Bruna Chieco

Um pesquisa recente realizada pela Proofpoint e divulgada pelo ZDNet indica que a maioria dos ataques por e-mail bem sucedidos exige que a vítima abra algum arquivo, clique em algum link, ou tenha qualquer outra ação para que a infecção seja efetivada. A pesquisa aponta ainda que 99% das campanhas exigem esse tipo de interação humana, enquanto apenas uma pequena parcela dos ciberataques depende de kits de exploração e de vulnerabilidades conhecidas do software para comprometer os sistemas. As campanhas estão se tornando cada vez mais sofisticadas, o que justifica a dificuldade das vítimas em distinguir o que é ou não um ciberataque. Um e-mail malicioso, por exemplo, é muito similar aos e-mails regulares. Isso porque os atacantes já conseguem adaptar seus ataques, tornando-os muito parecidos com e-mails de fontes confiáveis, como provedores de serviços em nuvem da Microsoft ou do Google. Os invasores conseguem até personalizar essas mensagens fazendo-as parecer que são remetidas por chefes ou colegas da vítima. A engenharia social é o elemento chave na condução dessas campanhas. O relatório diz ainda que o phishing é um dos ataques cibernéticos mais fáceis e baratos de serem implantados. ? E como evitar cair nesses golpes? Embora muitos ataques de phishing sejam projetados para parecer altamente legítimos, há maneiras de identificar o que poderia ser um e-mail malicioso. Por exemplo, e-mails inesperados e aparentemente urgentes podem ser vistos como suspeitos. Além disso, provedores de serviços em nuvem como Microsoft e Google não solicitam que os usuários cliquem em links para inserir credenciais de login ou outras informações.

Recentemente, a Trend Micro divulgou um artigo analisando as discussões que são feitas em comunidades clandestinas sobre crimes relacionados à Internet das Coisas (IoT, na sigla em inglês). Em sua análise, a empresa de segurança descobriu que muitas dessas discussões giram em torno de tutoriais e esquemas de monetização para ataques relacionados à IoT. Dentro dessas comunidades, os dispositivos e vulnerabilidades expostas são o grande tema na busca de possíveis oportunidades de ataque. A Trend Micro identificou, em sua pesquisa, cinco comunidades clandestinas de crimes cibernéticos, sendo que os grupos com maior atividade e discussões mais sofisticadas utilizam os idiomas russo, português, inglês, árabe e espanhol. O submundo russo realiza as discussões mais dinâmicas sobre ataques relacionados à IoT, segundo análise da empresa. Inclusive, cibercriminosos oferecem pagar por descobertas de vulnerabilidades em qualquer dispositivo de IoT. A segunda comunidade mais ativa encontrada pela Trend Micro foi a de língua portuguesa. O destaque inclui uma discussão sobre um serviço criminoso que tira proveito de roteadores infectados: um serviço de redirecionamento que permite aos phishers capturar informações bancárias. Esse serviço pode estar monetizando um ataque em massa de roteadores que ocorreu no Brasil em 2018. Esse ataque explorou uma vulnerabilidade nos roteadores MikroTik. Os cibercriminosos podem estar em busca de oportunidades para lançar ataques da mesma magnitude. Já as comunidades que utilizam o idioma inglês possuem tutoriais para explorar vulnerabilidades, além de conter códigos de exploração, com interesse particular na exploração de impressoras conectadas. As comunidades árabes, por sua vez, pareceram menos agressivas em comparação com os outros grupos, diz a Trend Micro. Os cibercriminosos desses grupos manifestaram interesse pelas vulnerabilidades da Internet das Coisas, compartilhando notícias sobre descobertas recentes. Por fim, o interesse da comunidade clandestina de língua espanhola foi em encontrar métodos para rastrear dispositivos não protegidos ou não autenticados que pudessem ser pontos de entrada para novos ataques. Há nessas comunidades uma discussão sobre como encontrar geladeiras industriais desprotegidas, por exemplo. No geral, a Trend Micro conclui que o interesse dos cibercriminosos está em refinar ataques contra dispositivos IoT. Os esquemas de monetização para esses ataques ainda não estão em vigor, mas a constante discussão sobre esses casos leva a um alerta sobre a necessidade de segurança tanto na fase de design e quanto na implantação desses dispositivos.

Milhões de números de telefone vinculados a contas do Facebook vazaram na Internet. De acordo com o TechCrunch, o servidor exposto continha mais de 419 milhões de registros em vários bancos de dados de usuários de diferentes regiões. Cerca de 133 milhões desses registros estavam nos Estados Unidos. O servidor não estava protegido por uma senha, o que facilitava o acesso à base de dados. Cada registro continha o ID do Facebook e o número de telefone listado na conta. Alguns dos registros também tinham o nome do usuário, sexo e localização por país. O banco de dados já foi retirado do ar. O Facebook restringe aos desenvolvedores o acesso aos números de telefone dos usuários. O porta-voz do Facebook, Jay Nancarrow, disse ao TechCrunch que os dados expostos foram captados antes que o Facebook cortasse o acesso aos números de telefone dos usuários - mas os dados parecem ter sido carregados no banco exposto no final do mês passado, embora isso não signifique necessariamente que eles sejam novos.

As fraudes cometidas via WhatsApp estão cada vez mais comuns — e os criminosos normalmente nem precisam se esforçar muito para extorquir seus familiares e amigos. Em dois casos recentes, leitores do Mente Binária caíram no golpe e transferiram dinheiro aos criminosos achando que falavam com seus amigos. Em ambos os casos, a linha telefônica foi temporariamente clonada. No primeiro, a dona da linha ficou sem acesso ao WhatsApp por cerca de seis horas. O leitor que caiu no golpe conta que foi muito difícil de perceber que não era sua amiga (a dona da linha) falando com ele. O criminoso seguiu o papo de acordo com informações que ele dava. "A pessoa começou a conversa com Boa noite', aí eu respondi 'Boa noite meu amorzinho' e ele respondeu seguindo nessa linha, com emojis carinhosos. Não me liguei que não era ela", conta a vítima do golpe. Conversa entre a vítima e o criminoso, que clonou o celular de uma amiga e se passou por ela A vítima só notou que era golpe quando já tinha transferido R$ 2.500 aos criminosos — que ainda deram duas opções de banco para a transferência. Ao tentar estornar, a gerente do banco disse que se fosse DOC, seria agendado para o dia seguinte, mas como foi TED, não era possível reverter. "Como foi transferência entre contas do mesmo banco, caiu na mesma hora", conta a vítima. Mesmo sendo TED, se o dinheiro ainda tivesse na conta de destino, daria para bloquear a conta e ressarcir o dinheiro, mas os bandidos sacaram o valor imediatamente, e não foi possível fazer o ressarcimento. "O que o banco fez foi bloquear a conta de destino em todo o sistema bancário", comenta. Perguntamos como ele se sentiu e a resposta foi imediata: "Dá uma sensação de impotência. A mesma de ter sido assaltado. Você fica desorientado, sem saber o que fazer", lamenta. O outro caso também envolveu a clonagem da linha telefônica e a ativação do WhatsApp em outro dispositivo. A situação foi a mesma: os criminosos solicitaram aos contatos a transferência de um valor em dinheiro, o que acabou ocorrendo. Dessa vez no valor de R$ 500,00, mas desta vez foi possível bloquear a reaver o valor junto ao banco. ? Já demos aqui algumas dicas de como se proteger desse tipo de ataque, mas nesses casos somente a ativação da autenticação de dois fatores já impediria que os criminosos ativassem o WhatsApp em outro aparelho, já que é exigido um PIN (Personal Identification Number — código de seis dígitos, no caso do WhatsApp). Esse tipo de fraude sugere que existam pessoas com conhecimento em tecnologia atuando junto aos criminosos. E vale a dica: se algum parente ou conhecido seu pedir dinheiro via WhatsApp, sempre desconfie e tente contato com ele antes de transferir. De repente, uma maneira de identificar se a pessoa que está pedindo é de fato alguém que você conhece é fazendo uma chamada em vídeo para se certificar sobre quem está do outro lado. E você, já passou por casos similares? Conta pra gente nos comentários! ?

Um homem de 21 anos confessou ter participado do desenvolvimento do botnet Satori, uma ameaça que afeta dispositivos conectados à Internet das Coisas (IoT) como roteadores e câmeras IP. Segundo o KrebsOnSecurity, o americano Kenneth Currin Schuchman disse ter ajudado nas invasões realizadas pela botnet entre julho de 2017 e outubro de 2018. Pelo menos mais dois outros criminosos estão envolvidos no caso. A botnet se utilizou, na época, da largura de banda coletiva de aproximadamente 100 mil dispositivos IoT invadidos, explorando vulnerabilidades em vários roteadores sem fio, gravadores de vídeo digital, câmeras de segurança conectadas à Internet e dispositivos de rede de fibra ótica. A primeira aparição da Satori foi em 2016, baseada no código-fonte vazado da Mirai, sendo responsável por um dos maiores ataques de negação de serviço já registrados, incluindo um ataque que deixou o KrebsOnSecurity offline por quase quatro dias, registra o site. Schuchman aprimorou os trabalhos no ano seguinte junto com seus colegas, cujos apelidos são "Vamp” e “Drake” — e assim a Satori passou a explorar falhas de segurança em diversos aparelhos conectados IoT. Ele confessou ainda que o objetivo da conspiração era vender o acesso às redes de bots a quem desejasse alugá-las para lançar ataques contra outras pessoas. Aparentemente, a descoberta dos demais envolvidos está bem próxima após a confissão de Kenneth Currin Schuchman, que ainda não teve sua sentença definida.

Já é sabido que praticamente todos os site que você acessa podem monitorar seu histórico de navegação. Isso é bem comum em websites como o Google, que utilizam histórico do usuário para criar anúncios personalizados. Por exemplo, quando você faz uma pesquisa sobre algo que você quer comprar, como um shampoo, é bem provável que pouco tempo depois comece a aparecer anúncios para você sobre esse produto. Isso porque o Google utiliza rastreadores para fazer essa compilação de informações e deixar seus anúncios mais atrativos. Além dessas grandes empresas, outros sites compilam seus dados que são divulgados por aí sem seu conhecimento. "Nas páginas de Internet isso acontece faz tempo. Em sites de notícia, por exemplo, é possível identificar seis ou sete rastreadores logo no primeiro acesso, na página inicial — fora os que são encontrados ao longo da navegação dentro do site", diz Rafael Cimatti, co-fundador da Spod, empresa que oferece o serviço de bloqueio desses rastreadores. Lançado em 2019, o aplicativo Spod VPN já consegue calcular uma média de 30 a 40 bloqueios de rastreadores num dia não muito intenso de uso de celular. Segundo Cimatti, isso decorre da ascensão de aplicativos para iOS e Android, que gerou um aumento da integração de programas com plataformas de monetização. Ou seja, alguém cria um app gratuito, e para conseguir ganhar dinheiro com ele, insere um anúncio. "Muitas empresas que fazem isso rastreiam o usuário e montam um portfólio sobre seus hábitos e pesquisas. Por conta disso, nasceu nossa ideia de fazer o bloqueio de rastreadores, pois eles começaram a ficar intrusivos", explica. Rafael Cimatti diz ainda que esses rastreadores se estendem a identificar a localização do usuário via coordenadas de GPS, e a localizar aparelhos com Bluetooth e Wi-Fi ao redor, além de monitorar os programas instalados e sites acessado. Quem são essas empresas? O co-fundador da Spod explica que existem alguns tipos de rastreadores. "Geralmente os definimos como rastreadores de primeiro nível e de terceiro nível. O de primeiro nível seria a própria empresa que faz o site. Mas além do seu próprio, ela pode usar outros rastreadores, que são chamados de terceiro nível. Ou seja, suas informações são enviadas para o site de um terceiro, e o usuário nem sempre sabe que isso está acontecendo", comenta Cimatti. Normalmente, essas empresas são Ad exchanges — uma espécie de corretora de anúncios. "Elas oferecem anúncio para um desenvolvedor de aplicativo que queira monetizar com seu produto, ou paga um influenciador de mídia para que uma propaganda seja colocada em sua página", diz. A maior corretora de propaganda de anúncios é o Google, que identifica quem acessa o site e mostra um anúncio diferente, de acordo com o perfil dos usuários. "A personalização é possível por conta dos rastreadores. As empresas de anúncios digitais também trocam informações entre elas e ainda podem obtê-las de empresas parceiras”, diz Cimatti. Além disso, ele relata que esses dados muitas vezes são comercializados por empresas. "As provedoras de Internet, por exemplo, conseguem saber tudo que você acessa, o tempo que fica em uma página, e a partir disso, acabam vendendo esses dados para empresas de propaganda", conta Cimatti. Em 2017, o Governo dos Estados Unidos aprovou uma Lei que permite que provedores de acesso à rede comercializem históricos de busca dos usuários. No Brasil não há posicionamento oficial sobre essa prática. Tela de alerta de rastreadores bloqueados pelo Spod VPN Rastreadores nem sempre são maléficos Rafael Cimatti explica também que existe um apelo benigno desses rastreadores no sentido de que eles podem ser usados para melhorar a funcionalidades de um site ou aplicativo. Por exemplo, algumas empresas, como a Crashlytics, coletam dados de usuários para informar ao desenvolvedor quando seu aplicativo trava. "Apesar de fazer rastreamento, a gente considera benigno, pois ele não vende ou extrai essas informações com outra finalidade". Nesse caso, inclusive, o rastreamento é direcionado para fins específicos. "De certa maneira, ele te identifica, o que é o grande problema do rastreador. Mas nesse caso, ele não inclui dados de localização, e nem coleta os programas que você tem instalado", ressalta Cimatti. Tá, eu estou sendo rastreado. E quais são os riscos que corro com isso? Rafael Cimatti destaca que entre as principais implicações causadas pelo rastreamento desenfreado de empresas sem conhecimento do usuário está o risco de vazamento de dados. "Não podemos esquecer que empresas grandes já sofreram com divulgação de informações privadas. Além disso, na questão de segurança, esses sites podem incluir ameaças, como malwares ou páginas falsas usadas para phishing. Nossa plataforma também bloqueia esse tipo de site", diz. Como se proteger? A Spod foi criada para isso. Ela combina uma VPN a um filtro web para bloquear rastreadores e ameaças, o que inclui tentativas de ataque de malware em geral e qualquer tipo de programa que te monitore no sentido de vigilância. "Protegemos contra ataques de phishing também. Se um usuário entra em um site de banco, ou do governo, cujo endereço é falso, ou seja, é uma página fake que rouba dados, nós bloqueamos", explica Rafael Cimatti. Para identificar esses sites, contudo, o trabalho da Spod é praticamente de gato e rato. "Eles ficam tentando fugir da proteção, e a gente segue tentando proteger. Temos um trabalho contínuo de atualização para saber quais novas empresas utilizam rastreadores". Além do Spod VPN, outras maneiras de proteção também são possíveis, como extensões de bloqueio de anúncios no navegador ou a utilização da famosa aba anônima para acessar sites. Para aplicativos, contudo, o serviço da Spod é praticamente pioneiro. "Acima de tudo, somos uma empresa de segurança. Nosso objetivo é trazer a privacidade", complementa Rafael Cimatti. O aplicativo Spod VPN está disponível para iOS e a empresa já iniciou os estudos para suportar macOS e Android.

Nemty é o novo ransomware descoberto por pesquisadores recentemente. A sua nomenclatura vem em "homenagem" à extensão que é adicionada aos arquivos após o processo de criptografia ele mesmo faz. De acordo com o BleepingComputer, o Nemty exclui as cópias de sombra dos arquivos que encripta, afastando a vítima da possibilidade de recuperar versões anteriores criadas pelo sistema operacional Windows, tendo assim que pagar para descriptografar os dados. O curioso desse ransomware é o fato dele usar uma verificação para identificar computadores na Rússia, Bielorrússia, Cazaquistão, Tajiquistão e Ucrânia. A verificação "isRU" no código do malware marca os sistemas em um dos cinco países de idioma russo, e envia ao invasor dados que incluem o nome do computador, nome de usuário, sistema operacional e ID do computador. O Nemty também se utiliza de referências russas, como um link para uma foto de Vladimir Putin. O ransomware também possui um nome incomum para o objeto mutuamente exclusivo (mutex) criado no sistema operacional. O autor o chamou de "hate" (ódio). O mutex é um sinalizador que permite que os programas controlem recursos. O atacante lança mão de conexões RDP para ficar no controle e fazer novas vítimas. Essas peculiaridades do Nemty indicam que o ransomware provavelmente possui alvos específicos, o que podemos entender quase como um caso de "ransomware dirigido", em alusão aos ataques dirigidos ou direcionados à uma certa corporação ou setor na indústria.

A polícia francesa conseguir assumir o controle de um servidor que era utilizado por cibercriminosos para espalhar um worm programado para minerar criptomoedas. De acordo com reportagem da Vice, o malware afetava mais de 850 mil computadores. Ao tomar o controle do servidor, com ajuda da empresa de cibersegurança Avast, a polícia removeu a ameaça dos computadores. O worm, chamado Retadup, já era acompanhado pela Avast e outras empresas de segurança desde o ano passado. Conforme relatado pela Avast, a maioria das vítimas do Retadup estão localizadas na América do Sul, afetando especialmente o Peru, Venezuela, Bolívia e México. Foi a própria Avast que descobriu que o servidor de comando e controle tinha uma falha em seu protocolo permitindo remover o malware sem fazer com que as vítimas executassem nenhum código extra. A maioria dos computadores infectados foi usada pelos autores do malware para minerar a criptomoeda Monero. Em alguns casos, eles também utilizaram um ransomware e um malware de roubo de senha. Uma conta no Twitter chamada black joker alegou estar por trás dos ataques.

Três criminosos foram acusados de cometer fraude eletrônica para lavagem de dinheiro em um esquema que atingiu milhares de pessoas nos Estados Unidos. Em 2018, Kamal Zafar, Jamal Zafar e Armughanul Asar se juntaram com outros conspiradores que operam em centrais de atendimento na Índia para ligar para vítimas nos Estados Unidos alegando falsamente serem funcionários do Internal Revenue Service, serviço de receita do Governo Federal, da Administração de Segurança Social ou da Administração de Repressão às Drogas. Nas ligações, as vítimas eram informadas de que deveriam enviar uma quantia em dinheiro ao governo ou a uma de suas agências, e que seriam presas caso as dívidas não fossem prontamente pagas. ? Mais de US$ 2 milhões foram transferidos nesse golpe. Os pagamentos eram feitos para contas bancárias que os réus abriram em nome de empresas inativas e de fachada, e os valores foram retirados e lavados por meio de contas bancárias adicionais. O Departamento de Justiça dos Estados Unidos publicou detalhes da acusação. Se condenados, os réus podem pegar até 20 anos de prisão. Golpes desse tipo também ocorrem no Brasil, como o envio de correspondências falsas solicitando atualização de dado, ou envio de e-mails informando sobre situação fiscal, entre outros. Verificar a veracidade da fonte antes de fornecer qualquer informação é a melhor maneira de se proteger dessas fraudes!

E-mails indesejados começaram a ser disseminados via Google Agenda. Segundo a CBS, spammers estão começando a criar novos tipos de mensagens que exploram um recurso de integração entre o e-mail e o calendário do Google. Esse recurso adiciona automaticamente convites de reuniões ao calendário, aparecendo como esboço até que a reunião seja aceita. Mas mesmo que você não aceite, ela é adicionada e fica visível em sua agenda. ?‍♀️ Ao clicar na descrição do evento, a mensagem de spam é revelada, e geralmente ela contém links maliciosos. Se o usuário clicar no link, ele é redirecionado a um site especialmente criado e confirma que a conta para a qual o spam foi enviado está ativa, e essa conta é adicionada a mais listas nas quais os usuários começarão a receber mais e-mails indesejados posteriormente. Além disso, os usuários são consultados após clicar com frequência nos eventos, sendo induzidos a preencher formulários com informações pessoais. Em alguns sites especialmente criados, mesmo algo inócuo como passar o mouse sobre uma imagem pode iniciar o download de um malware no dispositivo. Na maioria dos casos, o site também instala cookies de rastreamento, que não são maliciosos, mas acarretam preocupações com a privacidade. É possível se livrar desses spams alterando as configurações do Google Agenda e permitindo que eventos sejam adicionados ao seu calendário apenas após o aceite do convite. ?️

O procurador-geral dos Estados Unidos, William Barr, fez um discurso essa semana solicitando que empresas de tecnologia ajudem autoridades federais no acesso a dados de usuários quando estiverem diante de uma ordem legal. De acordo com o TechCrunch, o governo americano acredita que mensagens criptografadas colocam as autoridades na "escuridão", pois impedem o acesso a essas comunicações que eles alegam precisar para processar criminosos. As mensagens criptografadas decolaram nos últimos anos, chegando aos produtos da Apple, Facebook, Instagram e WhatsApp. Isso decorre do abuso de acesso pelos serviços de inteligência reveladas por Edward Snowden, em 2013. Ele divulgou o trabalho de espionagem que os Estados Unidos fazia à população americana e de diversos outros países, incluindo o Brasil, utilizando servidores das grandes empresas de tecnologia. ? Especialistas em segurança dizem que não há maneira segura de criar acesso backdoor a comunicações criptografadas para aplicação da lei sem permitir que invasores mal-intencionados também obtenham acesso às comunicações privadas das pessoas. Barr declarou, contudo, que esses riscos devem ser assumidos pelo próprio consumidor. Pode ser ainda que haja uma pressão via legislação para forçar as empresas de tecnologia a construir esses backdoors.

A Forbes divulgou o caso de um pesquisador que já recebeu várias recompensas por descobrir falhas no Instagram. Em julho, Laxman Muthiyah revelou que uma vulnerabilidade na rede social lhe permitiu "invadir qualquer conta do Instagram sem permissão de consentimento". A equipe de segurança do Facebook considerou esse um problema grave o suficiente para conceder a Muthiyah uma recompensa de US$ 30 mil. Ele já havia encontrado e divulgado outras três vulnerabilidades do Facebook, dignas de pagamentos de recompensa. ? Recentemente, Muthiyah encontrou uma nova falha, semelhante à anterior. A vulnerabilidade, desta vez, foi encontrada na validação de códigos de redefinição de senha do Instagram. A falha significava que um invasor poderia solicitar 1 milhão de códigos de redefinição de senha em uma janela de dez minutos e com 100% de êxito. Ele detectou que quando um usuário solicita uma senha usando seu dispositivo móvel, a ID do dispositivo é enviada junto com a solicitação. A mesma ID de dispositivo é usada novamente para verificar a senha. Os códigos de redefinição de senha do Instagram, contudo, expiram 10 minutos após a solicitação, o que levou à conclusão de a vulnerabilidade não é tão grave quanto parece. A equipe de segurança do Facebook confirmou a vulnerabilidade, que foi corrigida, e concedeu prêmio de US$ 10 mil, agradecendo a Muthiyah por seu relatório — e informando que aguarda os próximos. ? Programa de recompensa — Falando nisso, o Facebook estendeu o seu programa de recompensa Data Abuse Bounty para o Instagram. A ideia é que pesquisadores de segurança relatem casos de aplicativos de terceiros que acessam e armazenam indevidamente dados do usuário, incluindo aplicativos e serviços que oferecem falsas informações. De acordo com o Engadget, qualquer aplicativo que solicite informações de login de pessoas está violando os termos de uso do Instagram, e o Facebook deseja que a comunidade de segurança o notifique sobre esses casos. Além disso, o Facebook está trabalhando com pesquisadores de segurança para testar o Checkout no Instagram, o recurso que permite que as pessoas comprem produtos sem sair do aplicativo. Um grupo selecionado de pesquisadores teve acesso antecipado ao Checkout no Instagram e será recompensado por relatórios qualificados. A empresa de Mark Zuckerberg já desembolsou mais de US$ 1,1 milhão a pesquisadores de segurança de todo o mundo em 2018. O pagamento médio por descoberta de bugs foi de US$ 40 mil. No ano passado, o Facebook recebeu cerca de 17,8 mil relatórios, e o valor médio da recompensa foi em torno de US$ 1,5 mil.

Um grupo de pesquisadores de segurança descobriu uma vulnerabilidade crítica no protocolo de comunicação sem fio do Bluetooth. Os pesquisadores divulgaram relatório, em inglês, explicando os detalhes da vulnerabilidade, que poderia deixar milhões de dispositivos equipados com Bluetooth expostos a um novo tipo de ataque chamado KNOB (abreviação de Key Negotiation Of Bluetooth). O ataque funciona da seguinte maneira: os atacantes forçam o procedimento de emparelhamento do Bluetooth e espionam os dados compartilhado entre dispositivos Bluetooth, mesmo que eles tenham sido pareados anteriormente. O ataque é possível devido a falhas na especificação Bluetooth. Qualquer dispositivo compatível com Bluetooth padrão está vulnerável à falha. Os pesquisadores realizaram ataques como teste em 24 dispositivos diferentes e mai de 17 chips Bluetooth exclusivos dos fabricantes Broadcom, Qualcomm, Apple, Intel e Chicony. Todos eram vulneráveis ao ataque KNOB. O Bluetooth divulgou comunicado dizendo que não há evidências de que a vulnerabilidade tenha sido explorada com intuito malicioso ou que algum dispositivo implementando o ataque foi desenvolvido. Para corrigir a vulnerabilidade, o Bluetooth atualizou sua especificação principal para recomendar um comprimento mínimo de chave de criptografia e incluirá testes para a nova recomendação. O Bluetooth recomenda ainda que usuários instalem as atualizações mais recentes dos fabricantes de dispositivos e sistemas operacionais.

Os responsáveis por um ciberataque de ransomware em sistemas de 22 cidades do Texas estão solicitando coletivamente um resgate total de US$ 2,5 milhões para liberar os dados das prefeituras afetadas. Segundo o Houston Chronicle, um dos prefeitos, da cidade de Keene, já se recusou a pagar pelo resgate. ? Os ataques envolvem bloqueio de acesso a um sistema de computador até que o resgate seja pago. O Departamento de Recursos de Informação do Texas está investigando o caso com a ajuda do FBI e do Departamento de Segurança Interna, mas a suspeita é que o ataque tenha partido de um esforço coordenado de uma única pessoa ou grupo. O estado não divulgou os nomes das cidades afetadas e não forneceu detalhes sobre o método de ataque, ou se já houve pagamento de resgate. Apenas as cidades de Keene e a de Borger admitiram publicamente que estavam entre as 22 agências atacadas.

O pesquisador de segurança Truman Kain apresentou na Defcon, em Las Vegas, um sistema que transforma as câmeras retrovisoras do Tesla em um sistema que detecta, rastreia e armazena placas de veículos e rostos ao longo do tempo. De acordo com o Wired, é possível instalar um computador que se encaixa no console central dos automóveis Tesla conectando-o à porta USB do painel do carro e transformando as câmeras embutidas em um sistema de vigilância, chamado Surveillance Detection Scout. A ferramenta usa um software de reconhecimento de imagem de código aberto para automaticamente criar um alerta na tela do Tesla e no telefone do usuário. Caso ele detecte repetidamente a mesma placa de licença, o usuário será avisado. Além disso, quando o carro está estacionado, o sistema pode rastrear rostos próximos para ver quais aparecem repetidamente. Segundo Kain, a intenção é oferecer um aviso de que alguém pode estar preparado para roubar o carro, adulterá-lo ou invadir a casa do motorista. O protótipo do Surveillance Detection Scout funciona capturando e analisando o vídeo das três câmeras do Tesla — duas nos espelhos laterais e uma direcionada para frente — por meio de um mini-computador Nvidia Jetson Xavier de US$ 700. A rede neural de código aberto utilizada no sistema é a Darknet, enquanto o ALPR Unconstrained é utilizado para reconhecimento de placas de licença, e o Facenet, para rastreamento de faces. Os programas estão disponíveis gratuitamente no Github. A invenção obviamente acarreta preocupações com privacidade, mas o pesquisador enfatizou em sua apresentação que a ferramenta é útil para os proprietários do Tesla, transformando o carro em uma estação de vigilância. Um pouco de paranóia, talvez, ou apenas uma válida preocupação com segurança? ?‍♀️

Se você achou que Matrix acabou na trilogia, vem aí uma boa notícia. O filme que retrata um universo programado e que cria a ilusão de um mundo real pode ganhar uma quarta parte. A publicação americana Variety divulgou que a diretora Lana Wachowski está planejando escrever e dirigir o quarto filme da sequência, com Keanu Reeves e Carrie-Anne Moss como Neo e Trinity. O filme produzido pela Warner Bros. Pictures e distribuído pela Village Roadshow Pictures. Os três filmes anteriores - "Matrix", "Matrix Reloaded" e "The Matrix Revolutions" - coletivamente renderam mais de US$ 1,6 bilhão nas bilheterias mundiais. O primeiro "Matrix" fez aniversário de 20 anos este ano. A Warner tenta há dois anos trazer o quarto filme ao cinema, mas um atraso em relação à produção de direitos diminuiu o ritmo do projeto. Ainda não se sabe como será o roteiro e de que maneira o papel de Morpheus será retratado. Matrix está na lista do Mente Binária que reúne de filmes, séries e documentários que envolvam especificamente o tema informática. Veja os outros que fazem parte dessa lista!

A Trend Micro descobriu uma variante do MyKings que além de ser uma botnet, minera criptomoedas e instala também um bootkit para persistência para se manter instalado na máquina infectada e “sobreviver” à reboots. A empresa de segurança divulgou texto, em inglês, explicando o funcionamento do malware detectado durante o processo de integração de serviços de Detecção e Resposta Gerenciada de uma empresa de produtos eletrônicos na região Ásia-Pacífico. As atividades suspeitas detectadas eram relacionadas ao EternalBlue, também conhecida por ter sido utilizada nos ataques WannaCry. A variante de malware estava escondida no sistema da empresa em 2017, cerca de dois anos antes de ser descoberta, o que dificulta determinar a carga real do MyKings. Além disso, houve alteração constante dos seus alvos e métodos de infecção, incluindo diferentes tipos de malware, como um backdoor, um minerador de criptomoedas e um cavalo de tróia — trojan. Ele também usa vários mecanismos de persistência, dificultando a remoção da máquina infectada. A ameaça, extremamente avançada, exige know-how especializado para ser desenvolvida, e o fato de ter um bootkit nesse malware sugere que o investimento em seu desenvolvimento foi alto — logo, o retorno deve ser alto também. O MyKings já infectou mais de 500 mil máquinas e minerou o equivalente a US$ 2,3 milhões no início de 2018, segundo a Trend Micro. Os dados regionais de 2017 mostram que a maioria dos ataques foram na região Ásia-Pacífico. Seria botnet + minerador + persistência avançada uma nova tendência para os malwares? ?

O Google anunciou recentemente que iniciou um processo de substituição de senhas para verificação de identidade online de usuário do Android. O anúncio, segundo a Forbes, foi feito pelo engenheiro de software da empresa, Dongjing He, e o gerente de produtos, Christian Brand. As senhas serão substituídas por identificação biométrica, via digitais, ou bloqueio de tela em alguns serviços do Google. Pela primeira vez, o Google permitirá que as mesmas credenciais biométricas sejam usadas por aplicativos Android nativos e serviços da web. Para isso, será necessário registrar a impressão digital apenas uma vez no smartphone e utilizá-la para acessar os apps e serviços, mas isso ainda será limitado apenas ao Gerenciador de Senhas do Google. O lançamento será feito para dispositivos Android Pixel, mas o serviço também estará disponível para Android 7+, podendo atingir 1,7 bilhão de pessoas. O conceito de eliminar senhas é semelhante ao que a Microsoft sinalizou que iria introduzir a 800 milhões de usuários do Windows 10 com a tecnologia de autenticação online FIDO2 — Fast Identity Online. A FIDO2 é um conjunto de padrões que permitem logins apoiados por uma forte segurança criptográfica, e as mudanças do Google vêm "como resultado de anos de colaboração entre o Google e muitas outras organizações da FIDO Alliance e do W3C", disse o anúncio da empresa. ?

A Adobe divulgou patches (correções) em atualizações de segurança do Photoshop, Acrobat, Reader, Experience Manager e outros softwares para Windows e macOS. As atualizações foram divulgadas na página de boletins e avisos de segurança da Adobe. Somente no último 13 de agosto, foram publicadas oito atualizações para programas da marca. No total, 76 vulnerabilidades foram resolvidas no Acrobat e no Reader, todas consideradas importantes, informou o ZDNet. As atualizações corrigem vulnerabilidades encontradas que, se exploradas, permitem a execução arbitrária de códigos. Além disso, a Adobe também resolveu 12 bugs de leitura, o que poderia levar a vazamentos de memória. Entre as atualizações publicadas estão: Adobe Photoshop CC  Adobe Experience Manager Adobe Acrobat and Reader Adobe Creative Cloud Desktop  Adobe Prelude CC Adobe Premiere Pro CC Adobe Character Animator CC Adobe After Effects CC A habilitação de atualizações automáticas desses softwares é recomendada para garantir maior segurança. ⬆️

Especialistas da ONU estão investigando possíveis ataques provenientes da Coreia do Norte para arrecadar dinheiro ilegalmente e utilizá-lo em programas de armas de destruição em massa. Notícia publicada pela ABC News destaca que foram detectados pelo menos 35 casos desses ataques em 17 países. A notícia, em inglês, cita alguns exemplos desses ataques. ? Aparentemente, os cibercriminosos norte-coreanos já arrecadaram cerca de US$ 2 bilhões por meio de atividades cibernéticas contra instituições financeiras e troca de criptomoedas. A principal vítima desses ataques foi sua vizinha, a Coreia do Sul, seguida pela Índia, Bangladesh e Chile. Os atacantes atuam da seguinte maneira: através da Sociedade de Telecomunicações Financeiras Interbancárias Mundiais (SWIFT), que é usada para transferir dinheiro entre bancos; por roubo de criptomoeda; e pela mineração de criptomoeda. A implementação desses ataques é sofisticada, de baixo risco para os atacantes, e alto rendimento, muitas vezes exigindo apenas um laptop e acesso à Internet. ?

Um aplicativo denominado Bluetana ajuda a rastrear skimmers – o famoso "chupa-cabra" – de cartões de crédito. O objetivo é identificar skimmers colocados em postos de combustível nos Estados Unidos, onde serviço de abastecimento de carros normalmente é self-service. De acordo com o KrebsOnSecurity, o aplicativo tem auxiliado as autoridades policiais a localizar com mais rapidez e precisão os postos comprometidos em todo o país. Os dispositivos de skimming podem ser conectados a componentes eletrônicos dentro das bombas de gás de maneira muito rápida, e ao se conectarem com a fonte de alimentação interna da bomba, os skimmers operam indefinidamente, sem necessidade de baterias, acessando mais de um alvo. Esses skimmers também são fabricados para transmitir os dados de cartões e PINs roubados via Bluetooth. Ou seja, os atacantes podem coletar os dados roubados os conectando remotamente a partir de um dispositivo habilitado para Bluetooth. ? O novo aplicativo foi idealizado por cientistas da computação da Universidade da Califórnia, em San Diego, e da Universidade de Illinois em Urbana e Champaign. Eles alegam ter desenvolvido o app com auxílio do Serviço Secreto dos Estados Unidos. Cerca de 44 voluntários foram equipados com o Bluetana durante um ano de experiência para testar a eficácia do aplicativo de escaneamento. Durante esse período, foram escaneados 1.185 postos de gasolina em seis estados, e o Bluetana detectou um total de 64 skimmers em quatro desses estados. Hoje, o Bluetana já é utilizado por agências em diversos estados do país. ?

Cibercriminosos podem ser perseguidos não somente por policiais ou agentes federais, mas também por seus colegas. O The Register publicou que a analista de ameaças e inteligência da Recorded Future, Winnona DeSombre, mergulhou em uma investigação em fóruns e chats frequentados por autores de malwares e descobriu que há uma briga constante entre esses autores e atacantes que pirateiam os malwares e os vendem ou apenas doam. Winnona revelou durante o evento de segurança da informação BSides, realizado em Las Vegas na semana passada, que, em outras palavras, os softwares maliciosos são pirateados por seus próprios colegas e redistribuídos como aplicativos legítimos, o que faz com que os cibercriminosos que desenvolveram o malware não ganhem dinheiro com sua distribuição. Um exemplo citado pela pesquisadora durante o evento foi de um cavalo de Tróia denominado AZORult e que coleta senhas, cookies, histórico de navegação e outros dados de computadores com sistema operacional Windows infectados. O trojan era comprado de seu autor e se tornou tão popular que a versão pirateada foi amplamente utilizada. Logo que as primeiras versões pirateadas começaram a aparecer, apenas alguns meses após o lançamento inicial, o criador do AZORult atualizou o malware, adicionando novos recursos, com uma exfiltração de dados mais rápida, mas os piratas entraram novamente em ação e lançaram sua própria versão atualizada. Isso fez com que o vendedor original saísse do mercado. Por fim, desestimular criadores de malwares a criarem novos softwares maliciosos parece ser um resultado positivo da ação desses piratas para o mercado da segurança da informação. ?

A Apple aumentou de US$ 200 mil para US$ 1 milhão a recompensa para pesquisadores que conseguirem encontrar vulnerabilidades em seus iPhones e Macs. De acordo com a Forbes, esse é o maior prêmio já pago por uma empresa de tecnologia para esse tipo de programa, conhecido como bug bounty, e que agora será aberto a todos os pesquisadores que desejarem fazer parte — e não apenas para convidados, como era feito até então. A recompensa total de US$ 1 milhão será dada para quem encontrar uma brecha no kernel — núcleo do iOS — sem que seja necessário nenhum clique do proprietário do iPhone. Também serão pagos US$ 500 mil a pesquisadores encontrarem um ataque de rede que não requer interação do usuário. Além disso, os participantes do programa podem receber um bônus de 50% se encontrarem pontos fracos no software antes dele ser lançado. A companhia também está lançando um bug bounty para os sistemas operacionais de Macs, watchOS e Apple TV, conforme foi anunciado pelo engenheiro de segurança da Apple, Ivan Krstić, durante conferência da Black Hat nesta quinta-feira, 8 de agosto, em Las Vegas. Os participantes do bug bounty receberão "dispositivos de desenvolvedores" para poder explorar as possíveis falhas. Esses dispositivos permitem que os pesquisadores mergulhem ainda mais no iOS podendo, por exemplo, pausar o processador para ver o que está acontecendo com os dados na memória. O programa iOS Security Research Device será feito por aplicação e deve iniciar no próximo ano. A estratégia da Apple de aumentar a recompensa ocorre perante um mercado onde as explorações de vulnerabilidades estão cada vez maiores e informações são vendidas a agências governamentais por valores altos. Com o programa de recompensa, pelo menos, a companhia consegue se antecipar sobre vulnerabilidades e atrair esses profissionais para um trabalho em conjunto com a empresa. Resta saber se o valor da recompensa é suficientemente atraente para que um pesquisador não venda essas vulnerabilidades no mercado negro. ? ?

Funcionários da AT&T, companhia americana de telecomunicações, foram subornados pelo valor de US$ 1 milhão para liberar o código IMEI de dois milhões de smartphones a uma gangue de cibercriminosos que atuam no Paquistão. ? Segundo o site britânico The Register, os funcionários demoraram para liberar as informações, o que fez com que a gangue comprasse as cópias das credenciais de login dos próprios funcionários e as usasse para invadir o sistema da operadora, roubando os códigos diretamente da fonte. Os cibercriminosos instalaram um malware nos computadores da AT&T, o que automatizou o processo de geração e download de códigos. Os funcionários foram pegos e, obviamente, demitidos por vazar as sua próprias credenciais para a gangue, mas, depois disso, os cibercriminosos pagaram para mais alguém instalar roteadores wireless na rede interna da AT&T, o que deu a eles acesso ao backdoor dos sistemas da companhia. Assim, eles novamente obtiveram códigos para desbloquear telefones de maneira silenciosa. Os códigos permitem acesso a aparelhos da AT&T, que poderá ser usado com SIM card e plano de outra operadora a partir do desbloqueio. A fraude custou à AT&T US$ 5 milhões por ano em receita perdida, afirmou a companhia. ?

Um grupo de cibercriminosos da Rússia conhecido como Strontium, APT28 ou Fancy Bear, tem utilizado dispositivos conectados à Internet das Coisas (IoT) para promover ataques a redes corporativas. A descoberta foi feita por pesquisadores do Microsoft Threat Intelligence Center, conforme publicou o DarkReading. A Microsoft emitiu, nos últimos 12 meses, cerca de 1,4 mil alertas para as vítimas das atividades do grupo, sendo que 20% estão relacionadas a ataques a instituições não-governamentais e 80% a setores governamentais, de TI, militares, de defesa, medicina, educação e engenharia. Em abril, o grupo de atacantes utilizou uma infraestrutura para tentar se comunicar e comprometer dispositivos externos, incluindo um telefone VoIP, uma impressora de escritório e um decodificador de vídeo. Os dispositivos foram a porta de entrada dos atacantes para invadir a rede e procurar mais acesso. A partir do acesso, os cibercriminosos fazem uma varredura de rede em busca de outros dispositivos inseguros que permitam que eles entrem em contas privilegiadas e dados de maior valor. Com acesso a cada um desses dispositivos, eles executavam a ferramenta de análise de rede tcpdump para capturar o tráfego em sub-redes locais. Depois disso, os atacantes soltam um script em shell para continuar a exploração, e os dispositivos invadidos se comunicam com um servidor externo de comando e controle. Até 2020, cerca de 50 bilhões de dispositivos de IoT devem ser implantados em todo o mundo. A Microsoft publicou um texto, em inglês, dando mais detalhes sobre as ameaças ao redor da Internet das Coisas.