Phishing, fake pages e e-mails do chefe: como os criminosos estão roubando criptomoedas
Cibercriminosos estão explorando diferentes meios para manipular vítimas a enviarem criptomoedas. Phishing e roubo de identidade são os principais
Cibercriminosos estão enviando milhões de e-mails de phishing por dia, com o intuito de roubar Bitcoin e outras criptomoedas de investidores.
Os ataques usam uma variedade de técnicas para induzir as vítimas a transferir altas quantias de Bitcoin, incluindo solicitações falsas de doações à caridade e fraudes de comprometimento de e-mail corporativo (BEC).
De acordo com um relatório publicado pelos pesquisadores de segurança cibernética da Proofpoint, é bloqueado uma média de um milhão de e-mails de extorsão todos os dias, com alguns dias chegando a quase dois milhões de e-mails bloqueados. Os pesquisadores dizem que a maioria desses e-mails de phishing e BECs pedem que a vítima faça pagamentos em criptomoeda, variando, apenas, a razão desse pagamento.
“Ameaças criminais cibernéticas a investidores de criptomoeda não são novidade; no entanto, à medida que o público em geral experimenta uma crescente adesão às criptomoedas, mais propensas elas estão a serem vítimas de ataques de engenharia social, phishing, BECs, dentre outros”, disse um porta-voz da Proofpoint.
Ataques conhecidos são explorados para roubo de criptomoedas
Um ataque comum, por exemplo, é tentar roubar nomes de usuário e senhas.
Em 2022, a Proofpoint observou tentativas regulares de comprometer as carteiras de criptomoedas dos usuários usando coleta de credenciais. Esse método geralmente depende da entrega de uma URL maliciosa dentro de um corpo de e-mail ou de um objeto formatado, que redireciona para uma página falsa de roubo de credenciais.
Outro método muito comum é a extorsão simples. A vítima recebe um e-mail de um “hacker” que afirma ter obtido o controle de seu computador e de suas contas online, bem como a gravações de áudio e vídeos do usuário e seu histórico de navegação. O e-mail tenta chantagear a vítima, alegando que foram obtidas informações “vergonhosas” e que, a menos que o usuário envie 500 dólares em Bitcoin para o endereço de uma carteira de cripto, essas informações serão enviadas a toda a lista de contatos da vítima.
Na realidade, porém, é altamente improvável que haja algum malware na máquina da vítima. O que realmente aconteceu é que um invasor acabou de enviar e-mails de phishing para o maior número possível de usuários. Mas o choque e o medo de ver que alguém afirma ter o controle de seu PC muitas vezes é suficiente para induzir algumas vítimas a fazerem o pagamento.
Por outro lado, alguns ataques de phishing com o objetivo de roubar criptomoedas não são tão contundentes; em vez do medo, tentam explorar a empatia da vítima, enviando mensagens que afirmam gerar fundos para causas nobres, sobretudo no caso de tragédias ou, como acontece até hoje, associadas a alguma pandemia global, como a pandemia do novo coronavírus. Porém, os dados para transferência do dinheiro muito provavelmente levarão à carteira de algum cibercriminoso.
Comprometimento de e-mails visando setor financeiro das empresas se destaca em roubo de criptomoedas
Mais recentemente, solicitações de pagamentos em criptomoeda também estão aparecendo em ataques BEC – tipo de fraude em que os criminosos se apresentam como um colega de trabalho confiável, pedindo que uma grande quantia de dinheiro seja transferida para concluir um negócio importante e urgente. Os ataques podem parecer relativamente simples, mas o BEC é uma das formas mais lucrativas de crime cibernético – sobretudo quando miram colaboradores de grandes organizações.
No exemplo detalhado no relatório, um e-mail enviado por um criminoso e dirigido ao responsável pelo financeiro da empresa afirma que um pagamento urgente é necessário para firmar um acordo de aquisição de negócios. O assunto também é descrito como secreto, então a vítima é instada a não contar a ninguém sobre isso. O objetivo, claramente, é assegurar que a vítima não descubra que se trata de uma farsa.
Nesse caso, o e-mail solicita que pouco mais de 100.000 dólares sejam comprados em Bitcoin e transferidos para uma carteira que supostamente pertence à nova aquisição – mas, na verdade, pertence aos invasores.
Mesmo que a transação seja descoberta posteriormente, será tarde demais para a vítima, e a empresa terá perdido mais de meio milhão de reais, por exemplo.
A melhor maneira de se manter protegido contra ataques de phishing e BEC é se manter atento às técnicas mais usadas por criminosos cibernéticos e ser cauteloso com e-mails que pedem dinheiro, especialmente se eles estão solicitando que seja pago em criptomoeda.
Investir em soluções de segurança também é imprescindível para se manter protegido, sobretudo de ataques BEC. Conheça as soluções da Compugraf e saiba como podemos ajudar!
- Published in Noticias
Script malicioso para roubo de dados de cartão afeta e-commerces ao redor do mundo
Cibercriminosos estão usando arquivos de imagem que esconde um script PHP malicioso, a fim de manipular as páginas de checkout de e-commerces e roubar informações do cartão dos usuários, alerta a Microsoft
Skimmers é como são chamados os cibercriminosos que utilizam táticas para roubar informações de pagamento de usuários em e-commerces e outras plataformas de venda.
De acordo com a Microsoft, malwares de desvio de cartão estão usando cada vez mais scripts PHP maliciosos em servidores da web para manipular páginas de pagamento, a fim de contornar as defesas nativas do navegador, desencadeadas por códigos JavaScript.
Os pesquisadores da Microsoft também observaram uma mudança nas estratégias usadas pelos skimmers.
Ao longo da última década, a atividade foi dominada pelo Magecart, malware conhecido para este fim, que depende do código JavaScript para injetar scripts nas páginas de checkout e entregar uma carga que captura e rouba detalhes de cartões de débito ou crédito.
A injeção de JavaScript em processos de front-end foi “muito evidente”, observa a Microsoft, porque pode ter acionado proteções do navegador, como a Política de Segurança de Conteúdo (CSP), que impede o carregamento de scripts externos. Os criminosos, então, encontraram formas menos espalhafatosas, corrompendo os servidores da web com scripts PHP maliciosos.
Em novembro de 2021, a Microsoft encontrou dois arquivos de imagem maliciosos, incluindo um favicon de navegador falso, sendo carregados em um servidor hospedado no Magento. Magento é uma plataforma de e-commerce popular, utilizada em todo o mundo.
As imagens continham script PHP incorporado, que, por padrão, não é executado no servidor afetado. Em vez disso, o script PHP só é executado após confirmar, por meio de cookies, que o administrador da web não está conectado no momento, para segmentar apenas compradores – isto é, os alvos de ataque.
Como funciona o script malicioso para roubo de dados de cartão
Uma vez que o script PHP é executado, ele recupera a URL da página atual e procura por “checkout” e “one page“, duas palavras-chave que redirecionam para a página de checkout do Magneto.
“A inserção do script PHP em um arquivo de imagem é interessante porque, por padrão, o servidor web não executaria o código referido . Com base em ataques semelhantes, acreditamos que o invasor usou uma expressão PHP ‘include‘ para incluir o favicon (que contém o código PHP) na página de índice do site, para que seja carregado automaticamente a cada visita à página”, explicou a Microsoft.
Aumento no uso de PHP malicioso em malwares de skimming preocupa autoridades
O FBI alertou, em maio, sobre novos casos de invasores usando PHP malicioso para infectar as páginas de checkout de e-commerces dos EUA, com o objetivo de conseguir acesso remoto via backdoor ao servidor da web. Um relatório privado descobriu que 41% dos novos malwares de clonagem de cartão de crédito observados em 2021 estavam relacionados a skimmers PHP direcionados a servidores back-end.
No início de maio, a Malwarebytes informou que o Magecart Group 12 estava distribuindo um novo malware webshell, que carrega, de forma dinâmica, o código de skimming de JavaScript por meio de solicitações do servidor de lojas online.
“Esta técnica é interessante, pois a maioria das ferramentas de segurança do lado do cliente não será capaz de detectar ou bloquear o skimmer”, observou a Malwarebytes.
“Ao contrário de incidentes anteriores, em que uma imagem de favicon falsa foi usada para ocultar código JavaScript malicioso, neste caso se tratava de um webshell PHP”.
Mas o JavaScript malicioso continua a fazer parte das estratégias de skimming.
Por exemplo: a Microsoft encontrou exemplos de malware com base em JavaScript para spoofing do Google Analytics e do Meta Pixel (anteriormente Facebook Pixel), o que poderia induzir administradores de servidores de e-commerce a pensar que os scripts são benignos, uma vez que é comum no mercado a integração com ditas plataformas de anúncios e análise de dados.
Com a constante evolução tática dos cibercriminosos, é preciso pensar a segurança de forma estrutural.
Conheça as soluções da Compugraf e saiba como podemos ajudar a manter o seu negócio seguro!
- Published in Noticias
Engenharia Social: Como identificar sites falsos
Diversos sites podem ser utilizados para um ataque de engenharia social. Você sabe como identificar sites falsos?
Descubra quais características podem auxiliar na distinção de páginas plagiadas para fins maliciosos.
Os principais desafios em como identificar sites falsos, incluem um fato importante:
Normalmente, os alvos são páginas que necessitam de credenciamento, citando como exemplo serviços de consumo como Netflix ou até mesmo e-mails, são alvos estratégicos de cibercriminosos de Engenharia Social em busca de roubar informações de acesso.
A maioria das páginas podem ser facilmente distinguidas pela URL na barra de endereços, que irá ser diferente da original.
Mas o que fazer quando os sites são redirecionados para páginas de crimes de Engenharia Social ou a variação não é perceptível?
Neste guia de como identificar sites falsos, separamos as seguintes dicas:
Como identificar sites falsos na Engenharia Social
Com os sites falsos cada vez mais parecidos com suas versões originais, torna-se cada vez mais difícil diferenciá-los visualmente.
No entanto, ainda sim é possível identificar e apontar suas diferenças técnicas para garantir que o acesso ocorra na versão correta do site.
Durante o check up de um site, é muito importante verificar as seguintes características:
A URL do site
A primeira coisa a ser observada para descobrir se um site está correto ou não, é reparar em sua URL.
Isso porque em muitos casos o domínio não corresponde ao original, ou apesar de ser semelhante, é acompanhado por números e caracteres especiais.
Trata-se de uma prática muito comum nos sites utilizados para prática de Engenharia Social.
A quantidade de anúncios
Embora seja uma fonte de renda para muitos sites, é pouco provável que um site confiável exceda nas propagandas na página e, principalmente, se essas forem invasivas (como é o caso de pop-ups).
Caso já tenha acessado o site anteriormente e notou um aumento estranho na quantidade de anúncios, talvez seja um bom motivo pra desconfiar da veracidade da página.
Ou ainda, observar o conteúdo dos anúncios pode fazer toda diferença, pois se estiverem fora de contexto ou nem ao menos se associarem as suas pesquisas recentes, pode haver algo de errado ou o serviço de anúncios ser de baixa qualidade.
Semelhante, mas é idêntico?
Normalmente, até os sites que “clonam” as versões originais possuem detalhes que se diferenciam, pois as vezes não acompanham suas atualizações ou simplesmente não chegaram no mesmo nível de programação da página.
Por isso, caso já tenha acessado o site anteriormente, vale a pena dar uma olhada mais clínica nos detalhes para verificar as informações.
Esses detalhes muitas vezes são a chave para diferenciar de sites com ataques de Engenharia Social
Velocidade de carregamento
Os sites falsos de Engenharia Social muitas vezes são hospedados em servidores de baixa qualidade, e caso o site original tenha uma estrutura mais ágil, é mais fácil reparar na diferença de qualidade de uma versão para a outra.
Mas também é importante lembrar que em momentos de instabilidade é possível que até mesmo grandes sites tenham problemas momentâneos como erros no carregamento ou na própria velocidade.
Se a necessidade de acesso não é imediata, vale a pena atualizar a página (F5) ou até mesmo aguardar alguns minutos para checar novamente se as coisas seguem da mesma maneira.
Um dos critérios para saber como identificar sites falsos, é verificar se o site possui Certificado SSL
O certificado SSL é uma necessidade para todo tipo de site, principalmente se ocorre qualquer tipo de transação dentro do site. Ao longo dos últimos anos o certificado tornou-se tão importante que o Google passou a penalizar, nos resultados de busca, sites que não estejam certificados.
A boa notícia é que não há diferença entre certificados pagos ou gratuitos. Mas existem diferentes tipos de certificado que devem ser considerados de acordo com a finalidade do site.
Protegendo o site de sua empresa contra fraudes de Engenharia Social
Agora que você já sabe os principais pontos a serem observados nos sites acessados para saber como identificar sites falsos, vamos nos aprofundar mais no tema para que sua equipe possa aplicar ou identificar as características no site de sua empresa:
Quais os tipos de certificado existentes
- Certificado de Validação de Domínio
O certificado de validação de domínio é o mais comum de todos, sendo ideal para sites que precisam de proteção moderada por lidar com um volume menor de dados no dia a dia.
Sua emissão é rápida, simples e ocorre com o comprovante de autoridade sobre o domínio (DNS), sendo também a opção mais acessível do mercado e com alternativas gratuitas como o Let’s Encrypt, uma autoridade certificadora gratuita e de código aberto.
- Certificado de Validação de uma Organização
O certificado de validação de uma organização possui proteção moderada por provar não apenas a autoridade de um domínio como também a existência da empresa nos termos legais.
Por isso, sua configuração é mais complexa, necessitando de comprovantes institucionais, e uma possível chamada para a confirmação das informações. Sua emissão também é um pouco mais demorada e não existem opções gratuitas.
O certificado neste caso também é mais personalizado do que o de validação de domínio, pois além do cadeado verde também mostra todas as informações confirmadas sobre a empresa, tornando-se uma opção mais confiável e a mais indicada para empresas que precisam garantir o tempo inteiro a sua autenticidade.
- Certificado de Validação Estendida
O certificado de validação estendida é o melhor no mercado por ser o único que deixa a barra totalmente verde além de exibir o nome fantasia de uma empresa.
Assim como o certificado de validação de organização, também exige o envio de diversos documentos da empresa e informações de acordo com o tipo de atuação.
Sendo o certificado mais caro disponível no mercado, é o mais indicado para empresas que necessitam de muito destaque para mostrar que o site é seguro, como no caso de instituições bancárias.
Sites com certificados gratuitos serão inferiorizados pelo Google?
Embora existam características muito distintas de um certificado simples para o mais avançado, não existem diferenças em relação ao seu nível de segurança, pois o processo de encriptação será semelhante em todos os casos.
Sendo assim, um site com certificado gratuito de validação de domínio não será necessariamente posicionado abaixo de um site que possui o certificado de validação estendida, por exemplo.
Certificado comum, coringa ou multidomínio, quais as diferenças e qual utilizar
O certificado comum (também conhecido como single domain) contempla apenas um único domínio e as páginas dentro dele, não incluindo os subdomínios. Exemplo: https://compugraf.com.br e https://compugraf.com.br/contato estão ambos contemplados por este certificado pelo fato de estarem dentro do mesmo site. É o certificado mais barato e indicado para sites com estruturas menores ou que simplesmente não utilizem subdomínios.
Já o certificado coringa – também conhecido como wildcard, abrange além das páginas dentro de um domínio, todos os subdomínios daquele endereço. Ou seja, https://compugraf.com.br está protegido, assim como https://blog.compugraf.com.br. Esta é a opção mais recomendada para sites que contenham uma estrutura pequena ou média mas que utilizem subdomínios.
Por fim, temos o certificado multi-domínio, que como o próprio nome sugere, abrange domínios diferentes de um mesmo site. sendo possível proteger até 100 domínios diferentes com o mesmo certificado.
Esta é a opção mais recomendada para sites com grandes estruturas e que demandam diferentes servidores e domínios.
Como a proteção de todos os certificados é igual, diferenciando apenas na abrangência, a melhor escolha é sempre a que se adequa a estrutura planejada para o site. Ou seja, caso exista a intenção de utilizar subdomínios para o próximo ano ou dois, talvez seja mais vantajoso simplificar o processo e instalar apenas uma vez o certificado multidomínio, já pensando na possibilidade de subdomínios no futuro.
O mesmo vale para a opção do certificado coringa.
O que acontece quando o certificado expira?
Na hora da contratação de um certificado SSL, é necessário selecionar o tempo de validade do mesmo. Isso também vale para os certificados gratuitos, que possuem uma data de expiração. Não há como alterar o tempo de validade após o certificado ser contratado.
Sendo assim, quando chegar a data de vencimento de um certificado, a única maneira de manter o site seguro é comprando um novo certificado, processo que irá demandar uma nova instalação. Da mesma maneira, não é possível alterar o tipo de certificado após ser gerado, o processo deve ser feito de maneira estratégica para não ocorrer desperdícios para a empresa.
Alguns serviços e empresas facilitam muito esse processo de nova instalação, muitas vezes realizando tudo de maneira automática após a compra. Mas no geral, é recomendável contratar o certificado para o maior tempo disponível no momento da renovação.
Do contrário, será necessário ajuda técnica na hora de uma nova instalação (o que pode demandar mais gastos) e também é importante que esse processo ocorra antes do processo de vencimento, pois do contrário haverá uma brecha de segurança até tudo ser resolvido novamente.
A instalação de um certificado, assim como sua reinstalação será sempre a responsabilidade da pessoa ou empresa responsável pela compra, sendo um processo simples ou demorado, dependendo do servidor de destino e do tipo de certificação.
Os certificados SSL são compatíveis com diferentes navegadores e dispositivos móveis?
Ainda que não seja possível afirmar a compatibilidade universal, é pouco provável que algum navegador atual, e o mesmo vale para navegadores para dispositivos móveis, não seja compatível com algum certificado. Isso porque a certificação representa também um dos pontos na qualidade de experiência de um usuário.
Caso por algum motivo algum navegador não se mostre compatível, é importante verificar sua versão (para ver se está atualizado) e comunicar imediatamente a empresa certificadora para justificar a incompatibilidade.
Quais as principais empresas certificadoras comerciais?
Enquanto o Let’s Encrypt é uma das opções gratuitas mais conhecidas e utilizadas no mercado, existem diversas alternativas comerciais – os certificados pagos. Algumas das mais populares, são: Geotrust, Symantec, Comodo e GlobalSign.
Os preços variam de uma empresa para outra, porém não há diferença na qualidade do certificado em si, devendo a preferência ser baseada na experiência com a empresa (melhor atendimento, custo benefício, etc), sendo que as marcas são intermediadas por revendedores.
Há desvantagens no certificado gratuito?
Se por um lado o Google não diferencia um certificado gratuito ou comercial em seus resultados de busca, existem algumas desvantagens de um serviço pago do gratuito:
- Não há suporte
Enquanto uma revendedora provavelmente fornecerá suporte para seus usuários, serviços gratuitos não. Ao menos não gratuitamente. Em geral, todos os serviços (revendedora e certificações) possuem sua própria documentação, mas somente as revendedoras comerciais irão disponibilizar algum tipo de suporte.
- Não há garantias
Ainda que a opção não deva ser descartada – principalmente se for um projeto em que a verba é limitada, a verdade é que nenhuma certificadora gratuita pode garantir que a criptografia é inquebrável, ou seja, a segurança pode ser falha e o consumidor não terá para onde reclamar. Caso ocorra qualquer quebra de criptografia em um serviço comercial, o cliente será indenizado.
Um certificado SSL garante a proteção de um site contra hackers?
Não. O certificado SSL é responsável pela segurança no tráfego de dados entre usuário e um servidor para impedir que uma terceira pessoa tenha acesso a elas, sendo diferente de uma solução entre vírus, por exemplo.
Para a segurança de um site contra ataques existem outras soluções, como a implementação de um CDN (ou Content Delivery Network), que cria uma camada de segurança além de mantê-lo no ar durante manutenções ao criar uma cópia da versão mais recente.
O que é um certificado auto-assinado?
Além das opções de empresas certificadoras mencionas, existe também uma outra modalidade de certificado: a auto-assinada. Neste caso, a própria empresa ou usuário pode gerar seu certificado, o que a primeiro momento parece ser a melhor opção.
No entanto, existem razões suficientes para descartar a opção na maioria dos casos, pois esses certificados não são reconhecidos pela maioria dos navegadores e embora ele esteja implementado no site, a mesma mensagem de site não seguro continua aparecendo.
Realize uma pesquisa pelo domínio no WHOIS
O WHOIS é um serviço que registra todas as informações do proprietário de um domínio, mas ainda sim não é um recurso útil todas as vezes, pois a maioria das empresas que oferecem o serviço de registro de domínios também possuem o serviço adicional de ocultação das informações de propriedade.
Caso o domínio não tenha as informações ocultadas, é possível ver exatamente a pessoa ou empresa que o registrou, o número do CPF ou CNPJ se for pessoa jurídica. Além disso, também é possível ver a empresa contratada para o registro de domínios, a data de registro e de vencimento do domínio.
Realize uma pesquisa simples no Google
Por mais simples que possa parecer, uma busca simples no Google pode ser bem efetiva para descobrir se um site é legítimo ou não. Buscar pelo nome da empresa/site irá revelar que se trata de um site legítimo (caso o endereço seja compatível) ou até mesmo se outras pessoas tiveram algum tipo de problema – o que pode aumentar as suspeitas da página.
Além disso, o google também possui uma ferramenta de verificação de transparência de um site, contendo diversas informações e dicas de segurança.
Verifique se não sofreu nenhum redirecionamento
Sites afetados por algum tipo de malefício podem apresentar problemas sérios de segurança, como a exibição de anúncios que contenham vírus ou o redirecionamento da página para um site falso, ou seja, apesar de o endereço estar correto e a verificação no Google tenha funcionado, o site sofreu algum tipo de ataque durante uma vulnerabilidade.
O Brasil no foco dos ataques de Phishing
As pessoas irão olhar o seu site primeiro
Pensar na estratégia de proteção do site da própria empresa é uma etapa de extrema importância, pois da mesma forma que os sites que acessamos todos os dias estão vulneráveis, o nosso também pode estar.
Quer saber mais sobre como proteger o acesso a sites e a própria empresa contra cibercriminosos? Converse com nossos Especialistas em Segurança da Informação.
- Published in Segurança da Informação