Golpe usa fácil identificação de servidores para explorar vulnerabilidades de blog, sites e e-commerces

Qualquer um que administra um site ou blog muito provavelmente usa um provedor em nuvem ou uma empresa de hospedagem especializada para gerenciar seu servidor e entregar conteúdo a seus visitantes.

E, como você ou sua equipe já devem ter reparado, é fácil descobrir qual servidor seu site ou blog utilizam. Não é à toa que a caixa de entrada dos e-mails de seus colaboradores às vezes lota de spams como: “Percebi que você usa o provedor de Web X e temos uma oferta imperdível para você!”

Esse tipo de mensagem, embora aborrecedor, costuma ser inofensivo. Porém, é indicativo de um problema maior: a facilidade com que determinados informações podem ser rastreadas e utilizadas para fins cibercriminosos.

Pesquisadores de cibersegurança do SophosLab expuseram, essa semana, uma campanha de phishing direcionada a sites e blogs que se aproveita justamente dessa vulnerabilidade.

O que eles descobriram:

Campanha de phishing oferece “atualizações de segurança do DNS” a sites e blogs

Recentemente, usuários do WordPress, bem como de diversos servidores populares ao redor do mundo, têm recebido e-mails de phishing onde criminosos, se passando pela plataforma, alegam que em breve novos recursos de segurança do DNS serão adicionados ao domínio hospedado no servidor em questão.

O e-mail tem a seguinte estrutura:

Assunto: Atualização do DNS do [seusite].com

Estamos atualizando o DNS do seu domínio para uma solução ainda melhor, gratuitamente!

Nós nos preocupamos com a sua privacidade e a proteção dos seus domínios. Por isso, em breve atualizaremos o DNS (Sistema de Nomes de Domínio) básico às Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC).

Créditos da imagem: nakedsecurity.sophos.com

Como você provavelmente sabe, DNS é uma abreviação de Domain Name System – o banco de dados global que transforma nomes de servidores que usuários podem lembrar (como compugraf.com.br), em números de rede que os computadores podem usar (como 203.0.113.171).

E quem está mais familiarizado com cibersegurança também já ouviu falar do DNSSEC, abreviação de Domain Name System Security Extension, porque ele existe há mais de 20 anos.

Trata-se de um protocolo que adiciona autenticação às transferências de dados DNS para ajudar a impedir que os cibercriminosos encham o banco de dados DNS com entradas falsas e, assim, sequestrem o tráfego do seu site.

No entanto, sua equipe de TI provavelmente nunca teve que configurar ou acessar diretamente o DNSSEC, porque este geralmente é um recurso utilizado pelos provedores de serviços para ajudar a manter seus próprios bancos de dados DNS intactos quando eles trocam dados com outros servidores DNS.

Mas se você não sabe disso e se depara com o e-mail acima, ativar o DNSSEC certamente parece uma boa idéia, afinal, indica maior segurança, certo?

Logo, é fácil entender por que alguns destinatários desse golpe estão clicando para saber mais e “atualizar as configurações de DNS” de seus servidores.

A engenharia por trás da campanha de phishing

A landing page desse golpe é surpreendentemente crível, como você pode ver abaixo, que é para onde o link redireciona quando o destinatário clica para fazer sua “atualização gratuita” do DNSSEC:

A página afirma ser um "Assistente de Atualização do WordPress", com logotipos e ícones que correspondem ao seu provedor de serviços, e ainda possui um botão de “como usar este assistente”, que realmente funciona:

Obviamente, o intuito aqui é que o usuário compartilhe suas credenciais do WordPress.

Porém, todos os dados inseridos na página vão diretamente para os criminosos, e se o usuário não tiver a autenticação de dois fatores ativada em sua conta, eles poderão facilmente fazer logon no site ou blog e se apropriar dele.

Caso os dados sejam compartilhados, o golpe mostrará algumas mensagens de progresso falsas, mas que imitam muitíssimo bem páginas verdadeiras, para fazer o usuário pensar que uma legítima "atualização do site" foi iniciada.

Além disso, os golpistas afirmam que o usuário será redirecionado para o seu próprio site no final do processo, mas, em vez disso, ele termina em uma URL que inclui o nome do site precedido pelo nome do site falso, configurado pelos criminosos.

Isso gera um erro 404 – mas não é possível dizer se os bandidos cometeram um erro de programação ou se esse era o objetivo isso o tempo todo, para evitar o redirecionamento.

Personalização automática da página de destino

Os links clicáveis nos e-mails enviados nesta campanha de phishing incluem todos os dados necessários para que os criminosos personalizem a página de login automaticamente, de acordo com o servidor utilizado por cada vítima.

No total, os bandidos tinham 98 imagens diferentes de marcas prontas para serem usadas, incluindo de provedores para e-commerce .

O que fazer para se proteger dessas campanhas de phishing?

A recomendação mais simples? Não faça login através de links enviados por e-mails, especialmente se eles parecem suspeitos.

Caso não pareçam suspeitos, como é o caso aqui, se você ou alguém da sua equipe receber um e-mail informando que precisa fazer login no serviço X e tiver uma conta no site X, ignore os links de login do próprio e-mail.

Nesse contexto, o ideal é que você digite o site na barra de busca para, então, fazer seu login, mesmo se achar que o e-mail é genuíno. Dessa forma, você evita cair em links falsos por engano.

Além disso, ative a autenticação de dois fatores sempre que possível.

Outra dica compartilhada pelos pesquisadores é considerar um gerenciador de senhas. Os gerenciadores de senhas não apenas selecionam senhas fortes e aleatórias automaticamente, mas também associam cada senha a um URL específico.

Isso torna muito mais difícil colocar a senha correta no site errado, porque o gerenciador de senhas simplesmente não sabe qual conta usar quando se depara com um site de phishing desconhecido.

Finalmente, consultar especialistas em segurança é sempre uma boa pedida, principalmente se você quer ter a certeza de que todas as áreas vulneráveis da sua empresa estarão sendo protegidas.

Conte com a assessoria dos nossos especialistas da Compugraf e descubra como manter a segurança do seu site – e do seu negócio!

Aplicativos do Facebook compartilhando dados sem permissão, novo malware para usuários do macOS e falhas no iOS 14 nas notícias da semana.

As notícias desta semana mostram que nenhum sistema é à prova de balas, e que a proteção de muitos recursos está condicionada a uma série de fatores, algo visto em nosso artigo sobre os riscos mais comuns na segurança corporativa.

O que você vai ler hoje:

• Aplicativos do Facebook compartilham dados com terceiros sem autorização do usuário
• LinkedIn e Reddit também estão bisbilhotando área de transferência, graças a falha do iOS 14
• Stuxnet 2.0? Ataque a usina no Irã pode ter raízes na ciberguerra
• Novo malware mira em usuários de Mac e se esconde atrás de uma solução legítima de segurança
• Uma a cada 142 senhas são “123456”, de acordo com análise de credenciais vazadas

Aplicativos do Facebook compartilham dados com terceiros sem autorização do usuário

Uma equipe de acadêmicos revelou, esta semana, um método que pode ajudar a identificar quando os desenvolvedores de aplicativos para o Facebook compartilham clandestinamente dados de usuários com terceiros.

Intitulado CanaryTrap, o recurso gira em torno de uma espécie de “honeytoken” – isto é, dados, tokens ou arquivos falsos que especialistas em TI plantam em sua rede para detectar atividades maliciosas.

No contexto do CanaryTrap, os honeytokens eram endereços de e-mail exclusivos que os acadêmicos usaram para registrar contas no Facebook e mapear quais apps compartilhavam seus dados sem autorização.

A equipe de pesquisadores testou 1.024 aplicativos do Facebook usando essa técnica e identificou 16 apps que compartilhavam endereços de e-mail com terceiros. Dos 16, apenas 9 aplicativos revelaram que tinham um relacionamento com o remetente do email – geralmente um site afiliado ou parceiro de negócios não-relacionado.

A pesquisa completa você pode conferir aqui.

Fonte: ZDNet Security

Mais apps foram flagrados bisbilhotando área de transferência, graças a falha do iOS 14

Na semana passada, o TikTok era o centro das atenções por, supostamente, bisbilhotar a área de transferência de usuários de iPhone, devido a uma falha no iOS 14.

Esta semana, LinkedIn e Reddit foram denunciados pela mesma atividade suspeita.

De acordo com comunicado oficial, o LinkedIn estaria registrando todos os pressionamentos de tecla dos dados da área de transferência para “verificar se correspondem ao que é colado no feed da plataforma pelo usuário”.

Já o Reddit alegou que rastreia o comportamento do usuário até o “compositor de postagem que verifica os URLs na área de transferência e sugere um título de postagem com base no conteúdo de texto da URL”, mas que já está preparando uma nova versão do app, mais alinhada aos princípios de privacidade.

Fonte: Forbes

Stuxnet 2.0? Ataque a usina no Irã pode ter raízes na ciberguerra

Irã alega que incêndio e possível explosão em sua usina nuclear de Natanz no dia 2 de julho poderia ter sido causado por um ataque cibernético, e ameaça retaliação.

A Organização de Energia Atômica do Irã confirmou que um incidente ocorreu no mesmo local onde, em 2010, um ataque cibernético altamente sofisticado, orquestrado pelos EUA e Israel e conhecido como Stuxnet, foi posto em prática, com consequências a níveis nacionais para o país. Naturalmente, fala-se sobre um Stuxnet 2.0, mas ainda não se sabe se, de fato, o ataque foi orquestrado ciberneticamente.

No entanto, o chefe de defesa civil do Irã, Gholamreza Jalali, disse, em 3 de julho, que “retaliar ataques cibernéticos faz parte da estratégia de defesa do país”.

“Se for comprovado que nosso país foi alvo de um ataque cibernético, responderemos”, declarou.

Fonte: Forbes

Novo malware mira em usuários de Mac e se esconde atrás de uma solução legítima de segurança

Chamado ThiefQuest, um novo malware, voltado ao usuários de Mac, está sendo enviado às possíveis vítimas como parte de um download de torrent infectado.

O surpreendente é que o torrent de fato contém uma popular ferramenta de segurança para Mac, chamada LittleSnitch, utilizada para informar ao usuário quando outro software em seu Mac estiver tentando fazer conexões de rede furtivas, que podem representar um risco à segurança. Senso de humor é tudo, não é?

Porém, o torrent infectado contém um patch que alega converter a versão de avaliação gratuita do LittleSnitch em uma versão paga completa. É mentira. O que o patch realmente faz é infectar o Mac da vítima e abrir as portas de comunicação com os servidores de comando do ThiefQuest.

Para garantir a segurança, valem as recomendações usuais: não baixar softwares de fontes duvidosas e se assegurar de seus sistema operacional está atualizado, bem como instalar um programa anti-malware confiável, que vai detectar quando qualquer atividade maliciosa tentar se apropriar do seu dispositivo.

Fonte: Forbes

Será que você é um mestre da segurança da informação e conhece todos os vetores de ataque?

Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.

Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.

Como manter uma empresa segura?

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua empresa.

O COVID-19 continua rendendo campanhas de phishing, agora focadas no retorno ao “Novo Normal”. Movimento Black Lives Matter também virou isca.

Se, por um lado, algumas empresas estudam estender o trabalho remoto indefinidamente, ou até o fim deste ano, por outro, a discussão em torno de quem já está voltando à “normalidade” ganha um novo capítulo: medidas de segurança contra o vírus dos ciberataques.

Isso porque pesquisadores de cibersegurança vem alertando para uma nova campanha de phishing que pretende enviar recursos de treinamento a respeito do coronavírus para colaboradores que estão retornando a seus locais de trabalho, à medida que as iniciativas de contenção do COVID-19 são flexibilizadas.

Da mesma forma que, no primeiro trimestre de 2020, e-mails, aplicativos e domínios falsos pipocavam pela internet atraindo usuários desavisados e ludibriando-os a entregarem seus dados pessoais em troca de informações duvidosas, só o que muda, agora, é a isca.

A campanha, direcionada a usuários do Office 365, um dos pacotes mais comuns em empresas ao redor do mundo, envia um email que inclui um link para se registrar no intitulado “Treinamento COVID-19 para colaboradores: um certificado para ambientes de trabalho mais saudáveis“.

Fonte: checkpoint.com

Em vez de uma página de inscrição legítima, porém, o link redireciona os usuários para um domínio malicioso, onde são requeridas suas credenciais e alguns dados pessoais, de acordo com este relatório da Check Point Research.

Uma pandemia virtual

Os pesquisadores também afirmam que esta campanha é parte de um aumento recente de ataques cibernéticos que exploram a realidade do “Novo Normal”, já que muitas pessoas no Brasil e ao redor do mundo retornam aos negócios.

Apesar de os ataques relacionados ao coronavírus estarem diminuindo – com um número médio de cerca de 130.000 ataques por semana em junho, uma queda de 24% em comparação com a média semanal de maio – os ataques cibernéticos em geral estão aumentando, disseram os autores do relatório.

Contudo, ainda é cedo para saber se essa queda é uma boa notícia.

A perspectiva não é das mais otimistas, julgando pelos demais dados do relatório: os ataques semanais aumentaram 18% entre maio e junho, uma leve crescente em relação ao aumento de 16% entre abril e maio.

Não só isso: o risco, para as empresas, depende muito do estado de disseminação do vírus, e os pesquisadores descobriram que em locais onde ainda existem surtos ativos a atividade cibercriminosa relacionada ao COVID-19 – que, descobriu-se recentemente, segue a tendência de notícias do próprio vírus – ainda prevalece.

Em outras palavras: a linha de evolução dos ciberataques tende a acompanhar a linha de evolução da própria pandemia, correspondendo a seus altos e baixos.

“Nossos dados mais recentes mostram que o risco de uma organização ser impactada por um site malicioso relacionado ao coronavírus depende de como a quarentena está sendo conduzida em cada país”, alertaram os pesquisadores no relatório.

Aqui no Brasil, muitas cidades ainda estão sob lockdown, mas outras tantas já reabriram o comércio – o que também tem contribuído para um aumento nos ataques – ou estão em vias de mobilizar seus colaboradores a retomarem o trabalho in loco.

E o esperado é que essas campanhas evoluam, se aproveitando das novas políticas internas que as empresas serão obrigadas a adotar, seja pela segurança física ou digital de seus colaboradores.

Além do COVID-19: campanhas também miram nos assuntos mais discutidos na internet

Por outro lado, novas campanhas de phishing visam tirar proveito de outras notícias importantes – como o movimento Black Lives Matter (BLM), que provocou protestos e manifestações em massa ao redor do mundo depois que um vídeo viral revelou o assassinato de George Floyd, em 25 de maio, por um ex-policial de Minneapolis.

Um ataque de spear-phishing (que utiliza fontes “confiáveis”, como instituições relevantes) no início de junho, por exemplo, foi enviado com assuntos como “Deixe sua opinião confidencialmente sobre o ‘Black Lives Matter'”, “Deixe uma opinião anônima sobre o ‘Black Lives Matter'” ou “Vote anonimamente sobre o ‘Black Lives Matter’” nos EUA.

O e-mail incluía um arquivo doc malicioso, normalmente nomeado no formato “e-vote_form _####. doc” (onde cada # corresponde a um dígito).

Se os usuários abrirem o e-mail e clicarem no anexo, eles serão redirecionados para uma página que pretende fornecer uma atualização do Office.

Essa “atualização” na verdade é vinculada a duas URLs maliciosas, que carregam o malware Trickbot nos dispositivos das vítimas.

Fonte: checkpoint.com

Como se proteger dessas e de futuras ameaças

Para assegurar a proteção contra esses ataques, lembre-se:

1. Cuidado com domínios semelhantes, erros de ortografia em e-mails ou sites e remetentes desconhecidos;

2. Seja cauteloso(a) com os arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que você normalmente não tomaria;

3. Cuidado com ofertas “especiais” e treinamentos que não tenham sido previamente orientados pela sua empresa. Caso haja dúvida, confirme com seus superiores antes de clicar em qualquer link;

4. Certifique-se de não reutilizar senhas entre aplicativos e contas diferentes.

As caixas de entrada de seus colaboradores são, também, a entrada para sua empresa. Certifique-se de elas estão protegidas.

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança da sua equipe e do seu negócio

Tiktok, blockchain e mais nas notícias da semana

O que você vai ler hoje:

• O TikTok pode estar espiando seus dados, mas por culpa da Apple
• O novo malware que evolui via blockchain
• Ransomware sequestra fotos e vídeos de usuários
• Criptografia do WhatsApp em risco

Vulnerabilidades no iOS permitem que o TikTok espie seus dados – e ele está espiando

Do começo do ano para cá, a Apple vinha enfrentando sérias vulnerabilidades em seu sistema operacional para iPhone – o iOS. Um dos mais preocupantes permitia que quaisquer dados copiados para a área de transferência do dispositivo fossem lidos por qualquer aplicativo ativo.

Não há notificação nem configuração para restringir a capacidade de um aplicativo acessar informações do usuário; a vulnerabilidade está oculta, e os usuários não tinham como saber quando um aplicativo poderia estar roubando seus dados.

A gigante da tecnologia já desenvolveu uma nova versão do iOS, que avisará seus usuários quando um aplicativo tiver acesso aos itens copiados na área de transferência, mas o problema está longe de ser dado por encerrado.

Mais recentemente, alguns apps foram flagrados bisbilhotando esses dados que, embora não devessem estar disponíveis, tampouco deveriam ser acessados por qualquer um. Dentre eles, a nova redes social mais querida ao redor do mundo: TikTok.

Apesar do aviso emitido pelo novo iOS tanto a usuários quanto desenvolvedores, denúncias de que o aplicativo continuaria bisbilhotando a área de transferência têm surgido com alguma frequência.

De acordo com o TikTok, o problema agora é “acionado por um recurso projetado para identificar comportamentos repetitivos e de spam”. Porém, em nota oficial, representantes do TikTok dizem que “já enviaram uma versão atualizada do aplicativo à App Store, removendo o recurso anti-spam para eliminar qualquer confusão potencial”.

Fonte: Forbes

Novo malware usa rede de bitcoin como canal de comunicação para atualizações e mutações constantes

Um novo malware chamou a atenção de pesquisadores de cibersegurança neste relatório divulgado pela SophosLabs.

De acordo com o relatório, Glupteba – o malware – usa quase todos os truques para crimes cibernéticos de que você já ouviu falar e, provavelmente, muitos outros. E, como muitos malwares hoje em dia, ele é o que especialistas chamam de zumbi ou bot – um malware que pode ser controlado de longe por quem o escreveu.

Dentre uma série de recursos que possibilitam ataques significativamente nocivos, o mais interessante é como o Glupteba usa o blockchain do Bitcoin – um canal comum, mas de difícil acesso – como meio de comunicação para receber informações atualizadas. Isto é, updates de configuração que funcionam como “instruções” para o bot operar.

Além disso, o Glupteba possui uma longa lista de comandos maliciosos internos que os criminosos podem acionar, incluindo os comandos auto-explicativos de atualização de dados e upload de arquivo, detalhados no relatório. Mas também inclui, como na maioria dos bots, comandos genéricos para download e execução de novos malwares, o que significa que, mesmo se você souber tudo sobre a Glupteba, não poderá prever no que ela poderá se transformar a seguir, porque os criminosos podem atualizar o malware em execução.

A má notícia é que os muitos componentes de autoproteção da Glupteba indicam que há muitos truques disponíveis para impedir que o malware apareça nos logs de segurança.

A boa notícia é que essa complexidade toda torna o malware menos confiável e, ironicamente, mais propenso a disparar alarmes de segurança em algum momento.

Vamos ficar de olho.

Fonte: Naked Security

Ransomware canadense sequestra fotos e vídeos de usuários e alerta para ciberataques relacionados ao COVID-19

Uma nova variedade de ransomware surgiu no Canadá, mirando usuários de Android e bloqueando fotos e vídeos pessoais.

Chamado CryCryptor, o malware foi inicialmente identificado como fingindo ser o aplicativo oficial de rastreamento do COVID-19 fornecido pela Health Canada. Ele está se propagando através de dois sites falsos diferentes, que fingem ser oficiais, de acordo com pesquisadores da ESET.

Como outras famílias de ransomware, ele criptografa arquivos direcionados. Mas, em vez de simplesmente bloquear o dispositivo, o CryCryptor deixa um arquivo “read me.txt” com o email do invasor em todos os diretórios. Também é baseado em códigos-fonte abertos, facilmente encontrados no GitHub.

Quando alguém inicia o aplicativo mal-intencionado, ele solicita acesso aos arquivos no dispositivo, incluindo fotos e vídeos do usuário. Depois disso, os arquivos selecionados são criptografados usando o AES com uma chave de 16 caracteres gerada aleatoriamente.

O ransomware faz parte da leva crescente de ataques que usam a pandemia do COVID-19 para fazer suas vítimas. Embora este malware, em específico, esteja restrito ao Canadá, sua estrutura é um bom modelo de como apps de phishing se espalham ao redor do mundo e alertam para possíveis riscos similares.

Fonte: Threat Post

Criptografia do WhatsApp em risco, mas em prol da segurança

Anunciando planos “de encerrar o uso de criptografia à prova de mandado que protege a atividade criminosa”, os senadores dos EUA Lindsey Graham, Tom Cotton e Marsha Blackburn introduziram a Lei de Acesso Legal a Dados Criptografados em 23 de junho, conhecida como EARN IT Act no país.

A legislação visa romper com um dos princípios de privacidade da criptografia, que é impedir o acesso de terceiros às mensagens protegidas por essa solução de segurança.

Isso porque a criptografia impede, inclusive, que autoridades com mandado de busca tenham acesso às mensagens, o que, de acordo com os senadores, “cria oportunidades perigosas para grupos de terroristas e cibercriminosos operarem livremente”.

“Uma vez que um mandado é obtido”, explicam os autores da proposta de lei, “os fabricantes de dispositivos e os prestadores de serviços [seriam obrigados] a auxiliar a aplicação da lei no acesso a dados criptografados se a assistência ajudasse na execução do mandado”.

O projeto também impõe que as empresas relatem sua conformidade. Haveria um processo de apelação e compensação dos custos incorridos – mas a criptografia de ponta a ponta seria interrompida.

O Facebook seria mais impactado do que qualquer outro player de tecnologia – com sua emblemática plataforma de mensagens WhatsApp, de longe, sendo o maior advogado e fornecedor de criptografia de ponta a ponta em todo o mundo.

Se aprovada, a lei terá seus benefícios e suas controvérsias: por um lado, significa que nossas mensagens não estarão mais 100% protegidas de terceiros; por outro, pode impedir a proliferação de atividades criminosas e, paradoxalmente, mobilizar novas alternativas de segurança.

Resta esperar para ver.

Fonte: Forbes

Será que você é um mestre da segurança da informação?

Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.

Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.

Como manter uma empresa segura?

Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua sempresa.

À medida que as empresas reabrem ao redor do mundo, nova tempestade de ataques cibernéticos começa a se formar

Não há nada que tenha nos preparado para o impacto que sofreremos conforme empresas, comércios e negócios, em geral, começam a reabrir agora que a pandemia do novo coronavírus adentra sua nova fase.

No contexto das soluções cloud, por exemplo, as disrupções provocadas pelo COVID-19 abrem as portas para outro tipo de vírus: as ameaças à segurança cibernética. Hoje, estamos testemunhando um aumento vertiginoso da atividade cibercriminosa que se aproveita do caos criado pela pandemia, evoluindo em agilidade e proporção nunca antes vistas.

Se por um lado as preocupações sobre a recuperação econômica e uma potencial segunda onda de infecção continuam tirando o sono da população da maioria dos países, por outro, a preocupação de muitas empresas inclui, também, as ameaças de segurança cibernética, que podem facilmente levar a uma ruptura antes mesmo de elas terem a chance de tentar retornar à normalidade.

Isso porque uma violação da segurança cibernética pode rapidamente significar o fim de muitas empresas que já lutam para sobreviver diante dos desafios enfrentados durante o isolamento social. Afinal, os ataques, há um bom tempo, já deixaram de mirar apenas em multinacionais ou grandes empresas. Os pequenos negócios também têm sofrido com a violação de dados por meio de ataques de engenharia social e phishing, por exemplo.

À medida que as empresas navegam por esse “novo normal”, é imprescindível abordar os pontos fracos de suas estratégias de TI e considerar a implementação de um plano preventivo, para evitar danos a longo prazo. Mais do que isso: é preciso pensar pelo viés dessa nova mentalidade imposta pelo COVID-19, que deve deixar sua marca por um bom tempo.

Novas condições de trabalho expõem lacunas nas estratégias de cibersegurança

O trabalho remoto se espalhou rapidamente por toda parte, tornando os departamentos de TI justificadamente cautelosos e até assustados, à medida que seus usuários trabalham em novos ambientes com novas ferramentas, incluindo:

• Videoconferências
• Compartilhamento de arquivos
• Áreas de trabalho virtuais
• Chats em grupo
• VPN
• Plataformas de colaboração
• Aplicativos e ferramentas online

O uso incorreto desses recursos pode criar novas e valiosas oportunidades para os cibercriminosos à espreita. Um certificado perdido, uma autorização que não deveria ser concedida, gerenciamento equivocado de privacidade, falta de treinamento dos usuários para o uso de algumas dessas ferramentas ou, simplesmente, uma atualização que não foi feita – tudo isso é ouro nas mãos de quem está à espera de que surja qualquer vulnerabilidade para atacar.

E se até mesmo as empresas cujas estratégias de TI poderiam ser consideradas exemplares lutam para se adaptar à nova realidade do home office, quem nunca se preocupou efetivamente com cibersegurança está à mercê da inevitabilidade de um ataque.

Incidentes de segurança devem continuar crescendo – em tamanho e velocidade

Especialistas já preveem que o ritmo dos principais incidentes de segurança continuará a crescer no futuro próximo, bem como a gravidade do seu impacto.

Embora não seja incomum, o aumento na frequência de ransomwares, falhas e exploits pode ser um prenúncio do que está por vir. O mês de maio, por exemplo, testemunhou um número impressionante de relatórios de violação de segurança:

• Uma violação significativa de dados na companhia aérea britânica EasyJet levou à perda de informações de mais de nove milhões de clientes para hackers "altamente sofisticados", incluindo detalhes de cartão de crédito de mais de 2.000 clientes;
• O FBI emitiu um aviso sobre uma campanha de escaneamento de cartão de crédito que tira proveito de um plugin na plataforma de comércio eletrônico Magento, amplamente utilizada ao redor do mundo. Até 1.700 negócios podem ter sido afetados;
• O Bank of America relatou o vazamento de dados de seu aplicativo em um servidor de teste associado a soluções de empréstimos do PPP (Paycheck Protection Program);
• Relatórios do setor industrial indicaram componentes pouco seguros de armazenamento em nuvem, bem como dificuldades de segurança em soluções cloud cada vez mais complicadas;
• Um relatório focado em pequenas empresas (SMB) mostrou como elas estão enfrentando o mesmo espectro de ameaças de segurança e previsibilidade de ataque que as grandes empresas. Notícias que vão desde vulnerabilidades de controle remoto em dispositivos de armazenamento conectados à rede (NAS – Network-Attached Storage) a infecções emergentes por ransomware amplificam essas preocupações, com metade de todos os ataques cibernéticos sendo direcionados a pequenas empresas.

Uma era de fraudes

A incerteza, particularmente nos primeiros dias da pandemia, resultou em uma inevitável sobrecarga de informações.

E, infelizmente, com muita informação disponível, e muita gente buscando informação, existe, paradoxalmente, uma abertura perigosa para a desinformação – o campo de batalha ideal para hackers explorarem golpes digitais, especialmente phishing, se valendo de temas como:

• Atualizações sobre o COVID-19 e “informações oficiais de saúde”;
• Desemprego;
• Renegociação de dívidas e/ou fundos de investimento;
• Oferta de empréstimo para empresas governamentais;
• Doações;
• “Comunicados oficiais” de entidades como a OMS ou instituições de saúde nacionais e internacionais.

Emocional e financeiramente fragilizados, nos tornamos mais suscetíveis a esses golpes, realizados via e-mail, domínios falsos, mensagens de aplicativos, dentre outros meios.

Tempos incertos produzem ameaças organizacionais

O fantasma dos ciberataques é uma assombração constante, mas, em tempos de incerteza, o caos aumenta exponencialmente.

Como este último trimestre tem evidenciado, cibercriminosos não medem esforços para escalar ataques diversos. Nas empresas, o grande risco é a engenharia social, onde hackers enviam mensagens falsas, se passando por um colaborador, na esperança de induzir os demais colaboradores a liberarem informações confidenciais, alterar indevidamente informações de roteamento ou instalar softwares maliciosos nos dispositivos de trabalho.

Se por um lado a inovação tem reinventado as dinâmicas de trabalho, por outro, nunca antes cibercriminosos tiveram tantas oportunidades em mãos.

Mesmo quando passar a pandemia, seus impactos vão perdurar. As empresas não podem se dar ao luxo de postergar ainda mais suas estratégias de cibersegurança neste mundo onde qualquer recurso pode servir como fonte de ataque.

Já passou da hora de pedir ajuda a especialistas.

Nas redes da Compugraf, nossos profissionais de cibersegurança compartilham os principais alertas e planos de prevenção para sua empresa. Acompanhe nosso conteúdo!

As principais notícias da semana

O que você vai ler hoje:

• Campanhas criminosas explorando a COVID-19 podem voltar em breve
• Ataques de ransomware têm nova vítima: as indústrias
• Extensões nocivas do Google são removidas por coleta não-autorizada de dados
• 32 milhões de usuários do Chrome são vítimas de campanha de spyware

Campanhas criminosas explorando a COVID-19 podem voltar

A pandemia do COVID-19 provocou um aumento considerável nos ataques cibernéticos em todo o mundo, especialmente aqueles envolvendo phishing. Porém, um novo relatório da Microsoft revelou alguns detalhes surpreendentes sobre o aumento da atividade criminosa online.

De acordo com ele, na primeira semana de Março, o volume de ataques aumentou para quase um milhão por dia. Curiosamente, diminuíram de forma igualmente veloz. Na semana seguinte, já haviam caído para cerca de 30%.

À medida que o calendário avançava para abril, os ataques cibernéticos que já estavam abaixo de 100.000 por dia.

Porém, não vamos nos acomodar. À medida que governos continuam a pressionar a trégua na quarentena, e o número de infecções aumenta, aumenta também a probabilidade de que as ameaças cibernéticas do COVID-19 voltem com força total.

Fonte: Forbes

Ataques de ransomware miram em novas vítimas: as indústrias

Recentemente, cibercriminosos descobriram que cercar dados roubados é muito mais trabalhoso do que mantê-los reféns. E essa descoberta promete gastos ainda maiores com despesas para recuperação desses dados.

O pagamento médio por resgate de ransomware aumentou 33% no quarto trimestre de 2019, passando para cerca de 112 mil dólares. Mas o custo real é o impacto nos negócios, como perda de receita ou produtividade dos funcionários ou o impacto nos serviços públicos, uma vez que o tempo de inatividade médio dos negócios devido a um ataque de ransomware é de 15 dias.

Mas, conforme os desenvolvimentos da conectividade em rede penetram cada vez mais fundo nas organizações, conectando um grupo crescente de sistemas industriais, as operações industriais automatizadas se tornam um alvo muito valioso para os hackers, e muito mais dispendioso para seus executivos.

Afinal, roubar um monte de dados é uma coisa, mas desligar uma organização inteira, bem como seus sistemas de produção hiper-conectados, é outra.

Manter reféns os sistemas industriais e de manufatura é uma ameaça cibernética crescente, que certamente chamará atenção de hackers, diretoria e CEO por uma razão importante: dói rápido.

Esse novo refém mudará completamente o jogo, uma vez que significa que os hackers estão desenvolvendo estratégias cada vez mais ambiciosas e mirando em organizações – como foi o caso da Honda – que simplesmente não podem se dar ao luxo de ter parte de sua rede comprometida, pois isso pode comprometer uma indústria inteira.

Além disso, introduz novos e assustadores riscos se os processos industriais envolverem ambientes ou materiais perigosos ou voláteis.

Fonte: Forbes

106 extensões nocivas do Google são removidas por coleta não-autorizada de dados

O Google removeu, esta semana, 106 extensões maliciosas do Chrome que coletavam dados confidenciais do usuário sem autorização.

Essas 106 extensões fazem parte de um lote de 111 extensões do Chrome identificadas como maliciosas em um relatório publicado no dia 18 de junho de 2020 pela empresa de segurança cibernética Awake Security.

De acordo com as informações divulgadas pelo relatório, as extensões continham código para ignorar as verificações de segurança da Chrome Web Store, fazer capturas de tela, ler a área de transferência do usuário, coletar cookies de autenticação ou reconhecer pressionamentos de tecla do usuário para obter informações como senhas, por exemplo.

Conforme os protocolos de segurança padrão, o Google desativou as extensões do Chrome no navegador de seus usuários. As extensões ainda aparecem instaladas, mas são marcadas como "malware" na seção de extensão do navegador Chrome e não funcionam mais.

Os usuários também são aconselhados a visitar a página chrome://extensions e verificar se instalaram alguma das extensões maliciosas e removê-las de seus navegadores.

A lista completa com as 111 extensões maliciosas divulgadas pela Awake está disponível aqui.

Fonte: ZDnet

Mas não para por aí: nova campanha de malware usando essas extensões maliciosas afetam 32 milhões de usuários do Chrome

Os 2 bilhões de usuários do Google Chrome foram atingidos por uma nova ameaça: uma operação maciça de spyware que secretamente realizou um ataque por meio de 32 milhões de downloads das extensões maliciosas reportadas acima.

Apesar da prontidão com que o Google desativou e removeu tais extensões de sua loja no Chrome, o susto não vai passar tão cedo.

Spyware é um tipo furtivo de malware que monitora sua atividade e rouba informações confidenciais, como senhas, após a infiltração no dispositivo. Esta é uma das maiores campanhas do tipo de que se tem registro, com base no número de downloads das extensões.

Mas não é a primeira vez que um ataque do tipo acontece. O Google foi vítima de várias outras campanhas direcionadas ao navegador Chrome. Em fevereiro, os pesquisadores da Duo Security descobriram que 500 extensões, baixadas milhões de vezes, carregavam informações de navegação privada em servidores controlados por invasores, que redirecionavam as vítimas para sites com malware.

Em comunicado oficial, a gigante da tecnologia afirma: “fazemos varreduras regulares para encontrar extensões usando técnicas, códigos e comportamentos suspeitos, e removemos essas extensões se violam nossas políticas".

Naturalmente, é muito difícil se manter a par de todos os estratagemas maliciosos que se desdobram utilizando seus recursos. Por isso, os usuários não devem contar só com os protocolos de segurança do Google, e também devem prestar especial atenção ao que instalam em seus navegadores.

Fonte: Forbes

Continue bem informado: nas redes da Compugraf, nossos especialistas em segurança alertam para os principais riscos corridos em diferentes plataformas e dispositivos, e como preveni-los. Acompanhe!

FaceApp não atende à maioria das prerrogativas da LGPD, mas mesmo assim o app está entre os mais baixados (de novo)

O aplicativo que bombou em 2019, com um recurso que fazia as pessoas “envelhecerem” nas fotos, está de volta, agora transformando o gênero de seus usuários e requentando uma discussão antiga a respeito da segurança dos dados compartilhados com o app.

À época, surgiram preocupações de que o FaceApp, uma startup teoricamente russa, mas que hoje tem sede declarada nos Estados Unidos, faria o upload das fotos dos usuários na nuvem, sem deixar claro para eles que o processamento não está acontecendo localmente no dispositivo.

Outro problema levantado pelos usuários do FaceApp foi que o aplicativo iOS parecia substituir as configurações se um usuário negasse o acesso ao rolo da câmera – ou seja, apesar do aplicativo não ter permissão para acessar suas fotos, ele acessava mesmo assim.

Conforme ia ganhando popularidade, muito se discutiu se o app seria uma forma de coletar dados faciais para sistemas de reconhecimento e vigilância ostensiva, espionagem russa ou algo mais dramático.

Porém, um depoimento de 2019 do analista sênior de segurança da Kapersky, Fabio Assolini, assegura que o aplicativo em si não tem nada de malicioso, uma vez que a selfie do usuário é enviada aos servidores do app para modificação e mandada de volta ao celular dele com o resultado pronto, sem quaisquer desvios nesse processo.

Por outro lado, isso não significa que o FaceApp esteja isento de problemas em relação à privacidade, especialmente no atual contexto da LGPD.

O real problema do FaceApp não tem tanto a ver com os rostos das pessoas

O X da questão está nos termos de uso do aplicativo, que cita coleta de dados e o compartilhamento dessas informações para fins de publicidade, sem especificar como e deixando as informações suficientemente em aberto para que não sejam facilmente compreendidas.

Na verdade, as políticas de privacidade do FaceApp comunica que não apenas as fotos produzidas são coletadas para fins de melhoria dos algoritmos de IA, mas também informações sobre os próprios usuários.

“Esses dados estão armazenados em servidores de terceiros, e que também podem ser roubados por cibercriminosos e utilizados para a falsificação de identidades”, alerta Assolini, da Kapersky.

O software inclui em seu conjunto de compartilhamento a localização do usuário, o celular usado para acessar o aplicativo, dados de navegação – como histórico, plugins e cookies a partir dos browsers instalados – e quaisquer outras informações pessoais que o FaceApp julgue relevantes para seus parceiros.

Além disso, comunica que, adquirindo o aplicativo, o usuário concede ao FaceApp uma “licença perpétua, irrevogável e não exclusiva” para utilização das informações coletadas.

Finalmente, se reserva o direito de burlar as legislações a respeito da proteção de dados pessoais, podendo transferir as informações dos usuários a servidores em países onde essas legislações não vigoram.

De acordo com o texto dos Termos de Uso do FaceApp:

“Se você estiver na União Europeia ou em outras regiões com leis que regem a coleta e uso de dados que possam diferir da legislação dos EUA, por favor note que podemos transferir informações, incluindo informações pessoais, para um país e jurisdição que não tenha a mesma proteção de dados.”

O que a LGPD diz?

Um dos princípios da lei determina que “todo e qualquer tratamento de dados pessoais deve ter um fim específico, explícito e claramente informado a seu titular”.

Ela também é categórica a respeito da transparência no tratamento desses dados.

Portanto, de cara, esses pontos levantados a respeito da forma como o FaceApp lida com o dado de seus usuários, no mínimo, vai contra metade dos princípios da Lei Geral de Proteção de Dados.

O FaceApp está dentro da lei?

Para determinar se o app estaria dentro da lei, nós analisamos quais princípios da LGPD o aplicativo cumpre.

• Adequação: Todos os dados pessoais devem estar de acordo com a finalidade informada. A razão pela qual a coleta será feita deve ter relação com o tipo de dado solicitado. – NÃO CUMPRE
• Necessidade: Deve-se utilizar os dados estritamente para alcançar as necessidades apresentadas pela empresa. Qualquer desvio de conduta será punido. – NÃO CUMPRE
• Livre-acesso: Toda e qualquer pessoa física tem o direito de consultar, junto à organização, de forma simplificada e gratuita, todos os dados dos quais seja titular e que tenham sido coletados por dita organização. O que foi e o que será feito com esses dados, bem como por quanto tempo eles serão tratados, deve ser explicitado ao titular. – NÃO CUMPRE
• Qualidade dos Dados: Garante, aos titulares dos dados, a exatidão, a clareza, a relevância e a atualização constante dos dados, de acordo com a necessidade da organização e para o cumprimento da finalidade de seu tratamento, previamente informada ao titular. – NÃO CUMPRE
• Transparência: Os titulares dos dados têm direito a informações claras, precisas e facilmente acessíveis quanto aos responsáveis pelo tratamento de dados e à realização do tratamento de dados, observados os segredos comercial e industrial – isto é, respeitando as informações que as organizações mantêm como confidenciais junto às legislações pertinentes. – NÃO CUMPRE
• Segurança: É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais. Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer. – CUMPRE, EM PARTES
• Prevenção: As organizações devem tomar precauções para evitar danos em virtude do tratamento de dados, ou seja, impedir seu vazamento ou que sejam utilizados para fins que possam prejudicar seus titulares. – CUMPRE, EM PARTES
• Não-Discriminação: De acordo com a lei, fica proibida a utilização de dados pessoais para discriminar ou promover qualquer forma de abuso contra seus titulares. Este princípio trata sobre dados pessoais sensíveis, como origem racial, étnica, religião, posicionamento político, saúde e similares. – CUMPRE
• Responsabilidade e Prestação de Contas: As organizações devem comprovar que estão seguindo todas as prerrogativas da LGPD, a fim de demonstrar boa-fé e diligência. – NÃO CUMPRE

Veredito: o FaceApp não seria considerado seguro conforme as prerrogativas da LGPD.

Não só isso, a ideia de conceção de uma “licença irrevogável” se opõe à base legal de que um usuário teria o direito de revogar seu consentimento e solicitar o apagamento de seus dados do banco do aplicativo quando quiser.

Nas palavras da lei: “toda a informação coletada deve ser fornecida livremente pelos titulares, estando estes livres para escolher entre permitir ou negar a coleta de dados e solicitar sua exclusão da base de dados da organização quando conveniente”.

E aí? Posso usar o FaceApp?

Os usuários são livres para entrar na brincadeira, mas devem estar atentos sobre a forma como o app lida com seus dados e tomar decisões conscientes a respeito de seu uso. Também reiteramos a importância da leitura dos termos de privacidade de todos os apps para entender quais informações são solicitadas.

A recomendação geral é que você evite utilizar qualquer aplicativo que não assegura a proteção dos seus dados pessoais. Mas, se não tiver jeito, pelo menos cuide para que seu dispositivo esteja protegido ao máximo contra potenciais invasores.

Nas redes da Compugraf, nossos especialistas em cibersegurança compartilham dicas de como proteger seu celular contra agentes mal-intencionados. Siga-nos e garanta sua proteção!

FaceApp pode estar (de novo) roubando seus dados: as principais notícias da semana

O que você vai ler hoje:

• Fábrica da Honda sofre com ataques de ransomware e tem parte de sua produção interrompida.
• Microsoft se livra de 129 bugs com atualizações de patch mais recentes.
• Google comenta sobre a evolução dos ciberataques que exploram o COVID-19.
• Ataques de ransomware desligam gigante cervejeira.
• 300 mil usuários da Nintendo foram hackeados.
• FaceApp está de volta – e o risco de você ter seus dados roubados, também.

Fábrica da Honda sofre com ataques de ransomware e tem parte de sua produção interrompida

A Honda Motor Co., gigante automobilística japonesa, suspendeu parte de sua produção de automóveis e motocicletas em todo o mundo, diante da suspeita de um ataque cibernético que afetou a produção da companhia globalmente na segunda-feira (dia 08 de junho), forçando algumas fábricas a interromperem suas operações, pois a empresa precisava garantir que seus sistemas de controle de qualidade não fossem comprometidos.

De acordo com um porta-voz, a Honda suspeita que o ransomware tenha atingido os servidores internos da empresa e está retomando as atividades aos poucos, nas unidades menos comprometidas.

Fonte: Reuters

Microsoft se livra de 129 bugs com atualizações de patch mais recentes

Uma série de CVEs (Common Vulnerabilities Exposure), normalmente identificadas por bugs, vinha preocupando usuários de Windows ao redor do mundo. As vulnerabilidades são falhas de execução remota de código, que permitem que os invasores executem um código próprio – e nocivo – nos sistemas das vítimas.

Mas, na semana passada, a Microsoft anunciou seu mais recente Patch Tuesday – uma espécie de “evento” online marcado pelo lançamento de uma série de patches para a correção dessas vulnerabilidades. Os patches corrigem 129 bugs e podem ser encontrados no Security Update Guide da empresa.

Fonte: Microsoft

Google: como os ataques de phishing e malware estão evoluindo, e o que a empresa faz para combatê-los

Cibercriminosos estão adaptando os ataques de phishing e malware relacionados ao coronavírus para torná-los mais eficazes. Como o Google Cloud detalhou em maio deste ano, países como o Reino Unido, a Índia e o Brasil testemunharam um aumento nas campanhas de malware, phishing e spam que usam o COVID-19 como isca, e as estratégias exploram desde e-mails a sites falsos com supostas informações sobre o vírus.

A líder de segurança do G Suite e do Google Cloud Platform, porém, informa que a segurança do Google é equipada para proteger as contas de seus usuários contra mensagens recebidas de domínios que parecem maliciosos, bem como impedir que centenas de milhões de mensagens maliciosas sejam enviadas via Gmail e outros produtos do Google Cloud. Isso faz parte do que a empresa descreve como uma estratégia de "segurança padrão", que analisa anexos, links, imagens externas, dentre outras fontes normalmente utilizadas pelos criminosos.

A gigante de tecnologia declara, ainda, que a grande maioria das ameaças é detectada e interrompida antes de chegar aos usuários. Contudo, devido ao volume de tentativas de ataque – e a forma como eles estão constantemente evoluindo para evitar a detecção -, inevitavelmente, alguns ainda podem passar despercebidos pela segurança do Google.

Fonte: ZDnet

Ataque de ransomware desliga gigante cervejeira

Governos ao redor do mundo estão, lentamente, começando a flexibilizar suas estratégias de isolamento. Porém, cibercriminosos parecem estar fazendo o possível para garantir que o processo não corra bem.

Essa é a dura realidade que a maior cervejaria da Austrália está enfrentando esta semana. Se por um lado o país facilitou as restrições impostas a restaurantes e bares, otimistas de que a incidência do COVID-19 está diminuindo, por outro um ataque de ransomware interrompeu as operações da Lion, a gigante cervejeira, no dia 12/06.

Como a maioria dos fabricantes de cerveja em larga escala, os processos da Lion são fortemente informatizados. Em depoimento oficial, a empresa declarou que “as equipes de TI e consultores especializados em cibersegurança continuaram trabalhando durante o fim de semana para investigar esse incidente, trabalhando para colocar os sistemas online de volta com segurança. Fizemos progresso, mas ainda há um bom caminho a percorrer antes que possamos retomar nossas operações normais de fabricação e atendimento ao cliente.”

Mas a multibilionária cervejeira certamente não está sozinha. Os ataques cibernéticos aumentaram em mais de 400% desde os primeiros dias da pandemia. E qualquer um pode se tornar um alvo.

Fonte: Forbes

300.000 usuários da Nintendo foram hackeados

Em 21 de abril, surgiu o primeiro aviso de que as contas do Nintendo Switch estavam sendo invadidas. Três dias depois, a Nintendo confirmou que 160 mil contas da Nintendo Network ID haviam sido comprometidas por meio de "logins não autorizados".

Mas, agora, feitas algumas investigações, a Nintendo anuncia que o número real de jogadores que podem ter suas contas acessadas ilegalmente não é 160 mil, e sim 300 mil. Isto é, 300 mil contas da Nintendo foram hackeadas, conforme atualização divulgada no dia 12 de junho de 2020.

Em depoimento oficial, a Nintendo diz que "durante a investigação, para impedir novas tentativas de logins não autorizados, não revelaremos mais informações sobre os métodos empregados para obter acesso não-autorizado. Pedimos desculpas pelos inconvenientes e preocupações causados aos nossos clientes e continuaremos trabalhando duro para salvaguardar a segurança dos dados de nossos usuários ".

Fonte: Forbes

O retorno do FaceApp: seus dados estão sendo roubados (de novo)?

O aplicativo bombou em 2019 com um recurso que fazia as pessoas “envelhecerem” nas fotos. Agora, está de volta, transformando o gênero de seus usuários e requentando uma discussão antiga: o app está roubando seus dados?

Especialistas em segurança avaliaram, no ano passado, que a política de privacidade do FaceApp é extremamente vaga e não fornece informações de como realmente os dados do usuário são utilizados. Já em sua declaração de Políticas de Privacidade, o aplicativo admite que pode coletar qualquer tipo de informação que julgar conveniente, sem especificar quais dados ou de que forma serão trabalhados. O app ainda se resguarda o direito de contornar leis de proteção de dados de determinadas regiões, transferindo os dados dos usuários para países onde essa legislação não existe.

Logo, embora não haja uma resposta clara para a dúvida, também não é possível afirmar que o app é 100% seguro. O recomendado é buscar o máximo de informações possível antes de utilizar seus recursos e tomar uma decisão consciente, ainda que potencialmente perigosa.

Fonte: TechTudo

Nas redes da Compugraf, nossos especialistas em segurança compartilham informações e dicas importantes para proteger seus dispositivos. Acompanhe!

Pesquisadores revelam uma rede de fraudes na Play Store

Um novo relatório alerta sobre aplicativos fraudulentos e nocivos entrando na Play Store, do Google, e atraindo dezenas de milhões de usuários desavisados, enquanto geram retornos lucrativos para seus operadores.

Desta vez, porém, há uma reviravolta importante: pesquisadores de cibersegurança tiveram acesso ao panorama dessas fábricas de fraude, que resultam em um jogo de de gato e rato entre a gigante da tecnologia e grupos de criminosos em sua loja de aplicativos.

O Google é seguro?

As iniciativas do Google para melhorar a segurança da Play Store são bem direcionadas. A loja conta com o Play Protect e seu acelerador da App Defense Alliance, usa triagem de IA para abusos de permissão e o programa de proteção avançada para aqueles que estão mais em risco.

Mas, apesar de tudo isso, volumes impressionantes de malware ainda penetram na rede.

No início deste mês, a Upstream, empresa de tecnologia mobile, alertou que a Play Store não era mais tão segura: no primeiro trimestre de 2020, disseram os pesquisadores, o número de aplicativos maliciosos para Android dobrou ano após ano, com um crescimento nas transações fraudulentas em 55%.

De acordo com a Upstream, 98.000 aplicativos maliciosos infectaram 43.000 dispositivos no ano passado.

É difícil acreditar nesses números, até que você leia relatórios como os da Equipe de Pesquisa e Inteligência sobre Ameaças da White Ops, empresa de cibersegurança.

O relatório Beauty and the (fraud) Beast foi divulgado no dia 9 de junho e traz uma revelação assustadora sobre um programa sistemático de fraude, projetado especificamente para derrotar as defesas da Play Store, infectando usuários do Android em grande escala. A equipe afirma que suas descobertas “oferecem um ótimo estudo de caso sobre desenvolvimento, publicação, adaptação e eliminação de fraudes para uso futuro”.

A engenharia da fraude nos aplicativos

Os 38 aplicativos identificados e divulgados pela White Ops foram baixados e instalados mais de 20 milhões de vezes por usuários de Android.

As ameaças não são novas, porém: os apps veiculam anúncios fraudulentos para gerar receita de visualização e clique para seus operadores, bem como visitas automatizadas a sites específicos sem nenhum clique do usuário, removendo ícones para dificultar a exclusão e prolongar a vida útil fraudulenta de cada aplicativo em um dispositivo específico.

Todos eles aplicativos já foram removidos da Play Store. Os operadores sabiam que a intenção maliciosa desses aplicativos seria descoberta e removida. E, assim, o plano deles era lançar um aplicativo após o outro, constantemente, em uma estratégia virulenta.

“Desde que o primeiro aplicativo foi publicado [em janeiro de 2019]”, diz a White Ops, “os fraudadores lançavam um novo aplicativo a cada 11 dias, em média. E, em média, esses aplicativos eram retirados da Play Store 17 dias depois. ”

O Google confirmou que estava ciente dessas descobertas e que os aplicativos foram removidos, mas não tiveram comentários adicionais a respeito da fábrica de fraude.

“Esses aplicativos não fornecem funcionalidade real”, disse White Ops, “pois eles removem seus ícones da tela inicial, o que os torna quase impossíveis de serem acessados pelo usuário. Portanto, esses aplicativos provavelmente foram projetados e criados exclusivamente para fraude.”

Apesar da vida útil relativamente curta de cada aplicativo na Play Store, o número médio de instalações para cada um era superior a 500 mil.

“O fraudador provavelmente desenvolveu um mecanismo mais robusto para evitar a detecção e remoção dos apps. Um lote de 15 aplicativos, todos publicados após setembro de 2019, teve uma taxa de remoção bem mais reduzida graças a essas novas técnicas. ”

A equipe da White Ops também notou uma nova reviravolta com dois dos aplicativos mais recentes: os apps entraram na loja com código anti-fraude ativo, em novembro, e foram atualizados um mês depois, com o código removido.

O relatório sugere que isso “pode ser uma tentativa de testar se o código foi o catalisador do alerta sobre os aplicativos anteriores, que estão sendo removidos da Play Store. Os fraudadores podem estar tentando identificar exatamente quais critérios estão sendo usados ​​pela Play Store como justificativa para a remoção de seus aplicativos anteriores.”

Como se proteger?

Além do código, outra estratégia sofisticada inclui a criação de novos editores para cada aplicativo, a fim de mascarar links e a rede interconectada de fraudadores.

Essas redes de editores falsos foram alvo de um exame específico do Google nos últimos meses. Claramente, para as operadoras de segurança, é fácil investigar e depois banir o catálogo inteiro de um editor, mas é difícil rastrear uma rede.

Embora existam sinalizadores de conexão entre os editores de determinados aplicativos, especialmente porque suas configurações são automatizadas, geralmente se trata de mapear amostras de malware comuns a todos os aplicativos.

Uma lista dos aplicativos fraudulentos está incluída abaixo. Todos eles são considerados “aplicativos de beleza”, que incluem recursos para melhoramento de selfies, filtros, etc.

A White Ops recomenda que os usuários de Android excluam qualquer um desses aplicativos de seus dispositivos usando o gerenciador de aplicativos.

Além disso, é sempre importante lembrar de verificar quaisquer recursos suspeitos nos aplicativos baixados e, se possível, averiguar sua integridade, buscando reviews de usuários na internet ou notícias de fontes confiáveis.

Tenha cuidado com o que você baixa. Confira os comentários na própria Play Store. Se houver reclamações sobre o volume de anúncios, NÃO instale esse aplicativo. Da mesma forma, se os reviews parecerem automatizados, como se publicados por bots fique longe.

Seu dispositivo é a porta de entrada para o seu mundo digital. Não abra mão das chaves.

Nas redes da Compugraf, estamos compartilhando diversos conteúdos informativos, produzidos por nosso especialistas em cibersegurança, a fim de assegurar a proteção em ambientes mobile.

Confira e compartilhe para espalhar informação!

Enquanto os colaboradores tendem a seguir as regras de segurança determinadas pelas empresas, muitos executivos, que ocupam cargos mais altos, solicitam protocolos mais flexíveis de segurança móvel

As novas pesquisas divulgadas recentemente pela plataforma californiana MobileIron nos mostram que os C-levels são o grupo mais provável, dentro de uma organização, a solicitar protocolos mais flexíveis de segurança móvel.

Contudo, esse grupo também é o alvo mais provável de ataques cibernéticos maliciosos, devido à sua posição hierárquica nas empresas.

O estudo intitulado Trouble at the Top combinou pesquisas de centenas de tomadores de decisão ao longo de Fevereiro e Março de 2020. As respostas variam entre profissionais de TI e C-levels e se concentram em pólos influentes da Europa e Estados Unidos.

De acordo com o relatório:

“As descobertas desse estudo revelaram que empresas de todo o mundo estão enfrentando problemas nos escalões mais altos quando se trata de segurança em dispositivos móveis.

A falta das ferramentas certas para que os funcionários sejam produtivos enquanto se mantêm seguros é apontada como a principal agravante dos riscos. Por outro lado, o estudo também revelou que membros do nível executivo – C-suite, ou C-levels – tendem a ignorar os protocolos de segurança móvel de suas organizações, colocando as empresas em todo o mundo em risco significativo de violação de dados e destacando a necessidade de novas soluções que assegurem a proteção de todos”.

E os dados preocupam.

Mais da metade dos C-level ignoram diretrizes de cibersegurança

O estudo mostrou que mais de dois terços (68%) dos executivos C-level – que incluem cargos como CEO, CTO, CIO, CCO, CMO, dentre outros – disseram que a segurança estabelecida pelo departamento de TI compromete sua privacidade pessoal.

Mais de três em cada cinco (62%) disseram que a segurança limita a usabilidade do seu dispositivo. Quase três em cada cinco (58%) afirmaram que os processos de segurança de TI são muito complexos, e que, por isso, nem tentam entendê-la.

Além disso, mais de três em cada quatro (76%) executivos C-level admitiram ignorar um ou mais protocolos de segurança de sua organização no ano passado. Desses, 47% solicitaram acesso à rede por um dispositivo não autorizado, 45% ignoraram a autenticação multifator (MFA) e 37% solicitaram acesso a dados corporativos em um aplicativo não-autorizado.

Esses casos não são pontuais. Um em cada seis (16%) executivos ignorou um dos protocolos de segurança da organização pelo menos cinco vezes e 14% fez a mesma solicitação entre 4 a 5 vezes ao longo do ano passado.

Mas C-levels são os mais vulneráveis a ciberataques

Paralelamente, o estudo também revelou que executivos C-level são altamente vulneráveis a ataques cibernéticos.

Quase quatro em cada cinco (78%) dos tomadores de decisão do setor de TI entrevistados pelo estudo declararam que os C-levels são o grupo que mais corre risco de ser alvo de ataques de phishing, e 71% afirmaram que a probabilidade de que eles de fato caiam em tais golpes, se tornando vítima dos ataques, também é alta.

Quase três em cada quatro (72%) tomadores de decisão de TI também alegaram que os C-levels são o grupo mais propenso a esquecer ou precisar de ajuda para redefinir suas senhas.

Brian Foster, vice-presidente sênior de produtos da MobileIron, alerta:

"Essas descobertas são preocupantes, porque todas as isenções dos C-levels aos protocolos de segurança aumentam drasticamente o risco de violação de dados.

O acesso a dados corporativos em um dispositivo ou aplicativo pessoal retira os dados do ambiente protegido, deixando expostas informações comerciais críticas para que usuários mal-intencionados se beneficiem e provoquem danos inestimáveis às corporações.”

É como se alguém fechasse e trancasse uma porta e outra pessoa fosse lá e destrancasse, embora a mantivesse fechada: ao tentar flexibilizar os protocolos de segurança, colaboradores facilitam o acesso a dados e arquivos sensíveis, que potencialmente custarão milhões aos seus negócios, caso sejam vítimas de abordagens como o phishing e a engenharia social.

É necessário mudar o mindset também no que diz respeito à cibersegurança. Protocolos de prevenção e combate a ciberataques não podem ser vistos como opcionais pelas pessoas que tomam as principais decisões sobre seus negócios.

Como proteger as pessoas, para que elas protejam a empresa

Ataques cibernéticos mais sofisticados são direcionados principalmente a colaboradores, porque são o elo mais fraco da cadeia de segurança digital. Especialmente os de alto escalão.

Aliás, de acordo com dados da IBM, 24% das violações de segurança podem ser atribuídas a erros humanos.

Nesse sentido, as principais ameaças são a engenharia social e o phishing, que pode levar os colaboradores a entregar informações confidenciais da empresa. O hacker geralmente entra em contato com os funcionários por e-mail, fingindo ser uma fonte confiável, como um banco ou mesmo um colega de trabalho, e aí, como maioria dos colaboradores não tem conhecimento para se defender desses ataques, podem acabar escancarando as portas para um invasor fazer o estrago que desejar na empresa.

Fazer sessões de treinamento em cibersegurança regularmente e, sobretudo, continuamente – por exemplo, uma vez por ano ou uma vez a cada seis meses – garante que os colaboradores estejam cientes das ameaças em constante evolução e de como elas podem ser evitadas.

E isso precisa vir de cima para baixo. Por muito tempo, acreditou-se que a segurança cibernética era território exclusivo das equipes de TI, mas hoje, tratando-se de uma questão crítica para os negócios, toda a diretoria, executivos e conselhos de administração devem liderar pelo exemplo, promovendo e praticando uma mentalidade de segurança em primeiro lugar.

Nas redes da Compugraf, nossos especialistas em segurança atentam para os principais pontos de vulnerabilidade nas empresas, bem como as soluções para protegê-los.

Confira e compartilhe com seu time!