empresa com tráfego HTTP falso. Um ataque essa magnitude também é chamado de 'remoção', um evento relativamente raro que visa interromper a operação de um site conhecido pelo maior tempo possível. A Fudação Wikimedia, dona da Wikipedia, aparentemente solicitou ajuda da Cloudflare, que oferece proteção contra esse tipo de ataque. Segundo a ThousandEyes, os servidores da Wikipedia estavam sendo "liderados" inteiramente pelo Cloudflare no último final de semana. A empresa implementa a tecnologia anti-DDoS para identificar o tráfego ruim e jogá-lo fora.

Uma pesquisa da Kaspersky revelou que os ataques ao macOS são mais recorrentes do que se imagina. Segundo as estatísticas da empresa de segurança, os softwares maliciosos que afetam os dispositivos da Apple estão aumentando. No primeiro semestre de 2019, cerca de 6 milhões de ataques de phishing a usuários de macOS foram identificados, sendo que 11,8% deles tinham como alvo usuários corporativos. O Brasil ?? foi o país que mais sofreu ataques (30,87%), seguido pela Índia (22,08%) e pela França (22,02%). A Kaspersky revelou em seu relatório, em inglês, que as ameaças de phishing direcionadas aos usuários do macOS começou a crescer a partir de 2015, saindo de um total de 852.293 ataques e ultrapassando a marca de 7,3 milhões em 2018. Apenas no primeiro semestre de 2019 foram cometidos 5.932.195 ataques, o que significa que o número poderá exceder 16 milhões até o final do ano, se a tendência atual continuar. Os truques mais comuns de phishing têm sido serviços bancários e portais de Internet globais. As redes sociais ficaram em terceiro lugar em 2019. De 2012 a 2017, o número de usuários de macOS que sofreram ataques de programas maliciosos e potencialmente indesejados também aumentou, com quase 255 mil usuários atacados por ano. A partir de 2018, o número de usuários atacados começou a diminuir e, no primeiro semestre de 2019, chegou a 87 mil. A grande maioria das ameaças detectadas este ano foram da categoria AdWare. Quanto às ameaças de malware, a família Shlayer, que se disfarça de Adobe Flash Player ou uma atualização do programa, tem sido a que mais prevalece. A empresa de segurança ressaltou que a crença de que não há ameaças para macOS está se desfazendo conforme esse sistema operacional é amplamente utilizado. Em comparação com os sistemas baseados em Windows, há muito menos ameaças já que há muito mais computadores executando Windows do que macOS. No entanto, a popularidade desta última plataforma está crescendo e o cenário de ameaças para dispositivos Apple está mudando. ?‍?