Jump to content

Search the Community

Showing results for tags 'phishing'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Supporter area
    • Tools of the Trade
    • Finance transparency
  • MBConf
    • MBConf v1
    • MBConf v2
    • MBConf v3
  • Mente Binária
    • General
    • Computer Architecture
    • Certifications
    • Quantum computing
    • Cryptography
    • Challenges and CTF
    • Hardware Hacking
    • Electronics
    • Conferences
    • Forensics
    • Games
    • Data privacy and laws
    • Code breaking
    • Networking
    • Pentest
    • Speak to us!
    • Software releases
  • Career
    • Study and profession
    • Jobs
  • Reverse Engineering
    • General
    • Malware Analysis
    • Firmware
    • Linux and UNIX-like
    • Windows
  • Programming
    • Assembly
    • C/C++
    • Python
    • Other languages
  • Operating Systems
    • GNU/Linux and UNIX-like
    • Windows
  • Segurança na Internet's Discussão

Categories

  • Portal Mente Binária
  • Specials

Categories

  • Tech basics
    • Text comprehension
    • English
    • Mathematics
  • Computing Basics
    • Lógica de Programação
    • Computers Architecture
    • Cryptography
    • Data Structures
    • Network
    • Operating Systems
  • Specifics
    • SO Internals
    • Web
    • Python
    • Javascript
    • Infrastructure
    • Go
    • Reverse Engineering
    • DevOps
    • C/C++
    • Log Analysis

Categories

  • Crackmes
  • Documentation
  • Debuggers
  • PE tools
  • Books
  • Util
  • Packers
  • Unpackers
  • Virtual Machines

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


GitHub


Twitter


LinkedIn


Website

Found 11 results

  1. Você está realmente seguro enquanto navega na Internet? E enquanto troca mensagens com os seus amigos? Essas são perguntas cujas respostas infelizmente não são preocupação para a maioria dos usuários da rede mundial de computadores. Vamos descobrir as respostas a elas? E como mudar os seus hábitos para navegar de forma mais segura? Nesse artigo vamos estudar um pouco sobre autenticação. Começaremos com uma breve introdução, seguindo com os tipos e níveis de autenticação. Ao final veremos a importância da autenticação de dois fatores (2FA), muito comentada ultimamente como método para se evitarem golpes digitais (muito recorrentes nos últimos anos), e extremamente relevante para qualquer usuário da Internet. Vale a pena dar uma lida para garantir que está seguro! Vamos lá! Definição A palavra autenticação tem origem na Grécia e significa algo como "autor real", isto é, a garantia de que quem tenta acessar um determinado sistema é realmente quem o sistema espera que seja. Em outras palavras, é a garantia de que uma entidade é quem diz ser. Fonte: https://www.serpro.gov.br Aplicações Autenticação é importante em diversas áreas, não somente em segurança da informação como muitos tendem a pensar inicialmente. Em artes, como saber se um quadro é de fato de um determinado pintor? Em antiguidades, como saber se um determinado artefato foi de fato produzido por uma determinada civilização ou numa determinada época? No nosso cotidiano, como saber se um determinado contrato foi assinado pelas partes do mesmo? E finalmente, em segurança da informação, como saber se um usuário é de fato quem diz ser? Ou seja, como garantimos, em qualquer área, que não seremos vítimas de fraude? Métodos Para quaisquer dessas áreas existem diversos métodos de autenticação. Eles estão divididos em três tipos: O primeiro tipo se baseia em confiança numa pessoa específica, geralmente uma pessoa importante em relação ao assunto da autenticação em questão, um especialista na área. A fragilidade desse tipo é a centralização da confiança numa pessoa, que pode errar ou ser corrompida. Fonte: https://www.theartnewspaper.com O segundo tipo se baseia em comparação de características da entidade analisada com outra de que se conhece a origem e serve para determinar se ambas tem a mesma precedência. A fragilidade desse processo é que é possível criar uma cópia perfeita, apesar de ser necessário conhecimento especializado para tal. Fonte: https://www.nytimes.com O terceiro tipo se baseia em documentos externos que podem comprovar a precedência da entidade. Esse é o tipo comumente usado em segurança da informação, onde as provas externas são senhas, tokens, etc., mas mesmo assim são apenas indícios de autenticidade, a fragilidade desse tipo é a falsificação desses documentos ou, como no caso de credenciais, o roubo dos mesmos. Fonte: http://www.usauthentication.com Fatores Com o objetivo de dificultar o comprometimento da autenticidade de serviços digitais, existem três fatores básicos de autenticação que, combinados, reduzem as chances de comprometimento de credenciais. Cada um deles se baseia em o que o usuário deve fornecer para garantir que ele é mesmo quem diz ser: Fonte: https://admin.salesforce.com Fator de conhecimento ("o que você sabe"): O usuário deve fornecer alguma informação que teoricamente somente ele sabe, como senhas, PINs, respostas a perguntas de segurança, etc. Senhas, por exemplo, são códigos criados pelo usuário que devem ser utilizadas para autenticações em sistemas. Nesse caso, a responsabilidade sobre a "força da senha", relacionada a sua resistência a um ataque de força bruta (descrito mais adiante), é do usuário, visto que ele é o responsável por sua criação. Atualmente, os serviços tentam exigir e restringir determinados padrões de senha de forma a melhorar a segurança. A empresa também tem responsabilidade sobre a segurança da senha em relação ao seu armazenamento (feito em formato de hashes), visto que a verificação deve ser feita a cada autenticação. Fator de inferência ("o que você é ou faz"): O usuário deve mostrar algo relativo a seu ser ou algo que teoricamente somente ele consegue fazer, como impressão digital, padrão de retina, DNA, rosto, voz, assinatura, etc. Nesse caso, a segurança depende do próprio usuário, visto que a prova de autenticação faz parte do corpo ou depende da habilidade do mesmo. Fator de propriedade ("o que você tem"): O usuário deve utilizar algo que teoricamente somente ele possui, como cartões de identificação, tokens (de hardware ou software), chips implantados, par de chaves público-privada, etc. Tokens de software, por exemplo, são dados que sozinhos não fazem sentido, mas que, quando recebidos pelo sistema de validação, o mesmo consegue verificar a validade e as permissões de acesso do mesmo. Eles são criados pelo serviço e o usuário o recebe por um meio e o fornece por outro. Nesse caso, o responsável pela segurança do token é o usuário, que não pode o fornecer para terceiros. Assim, o ataque de força bruta geralmente não é efetivo, pois um token bem implementado tem tempo de vida, de forma que o atacante não teria tempo hábil para esse ataque, além de que, sempre que possível, códigos relacionados a fator de propriedade são extremamente seguros (grandes e aleatórios). Autenticação em um fator Essa forma de autenticação usa apenas um dos fatores acima para autenticar uma transação. Ela é extremamente contra indicada em processos relativos a serviços de alta importância e que, portanto, exigem alto nível de segurança, como serviços bancários ou que possam armazenar ou transmitir dados pessoais relevantes, como documentos, telefone, endereços, parentescos próximos, senhas, etc. Alguns aplicativos de mensagem, como WhatsApp, por padrão se utilizam de apenas um fator de autenticação (fator de propriedade), o que é a principal causa das fraudes frequentemente relatadas pela imprensa ou conhecidos próximos. Continue a ler para aprender como evitar tais fraudes. Autenticação em múltiplos fatores Essa forma de autenticação, em que 2FA (ou autenticação em dois fatores) é um caso especial, usa ao menos dois fatores dos anteriores de forma que os dois níveis de precisam ser comprometidos por um invasor para que o mesmo consiga acesso ao serviço, o que é muito mais difícil de ocorrer em comparação à utilização de apenas um fator. Fonte: https://manuaisti.anac.gov.br A maioria dos sistemas digitais online que fornecem autenticação em dois fatores se utilizam do fator de conhecimento (usuário e senha) e fator de propriedade (token), não necessariamente nessa ordem. Ataques Relacionados e suas consequências Essa seção vai o ajudar a responder às perguntas iniciais: "Você está seguro enquanto navega na Internet? E enquanto troca mensagens?". Vamos ver a seguir alguns ataques relativamente simples que podem ser prevenidos com práticas fáceis, mas a que nem todos os usuários se atentam. Ataques cibernéticos relacionados a autenticação são muito comuns, pois a "parte fraca", ou seja, a parte do sistema explorada pelo atacante, é o usuário comum, aquele que tem pouco ou nenhum conhecimento sobre segurança digital e, portanto, é a mais fácil de ser explorada. Ataques de Engenharia Social Fonte: https://www.urbannetwork.co.uk/social-engineering/ Esse é um conjunto de ataques em que a princípio não é necessário nenhum conhecimento técnico de computação ou segurança da informação, nem ao menos serve somente para ataques digitais e justamente por isso é a técnica mais usada. O atacante se vale de manipulação psicológica para fazer com que a pessoa forneça informações que não deveria. Um exemplo muito simples de engenharia social que funcionava muito bem anos atrás (em alguns sites ainda funciona) é a obtenção daquelas respostas secretas, necessárias para recuperar senhas perdidas. Em uma breve conversa com a vítima, um atacante é capaz de obter as respostas a essas perguntas e, consequentemente, de conseguir acesso à conta da vítima. Para não se tornar vítima desse ataque, evite esse método de acesso ou tenha certeza que não vai fornecer as respostas a ninguém. Apesar de esse método ser muito pouco usado atualmente, é sempre bom conhecer formas de evitar ataques. Uma forma é responder com palavras ou expressões que não correspondam à realidade, mas que tenha certeza que vá lembrar se precisar. Uma segunda possibilidade é escrever a resposta com uma combinação especial de maiúsculas, minúsculas, números e eventuais símbolos que o atacante não tenha menor chance de testar, mesmo obtendo a resposta correta de alguma forma, sempre destacando que você deve lembrar da mesma. Atualmente, dois dos ataques mais comuns estão relacionados ao aplicativo de mensagens WhatsApp, devido à sua popularidade e, portanto, ao ganho financeiro que o atacante terá ao explorar tal aplicativo. Ambos utilizam engenharia social. Fonte: https://www.bbc.com No primeiro e mais simples de ser realizado, porém com menor efetividade, a vítima recebe uma mensagem de um número de celular desconhecido, mas com a foto de algum amigo ou parente próximo dizendo que precisou trocar de celular por algum motivo e que precisa de dinheiro urgente, geralmente por não ter acesso aos bancos do aparelho perdido. Esse é o momento que define o final do ataque: se a vítima acreditar e transferir o dinheiro, o ataque obteve sucesso e o dinheiro não pode mais ser recuperado, caso contrário o atacante passa para a próxima vítima. Para não se tornar uma vítima, a princípio devemos prevenir, configurando a segurança das redes sociais para privado e evitando fornecer telefones, endereços e graus de parentesco nas mesmas, pois essa é a principal fonte onde os atacantes vão buscar as informações necessárias. Outra forma de prevenir é avisar os seus parentes e amigos próximos que nunca irá transferir dinheiro quando solicitado por aplicativos de mensagem. Se o atacante conseguir os seus dados, quando receber mensagem do tipo da descrita no parágrafo anterior, desconfie: a princípio lembre-se se já não avisou para essa pessoa que jamais transferiria dinheiro com pedido por mensagens, veja se a foto do WhatsApp é de fato a do seu contato, converse com a pessoa que mandou a mensagem perguntando sobre fatos que somente o seu contato real poderia saber, mas use isso somente para ter certeza que não é seu amigo, e não ao contrário, pois ela pode também ter sido vítima de engenharia social. Tente falar com a pessoa por outros meios, começando por telefonar ou mandar mensagem para o telefone teoricamente antigo. Se não conseguir falar por nenhum desses meios ou outros quaisquer e ainda pensar que pode ser verdade o pedido, ainda há algumas formas de evitar o sucesso do possível golpe: pegue a conta (ou PIX) que o atacante enviar e comece uma transferência (de preferência de valores baixos, por exemplo, R$ 0,01). Em determinado momento aparecerá os dados parciais ou totais da conta destino. Pense se esses dados fazem sentido – você conhece o dono da conta? A agência é de uma cidade conhecida em que o seu contato poderia realmente estar ou ter um conhecido? Além disso, busque pelos dados na Internet para verificar se não aparecem em fóruns, redes sociais ou outros sites em denúncias de fraudes. Muito provavelmente, depois de todas essas etapas, você já terá certeza que se trata de um golpe, se for o caso. Assim sendo, se ainda não tiver pego os dados bancários do atacante, o faça. Com os dados bancários e o número de telefone do atacante em mãos, denuncie para a polícia, para o banco proprietário da conta e para a operadora de celular dona da linha. Dessa forma você ajudará a evitar que esse atacante tenha sucesso no ataque a outras vítimas. O banco e a empresa de telefonia não podem fazer nada a princípio, mas se houver muitas denúncias sobre os mesmos dados, eles abrirão uma investigação interna para saber se de fato o telefone ou a conta bancária estão sendo usados indevidamente. Um caso especial de engenharia social muito usado é o ataque de phishing, cuja tradução literal é "ataque de pesca", pois basicamente o usuário é "fisgado" por uma armadilha enviada através da Internet, fornecendo informações pessoais ou instalando softwares maliciosos. Fonte: https://www.paubox.com/ O segundo método de ataque por WhatsApp é, na verdade, geralmente um ataque de phishing e é mais efetivo. Nesse caso, você pode ser vítima em duas possíveis etapas. A primeira diz respeito a ter a conta do WhatsApp sequestrada pelo atacante. Se você for vítima dessa primeira etapa do ataque, vai perceber quando tentar acessar o seu aplicativo e receber a mensagem de que ele foi acessado de outro aparelho celular ou quando receber um aviso de que outro celular acessou a sua conta. Nesse caso avise imediatamente todos os seus contatos de que está sem acesso ao aplicativo e que não devem considerar qualquer mensagem enviada por você. A seguir, tente acessar novamente seu WhatsApp, fornecendo o código de seis dígitos (token, fator de propriedade) que receberá do WhatsApp por SMS. Assim que acessar, o atacante perderá o acesso. Esse ataque é realizado através da obtenção do token presente no SMS citado, que se parece com esse: Perceba que, ao final da mensagem, há um texto pedindo que esse código não seja compartilhado com ninguém, mas, por mais incrível que possa parecer, as vítimas desse golpe fazem justamente isso: fornecem o código ao atacante. Vamos aos detalhes: o atacante tenta acessar o WhatsApp com o seu número de telefone, o que faz com que você receba essa mensagem. Nesse momento, muito provavelmente o atacante já está conversando com você e se identificou como funcionário de um serviço qualquer, seja uma pesquisa de mercado, um banco em que você tem conta, uma loja em que você comprou recentemente ou mesmo o próprio WhatsApp. No meio da conversa ele irá dizer que o enviará um código por SMS e que precisa que você confirme esse código por algum motivo. Não forneça o código para ninguém, mesmo que o atacante se identifique como funcionário do WhatsApp. E mais: sempre prefira entrar em contato com empresas pelo aplicativo da mesma baixado da loja oficial do seu smartphone, pois é a forma mais segura de não ser uma fraude. É bom destacar aqui que o WhatsApp nunca pede esse código por nenhum meio, ele deve ser escrito somente no aplicativo quando o mesmo pedir para liberar o seu acesso. Existe ainda uma segunda forma de evitar ser vítima do golpe mesmo que acidentalmente forneça o código ao atacante: autenticação em múltiplos fatores (particularmente em dois fatores). O WhatsApp tem um recurso que poucos conhecem em que o usuário cria uma senha (fator de conhecimento) que também jamais será solicitada a não ser pelo próprio aplicativo às vezes para ter certeza de que você é você mesmo, mas o mais importante e que evita esse ataque é que todas as vezes em que tentar acessar o aplicativo por um novo telefone, ele irá pedi-la, de forma que para que o ataque tenha sucesso, a vítima tem que fornecer tanto o token enviado por SMS quanto a senha configurada pelo próprio usuário, o que reduz muito as chances do sucesso por parte do atacante. É altamente recomendado que todos os usuários configurem esse segundo fator de autenticação, mesmo porque se você não o fizer e o atacante for rápido o suficiente, ele pode configurar uma senha e, nesse caso, você terá maior dificuldade para recuperar o acesso, dando tempo para os seus amigos desavisados serem vítimas do atacante se passando por você. Para ativar o recurso, siga os passos abaixo, cujas imagens foram obtidas no site Techtudo: Entre no WhatsApp Toque nos três pontos no canto superior direito. A seguir toque em "Configurações" e "Conta". Toque em "Confirmação em duas etapas" e "Ativar". Insira a senha desejada e toque em "Avançar". Insira o e-mail para recuperação de senha caso a perca e toque em "Avançar". Fonte: https://www.techtudo.com.br Mesmo se defendendo como explicado, você pode ainda ser vítima da segunda parte desse ataque, quando o atacante, em posse de uma conta de algum dos seus amigos, lhe manda mensagem pedindo dinheiro. Por esse motivo, é importante você avisar aos seus contatos assim que perceber que foi vítima de sequestro de conta. Faça a sua parte para evitar que outros sofram com a segunda parte do ataque, mas também fique atento caso algum conhecido seu o sofra (recomende a eles a ativação de autenticação em dois fatores para que isso não ocorra). Caso receba a mensagem de um contato pedindo dinheiro, siga passos semelhantes aos do ataque descrito anteriormente para verificar se de fato se trata da pessoa que diz ser e denuncie para as autoridades e empresas envolvidas caso seja uma tentativa de golpe, como detalhado anteriormente. Existem ainda ataques de phishing genéricos pelos mais diversos meios de comunicação: Telefone: Evite fornecer seu telefone para empresas desconhecidas e sempre que receber uma chamada de um número desconhecido suspeite. Não forneça dados, mesmo que a pessoa se identifique como funcionário de uma empresa confiável (qualquer um pode fazer isso). Fonte: https://pt.vecteezy.com E-mail: Sempre que receber um e-mail que solicite uma resposta ou que acesse determinado link, desconfie, mesmo que aparentemente seja proveniente de empresa confiável e/ou conhecida. Verifique o cabeçalho do e-mail para ter certeza de que o endereço de origem é conhecido e confiável, e em caso de dúvida, entre em contato com o suposto remetente por outros meios previamente conhecidos, ignorando totalmente o e-mail. Além disso, denuncie o e-mail, clicando em classificar como spam e, a seguir, em denunciar fraude. Fonte: https://www.uol.com.br SMS: Sempre que receber mensagens por SMS com links evite clicar. Entre em contato com o suposto remetente por outros meios previamente conhecidos, ignorando totalmente o SMS. Essas mensagens geralmente falam sobre valores cobrados indevidamente ou dívidas. Veja o exemplo: Fonte: https://www.agazeta.com.br Ataque Man-In-The-Middle (MITM) Nesse tipo de ataque, o atacante intercepta uma comunicação de forma que ambos os interlocutores não percebam a sua presença e, eventualmente, troquem dados sensíveis. Um exemplo muito comum é a criação de uma página web muito parecida com um determinado serviço, como páginas web de bancos, em que a vítima insere os dados de acesso. A seguir, a página fake de fato envia a vítima para o site real de forma que, ao acessar o serviço, não percebe que algo errado ocorreu. Porém, nesse momento o atacante já terá as credenciais de acesso da vítima. Fonte: https://medium.com Esse ataque é muito usado em conjunto com o ataque de engenharia social para que o atacante consiga fazer a vítima entrar em seu site fake pensando que está entrando no site real. A via de entrada para esses sites fake geralmente são e-mails ou SMS enviados por atacantes usando o ataque de phishing explicado na seção anterior. Para se evitar esse ataque, fique sempre atento ao site que está acessando, verificando se é de fato o site real do serviço desejado. Além disso, uma boa prática é, sempre que possível, acessar serviços através de aplicativos de celular baixado da loja oficial do sistema operacional do seu smartphone (Google Play, Apple App Store, Windows Phone Store, etc.). Ataque de Força Bruta Ataques de força bruta são aqueles em que o atacante testa diversas senhas até encontrar a correta. Por esse motivo, é importante o uso de senhas sempre distintas entre si, sendo cada uma delas aleatórias e contendo letras (maiúsculas e minúsculas), números e símbolos. Veja na imagem abaixo a relação entre tipos de caracteres, número de caracteres usados e o tempo médio necessário para o atacante conseguir descobrir a senha: Fonte: Hive Systems/Divulgação Para que não esqueça nenhuma das suas senhas mesmo elas sendo grandes, aleatórias e distintas entre si, uma recomendação é o uso de gerenciadores de senha, como o Google Passwords, presente no navegador Chrome e em todos os smartphones com sistema Android. Para a maioria dos sites, esse ataque não funciona diretamente, pois há verificações que impedem muitas tentativas consecutivas. Porém, isso não impede que o ataque possa ocorrer, pois é muito comum falhas em relação a armazenamento de bancos de dados (recentemente a imprensa divulgou vários ataques a eles, com uma massiva quantidade de dados) que disponibilizam na Internet dados cadastrais. Ataques a bancos de dados são tão comuns que não é recomendado o armazenamento de senhas de forma explícita. O que fica armazenado nos bancos de dados são hashes das senhas, isto é, funções conhecidas porém irreversíveis calculadas a partir das senhas, de forma que a partir da senha digitada, o site pode calcular a mesma função para determinar se foi digitada corretamente. Porém, um atacante com acesso ao banco de dados não terá as senhas de forma explícita, mas em posse das hashes, ele fica com tempo hábil e quantidade de tentativas ilimitadas para tentar possíveis valores da sua senha. Por isso a necessidade de se criarem senhas "fortes" e da aleatoriedade, pois sabendo dos dados presentes nessas tabelas e sabendo que as pessoas costumam escolher senhas fáceis de lembrar e, portanto, não aleatórias, os atacantes usam dicionários de palavras para fazerem tentativas mais inteligentes, demorando menos tempo para chegar às senhas corretas. Para se ter uma ideia da diferença que isso faz, conforme o site wikwik, existem 6669 palavras de 5 letras na língua portuguesa, porém existem 11881376 combinações de 5 letras minúsculas (quase 2000 vezes mais). Se levarmos em consideração também letras maiúsculas, números e símbolos, ainda desconsiderando letras acentuadas, temos um total de 7339040224 combinações de 5 letras (1 milhão de vezes mais que o número de palavras). Essa quantidade mostra a importância de usarmos senhas aleatórias e com a maior quantidade possível de tipos de caracteres. Referências Authentication - Wikipedia Phishing - Wikipedia Social engineering - Wikipedia Troy Hunt Verificação em duas etapas no WhatsApp - Techtudo O que é um ataque Man-in-the-Middle - Kaspersky
  2. Uma campanha sofisticada, ativa por pelo menos um ano, tem como alvo grandes empresas internacionais nos setores de energia, petróleo e gás e eletrônicos. Pesquisadores da Intezer descobriram o ataque, que também é direcionado a fornecedores de petróleo e gás, possivelmente indicando que esta é apenas a primeira fase de uma campanha mais ampla. No caso de uma violação bem-sucedida, o invasor é capaz de usar a conta de e-mail comprometida para espalhar phishing em empresas que trabalham com o fornecedor, usando sua reputação estabelecida para ir atrás de entidades mais visadas. Segundo os pesquisadores, os atacantes usam e-mails falsificados e com erros de digitação para iniciar o ataque. A campanha se espalha por meio de e-mails de phishing feitos sob medida para os funcionários de cada empresa visada, e o conteúdo e o remetente dos e-mails parecem ser enviados por outra empresa no setor relevante, oferecendo uma parceria ou oportunidade de negócios. Cada e-mail possui um anexo, geralmente um arquivo IMG, ISO ou CAB, que são formatos de arquivo comumente usados por invasores para evitar a detecção de verificadores antivírus baseados em e-mail. Ao abrir o anexo e clicar em um dos arquivos contidos, a vítima permite a execução de um um ladrão de informações. A Intezer descreveu o vetor de ataque, os motivos e táticas dos invasores usados na campanha. Leia mais (em inglês).
  3. Um suposto cibercriminoso foi detido no Marrocos após investigação conjunta de dois anos pela Interpol, a polícia marroquina e o Group-IB por meio da Operação Lyrebird. O comunicado da Interpol afirma que o suspeito, agindo sob o nome de Dr. Hex, realizava atividades globais de phishing e fraudes, envolvendo inclusive cartão de crédito. Seus alvos seriam empresas de comunicação de língua francesa, bancos múltiplos e empresas multinacionais. O Group-IB, fornecedor de soluções voltadas para a detecção e prevenção de ataques cibernéticos, disse que o suspeito estava envolvido em ataques a 134 sites que ocorreram entre 2009 e 2018. O suspeito teria ajudado a desenvolver kits de carding e phishing, que foram vendidos a outros indivíduos por meio de fóruns online para facilitar campanhas maliciosas semelhantes contra as vítimas.
  4. Analistas da Avanan descobriram recentemente um vetor de exploração no Google Docs que está sendo utilizado por invasores para disseminar sites de phishing às vítimas. Segundo os pesquisadores, esse não é um tipo de ataque comum, mas é bastante simples de executar, principalmente porque o Google faz a maior parte do trabalho para os invasores. O ataque começa com um e-mail que inclui uma mensagem que pode ser relevante para usuários comerciais que costumam usar o Google Docs em seu ambiente corporativo. Se um usuário clicar no link, a página parecerá familiar para qualquer pessoa que use o Google Docs para compartilhar documentos fora da organização. Esta, no entanto, não é aquela página, e sim uma página HTML personalizada feita para se parecer com a familiar página de compartilhamento do Google Docs. Uma vez redirecionadas, as vítimas em potencial são solicitadas a “clicar aqui” para baixar o documento. Se um usuário clicar, a página redireciona para o site de phishing malicioso real, que rouba as credenciais da vítima usando outra página da web feita para se parecer com o portal de login do Google, mas que na verdade é hospedada a partir de um URL não afiliado ao Google. Ao hospedar ataques dessa forma, os invasores podem contornar os scanners de link e evitar a detecção de proteções de segurança comuns que visam verificar se os links enviados por e-mail são legítimos.
  5. Usuários da Microsoft estão sendo alvos de um ataque de phishing que utiliza um sistema reCAPTCHA falso. Segundo o ThreatPost, o objetivo de roubar suas credenciais do Office 365. Aparentemente, os atacantes adicionam um ar de legitimidade à campanha com páginas de destino de domínio que incluem os logotipos das empresas das vítimas. O ThreatPost diz ainda que pelo menos 2,5 mil e-mails foram enviados sem sucesso para funcionários de nível sênior no setor bancário e de TI nos últimos três meses. Os e-mails levam os destinatários a uma página falsa do sistema reCAPTCHA, do Google, que ajuda a proteger sites contra spam usando um teste de Turing para diferenciar humanos e bots. Se as vítimas “passarem” no teste reCAPTCHA, elas são redirecionadas para uma página de destino de phishing, que solicita as credenciais do Office 365. Segundo pesquisadores da equipe de pesquisa de segurança ThreatLabZ, o ataque tem como alvo líderes empresariais seniores com títulos como vice-presidente e diretor administrativo, e o objetivo dessas campanhas é roubar as credenciais de login dessas vítimas para permitir que os atacantes acessem ativos valiosos da empresa. Os e-mails de phishing fingem ser e-mails automatizados das ferramentas de comunicação unificada das vítimas, informando que há, em anexo, uma mensagem de correio de voz. Ao clicar no anexo, elas encontram a tela falsa do reCAPTCHA e, depois de preencher o sistema falso, as vítimas são direcionadas para o que parece ser uma tela de login da Microsoft. As páginas de login também contêm logotipos diferentes das empresas para as quais as vítimas trabalham. Isso significa que os atacantes estão personalizando suas páginas de destino de phishing na tentativa de fazer o ataque parecer mais legítimo. O Office 365 tem sido alvo de ataques de phishing com frequência. Na semana passada, o Mente Binária divulgou notícia informando que uma campanha denominada Compact coletou mais de 400 mil credenciais do Outlook Web Access e do Office 365 aproveitando a popularidade crescente do Zoom para atingir seus alvos.
  6. Uma campanha de phishing denominada Compact coletou mais de 400 mil credenciais do Outlook Web Access e do Office 365. Segundo pesquisadores da WMC Global, a campanha utiliza domínios confiáveis para garantir a entrega de e-mails de phishing e impedir o bloqueio de páginas falsas. Segundo a empresa de segurança, os agentes por trás da Compact aproveitaram a popularidade crescente do Zoom para atingir seus alvos. A equipe da WMC Threat Intelligence analisou o ataque, incluindo o código PHP utilizado no site, e recuperou credenciais roubadas coletadas pelos atores da ameaça. A análise vinculou endereços de e-mail aos atores responsáveis pela campanha, encontrando um histórico de ataques desde o início de 2020. Na análise, a empresa destaca que o método de entrega era feito via isca de phishing enviada por e-mail, e os atacantes aparentemente estavam usando uma extensa lista de spam para atingir as vítimas. "Estima-se que até 11% dos usuários caiam em campanhas de phishing e, dado o tamanho desse ataque, é lógico que um grande número de usuários tenha sido vítima", diz a WMC. A maioria dos e-mails foi enviada usando contas SendGrid comprometidas. A WMC Global informa ainda que trabalhou em estreita colaboração com o SendGrid para encerrar as contas de envio que foram restauradas aos seus legítimos proprietários. Em campanhas posteriores, os agentes da ameaça passaram a usar o MailGun para enviar os e-mails comprometidos. A equipe do WMC Global Threat Intelligence também monitorou e detectou os sites de phishing utilizados na campanha, sendo que dois sites de destino estavam em uso entre dezembro de 2020 e janeiro de 2021. Em dezembro, a página de destino personificou a marca Outlook Web App para enganar os alvos, induzindo-os a inserir suas credenciais. Em janeiro, os ataques mudaram para imitar a marca Office 365, provavelmente para capturar mais credenciais de funcionários. A análise detalhada da WMC Global também explica sobre as técnicas de exfiltração utilizadas.
  7. Uma nova campanha de phishing tenta enganar vítimas para baixarem uma versão mais recente do trojan Bazar, que segundo o ZDNet surgiu pela primeira vez no ano passado. Uma implantação bem-sucedida do malware pode fornecer aos cibercriminosos um backdoor em sistemas Windows comprometidos, deixando com que eles controlem o dispositivo infectado, obtendo acesso adicional à rede para coletar informações confidenciais ou distribuir malwares, incluindo ransomwares. O foco dos ataques tem sido a setores como saúde, tecnologia, manufatura e logística na América do Norte e Europa. A Fortinet identificou uma nova variante do trojan Bazar, que foi equipado com técnicas de anti-análise para tornar o malware mais difícil de ser detectado pelo software antivírus. Assim, o malware oculta as APIs maliciosas no código, podendo até criptografar certas cadeias de caracteres do código para torná-lo mais difícil de analisar. As novas técnicas foram adicionadas ao Bazar no final de janeiro e coincidiram com uma campanha de phishing projetada para distribuir a versão atualizada do malware. A Fortinet informou que essa campanha de phishing específica do Bazar permanece ativa e as tentativas de ataques são frequentemente detectadas. 😬
  8. Autoridades do Reino Unido prenderam um homem de 20 anos que supostamente operava um serviço online para o envio de campanhas de phishing de alto volume por meio de mensagens de texto (SMS). Segundo o KrebsOnSecurity, o serviço é comercializado no submundo sob o nome de "SMS Bandits" e foi responsável por utilizar grandes volumes de iscas de phishing falsificando desde instituições responsáveis por informações sobre a pandemia de Covid-19 até o PayPal, provedores de telecomunicações e agências de impostos. A National Crime Agency (NCA) do Reino Unido não divulgou o nome do suspeito, mas confirmou ao KrebsOnSecurity que a unidade de crimes cibernéticos do Metropolitan Police Service deteve um indivíduo que tinha conexão com uma empresa que fornecia "serviços criminosos relacionados a crimes de phishing". O SMS Bandits oferece um serviço de phishing de SMS (conhecido como “smishing”) para o envio em massa de mensagens de texto destinadas a aplicar golpes em credenciais de contas de diferentes sites populares, roubando dados pessoais e financeiros para revenda. O KrebsOnSecurity informa ainda que o volume de phishing baseado em SMS disparou em 2020 em mais de 328%, de acordo com um relatório da empresa de segurança Proofpoint.
  9. Uma campanha de phishing que falsifica as notificações da Xerox induz as vítimas a clicarem em anexos HTML maliciosos. Por meio deste ataque, mais de mil credenciais foram roubadas. O ThreatPost destaca que essas credenciais ficaram disponíveis online devido a um "erro" da campanha. Iniciada em agosto de 2020, a campanha usou e-mails que falsificam notificações da Xerox para induzir as vítimas a clicarem em anexos HTML maliciosos. Os principais alvos abrangem empresas de setores como varejo, manufatura, saúde e TI, com interesse especial em empresas de energia e construção, observaram pesquisadores da Check Point. A campanha começou com um e-mail usando um dos vários modelos de phishing que imitam uma notificação da Xerox com o nome do alvo ou o título da empresa na linha de assunto. O e-mail incluía um arquivo HTML que, uma vez clicado, exibia ao usuário uma página de login semelhante a da Xerox. Assim, um código JavaScript era executado no fundo do documento, fazendo verificações de senha simples, enviando os dados para o servidor dos invasores e redirecionando o usuário para uma página de login legítima do Office 365. A Check Point trabalhou com a empresa de segurança Otorio para descobrir a campanha e revelou que os invasores cometeram um "erro simples em sua cadeia de ataque", deixando as credenciais roubadas expostas na Internet pública. Isso ocorreu porque os invasores armazenaram as credenciais roubadas em páginas da web designadas em servidores comprometidos, e como o Google indexa constantemente a Internet, o mecanismo de busca também indexou essas páginas, disponibilizando-as para qualquer pessoa que consultasse o Google sobre um endereço de e-mail roubado. 🤷‍♀️
  10. Em outubro de 2020, divulgamos uma pesquisa da Check Point dizendo que a Microsoft ficou no topo da lista de iscas dos ataques de phishing, saltando do quinto lugar para o primeiro com avanço da pandemia de COVID-19, e correspondendo a 19% de todas as tentativas de ataques de phishing do mundo. No último trimestre do ano passado, a Microsoft apareceu em 43% das tentativas deste tipo de ataque. De acordo com a nova análise da Check Point Research, a Microsoft permanece como uma das 10 principais marcas usadas como isca para vítimas de phishing, com muitos sites tentando se passar por telas de login da Microsoft para roubar credenciais de usuários. Além disso, marcas relacionadas a entregas e ao varejo configuram com as principais iscas, mais do que dobrando sua aparição nesses ataques após os meses de compras e feriados. As dez principais marcas usadas como isca de phishing no quarto trimestre de 2020 são: Microsoft (43%) DHL (18%) LinkedIn (6%) Amazon (5%) Rakuten (4%) IKEA (3%) Google (2%) Paypal (2%) Chase (2%) Yahoo (1%) A CheckPoint divulgou ainda exemplos de como os golpes de phishing relacionados a essas marcas ocorrem. Um e-mail de phishing malicioso usa a marca da DHL para tentar roubar as senhas dos usuários. O e-mail foi enviado pelo endereço falsificado parcel.docs@dhl.com, com o assunto “RE: Seu pacote DHL (disponível para retirada) - [<e-mail do destinatário>]”. E-mail malicioso enviado com o assunto “RE: Seu pacote DHL (disponível para retirada) - [<e-mail do destinatário>]” (Fonte: Check Point) A tentativa do invasor é de que a vítima clique em um link malicioso, redirecionando o usuário para uma página de login fraudulenta onde ele precisa digitar sua senha, sendo assim enviado para o site selecionado pelo atacante. Página de login falsa (Fonte: Check Point) Outro e-mail de phishing malicioso tenta roubar credenciais de usuários de contas do Microsoft Office 365. O e-mail com o assunto “Doc(s) Entrega Diária #- <Número de ID>” possui conteúdo do serviço eFax personificado. Ao clicar no link, o usuário é direcionado para outro documento que os redireciona para uma página de login fraudulenta da Microsoft. Email malicioso enviado com o assunto Doc(s) Entrega Diária #- <Número de ID> (Fonte: Check Point) Documento enviado ao usuário redirecionado à pagina de login da Microsoft (Fonte: Check Point) Página falsa de login da Microsoft (Fonte: Check Point)
  11. A popularidade das plataformas de videoconferência tem atraído cada vez mais a atenção de cibercriminosos e golpistas. Dessa vez, um ataque de phishing vem sendo realizado utilizando usuários do Zoom como alvo. Segundo o Better Business Bureau (BBB), os golpistas enviam um e-mail, texto ou mensagem em rede social com o logotipo do Zoom e uma mensagem dizendo que a conta foi suspensa, solicitando que o usuário clique em um link para reativar. Outro golpe comum utiliza uma mensagem de lembrete sobre uma reunião. Algo do tipo: “Você perdeu uma reunião, clique aqui para ver os detalhes e reagendar”. Os golpistas podem ainda enviar uma mensagem de boas-vindas à plataforma, solicitando que a vítima clique em um link para ativar sua conta. Mais de 2.449 domínios relacionados ao Zoom forma registrados pelos golpistas desde o final de abril até o início de maio deste ano, segundo o BBB, e esses nomes de domínio, que incluem a palavra "Zoom", são utilizados para enviar e-mails que parecem ser do serviço oficial de videoconferência. O objetivo é fazer a vítima clicar no link incluído no e-mail, baixando malwares ou sendo direcionanda a uma página onde serão solicitadas informações de login, o que dá aos golpistas acesso à conta. Para evitar este tipo de golpe: Verifique com atenção as informações do remetente. zoom.com e zoom.us são os únicos domínios oficiais do Zoom. Se um e-mail vier de um domínio de aparência semelhante que não corresponda exatamente ao nome de domínio oficial, provavelmente é um golpe. Nunca clique em links em e-mails não solicitados. Os golpes de phishing sempre envolvem fazer um indivíduo clicar em um link ou arquivo enviado por e-mail que irá baixar um malware em seu computador. Se você receber um e-mail não solicitado e não tiver certeza de quem realmente veio, nunca clique em nenhum link, arquivo ou imagem que ele possa conter. Se você receber um e-mail informando que há um problema com sua conta e não tiver certeza se é legítimo, entre em contato diretamente com a empresa no site oficial.
×
×
  • Create New...