Phishing Descubra agora o que é

Saiba Agora Que Técnica é essa, e como os ladrões usam disso para roubar Contas de E-mail , Senhas Bancárias, Cartões Bancários, Documentos pessoais dentre outras informações 

Olá Caros Amantes de Segurança da Informação e Star Wars, Assim como eu creio que vocês fanáticos por tecnologia vieram aqui atrás de mais e mais conteúdos então sem mais delongas vamos á uma rápida definição sobre phishing 

Bom Phishing traduzindo para um Bom Português Significa Basicamente "Pescar" ou Seja é simplesmente o ato de um Cracker Pescar suas informações... mas como isso acontece ?

Os Principais e mais famosos e lucrativos ataques realizados com phishing englobam 3 técnicas:

1- Página Fake (Phishing - Cópia Exata do Site Original )

2- Engenharia Social ( A Arte de Enganar )

3- Email Spammer (envio de Emails de re-cadastramento ou Promoções com links para páginas fake)

Porém Existe uma quarta Forma que é conhecida como DNS Poisoning ou Envenenamento de DNS, para entendermos melhor essa técnica vamos á um exemplo prático e uma breve explicação do que é DNS:

DNS= Domain Name Service " Traduzindo... DNS=" Serviço de Nome De Domínio "

Bom Simplificando para todos entenderem fica assim... Todo Site é upado em um Servidor,  e todo Servidor tem um Endereço IP na rede, para simplificar o acesso ao endereço ip do servidor ao invés de ficarmos decorando números inventaram o famoso protocolo WWW (Wide World Web) e o DNS que Converte um Nome www.google.com no Ip do Servidor .

Com o DNS Poisoning ou Envenenamento de DNS , primeiro o individuo invade uma Rede, Ganha Acesso ao Roteador e usa Algumas Ferramentas (que podem ser  encontradas no Back Track 5 r3 e Kali Linux dentre outros) Para Redirecionar um Dns para outro IP ou seja Sempre que Qualquer pessoa conectada a rede Digite www.facebook.com o roteador te manda para uma página fake exatamente igual a do facebook e depois que você digitar seus dados, tudo é enviado via email para o Cracker responsável.

Outra Técnica Usada Para Phishing é usar de url confiável com redirecionamento, ou Seja Alguns Sites como o Facebook e o Google tem um Esquema de Redirecionamento que te envia para uma página que pode ser alterada na URL um exemplo bom que eu encontrei de redirecionamento em um site grande de compras é esse:

LINK ORIGINAL
https://login.aliexpress.com/buyer.htm?return=http://www.aliexpress.com

LINK PHISHING

https://login.aliexpress.com/buyer.htm?return=http://www.paginafake.com

Um cara Esperto o Bastante pode criar uma Página Fake idêntica a de login,  com um domínio parecido e mandar esse link a pessoa digita seu email e senha e o site OFICIAL redireciona para sua página phishig, nela caso você seja um cara esperto pode criar um Aviso em Java Script dizendo que houve um erro e pra fazer login novamente, a pessoa faz login os dados são enviados para seu email e tu manda ela novamente para a homepage do Aliexpress e ela já vai estar logada lá e nem vai perceber o roubo.

NEM TENTEM CRIAR PHISHING NISSO UM EMAIL JÁ FOI ENVIADO AO SITE E TAL FALHA JÁ FOI IDENTIFICADA E TODA E QUALQUER TENTATIVA DE AÇÕES RELACIONADAS AO CRIME VIRTUAL SERÃO INVESTIGADAS E PUNIDAS SEVERAMENTE PELAS AUTORIDADES RESPONSÁVEIS.

Read More

Ataque de phishing mira em usuários Apple com emails falsos de segurança

Os hackers por trás da botnet Kelihos lançaram uma campanha de emails falsos com alertas de segurança da Apple para explorar o medo dos usuários sobre os riscos de segurança nas contas online da empresa. O ataque de phishing foi identificado por especialistas da Symantec.

A botnet começou a disparar os emails, que se fazem passar por mensagens da Apple informando os usuários que uma compra foi feita com o uso da sua  Apple ID na loja iTunes. O email falso tem o título de "Pending Authorisation Notification" (Notificação de Autorização Pendente) e alegam que a compra foi feita usando um computador ou um dispositivo que não estava previamente associado à Apple ID do usuário.

A mensagem falsa pede ao usuário que clique num link se ele por acaso não fez a compra. O link leva a um site de phishing que está disfarçado de página de log-in da Apple ID e que acaba capturando as credenciais Apple dos mais desavisados ou ingênuos.

Segundo um post da Symantec, os emails estão sendo disparados de um endereço IP (Internet Protocol) que corresponde a uma localização física na cidade de Volgograd, na Rússia. O uso de alertas falsos de segurança como isca para phishing não é uma técnica nova, mas esse ataque em particular apareceu logo após o vazamento das fotos íntimas de celebridades que teriam sido roubadas de suas contas iCloud por hackers que conseguiram quebrar a senha e as perguntas de verificação de 101 celebridades.

A crise gerou uma resposta da Apple que anunciou ampliação das suas medidas de segurança e a implantação de sistemas de alertas para usuários via push ou email no caso de acontecerem mudanças nas suas contas iCloud.

"É possível que o timing da campanha de phishing não seja uma coincidência e que os controladores da botnet estejam tentando aproveitar ao máximo o barulho". diz a Symantec.

Fonte: PC WORLD

Read More

Japão faz primeira simulação de ataque cibernético

O Japão enfrentou um ataque cibernético contra vários departamentos do governo nesta terça-feira, em uma simulação destinada a reforçar a segurança nacional do país que se prepara para sediar os Jogos Olímpicos de 2020.

O Japão está seguindo o exemplo da Grã-Bretanha, que convidou hackers para testar seus sistemas de computador durante a preparação para os Jogos Olímpicos de Londres-2012. No evento, Londres combateu múltiplos ataques cibernéticos.

Cerca de 50 especialistas em defesa cibernética se reuniram em um centro de resposta de emergência em Tóquio para a defesa contra um ataque simulado em 21 ministérios e agências e 10 associações da indústria do Estado, disse Ikuo Misumi, especialista do Centro Nacional de Segurança da Informação do Japão.

"Não é que nós não colocamos esforços em cibersegurança, mas estamos certamente atrás dos Estados Unidos", disse Ichita Yamamoto, o ministro responsável pela política de TI e que está liderando os esforços para aumentar a segurança cibernética.

O exercício simulou um ataque de phishing, onde o governo ou empresas abriram seus próprios computadores para um vírus ao visitar um site falso.

"Os ataques cibernéticos estão se tornando mais sutis, sofisticados e internacionais, e reforçar a resposta do Japão se tornou uma questão crítica", disse o porta-voz do governo japonês Yoshihide Suga.

O governo prevê que os primeiros Jogos Olímpicos no Japão desde 1964 vão levantar a economia.

Os ataques contra uma rede fechada projetada para atrair hackers aumentou para 12,8 bilhões de vezes no ano passado contra 7,8 bilhões de vezes do ano anterior.

O governo prometeu salvaguardar também a tecnologia de ponta do Japão da espionagem industrial.

A segurança cibernética do Japão é compartilhada entre a Agência Nacional da Polícia e quatro ministérios. A simulação de terça-feira foi a primeira a reunir o governo e o mundo dos negócios para combater a ameaça dos hackers.

Fonte: Info

Read More

Mais uma Tentativa de Golpe via E-Mail

Os criminosos virtuais estão sem dúvida ficando mais criativos e sabendo como desviar-se de filtros de correio eletrônico. É a segunda vez em menos de 30 dias que um novo e-mail suspeito passa pelo filtro de anti-spam e cai na minha caixa de entrada como um e-mail válido. Desta vez, até com imagem de cheques atachados (como se fossem imagem) no e-mail. Veja abaixo o e-mail:

O e-mail é suspeito para mim pois as assinaturas nos cheques não são minhas e ao apontar para cada um destas imagens anexadas o browser mostra na barra de tarefas o link para uma URL que está se tornando muito comum para este tipo de golpe no Brasil (). Não necessariamente a URL vai ser exatamente a mesma, porém existem dois pontos que venho notado vem se repetindo com frequencia:

• Eles (criminosos) estão utilizando SSL (HTTPS) para que os inviduos que estam atrás de um firewall que não tem inspeção SSL possam fazer o download do arquivo sem que o Firewall consiga inspecionar o conteúdo
• Eles (criminosos) utilizão na maioria das vezes uma URL comprimida de algum serviço público de compressão de URL.

Para confimar a suspeita resolvi fazer o download dos arquivos no meu ambiente isolado de rede, usando uma máquina virtual que é específica para este intuito (ser infectada).

Recaptulando o Caso da Semana Passada

Na semana passada quando escrevi este post, eu também fiz o teste e o arquivo que baixou foi um EXE que continha um trojan conforme capturado pelo Security Essentials:

Esste Trojan (Banload) é conhecido por ser membro da família do Win32/Banker, que por sua vez é um trojan que rouba credenciais de bancos. É um trojan muito utilizado no Brasil.

Continuando a Investigação

Resolvi baixar o arquivo, ou seja, clicar na imagem e o que me vem para abrir não é um JPG (claro já sabia), é um arquivo ZIP:

Note que aqui houveram dois encapsulamentos: a comunicação ocorreu via SSL e o arquivo (provavelmente infectado) está dentro de um ZIP. Tudo na tentativa de obfuscar o firewall de borda durante a inspeção de conteúdo (se você usar o HTTPS Inspection do velho TMG, ele vai fazer a inspeção profunda mesmo com estas duas camadas de encapsulamento).

Após baixar o arquivo ZIP, fiz a estração do conteúdo e então me deparei com o arquivo “Cheque Protestado.CPL”, que mais uma vez é extremamente usado no Brasil, inclusive neste paper sobre CPL Malware da Trend Micro o autor reporta isso (extremamente recomendado ler este paper).

Para ler este arquivo de forma segura eu usei o PE Explorer e depois fiz o disassembler do arquivo conforme mostra a figura abaixo:

Os padrões encontrados são muitos parecidos com o CPL referenciado no paper da TrendMicro (página 7).

Conclusão

Mais uma vez, fique atento a qualquer e-mail suspeita, e não abra arquivos CPL, pois o AV não vai identificar como malicioso, mas ao executar ele vai fazer contato com outra URL para baixar uma variante do malware. Muitas vezes o CPL vai apenas agir como um “dropper”.

Fique atento!

Post retirado do blog do Yuri Diogenes

Read More

Fique ligado: hackers usam conflito na Síria como isca para golpes

Segundo Symantec, cibercriminosos enviam spams por e-mail com supostas notícias inéditias sobre acontecimentos no país.

O conflito na Síria virou uma isca para os hackers disseminarem ameaças virtuais na web, afirma a empresa de segurança Symantec. Além de ganhos financeiros, os ataques também visam ter acesso a informações sigilosas dos usuários.

Segundo a companhia, os cibercriminosos enviam spams com supostas notícias inéditas sobre o conflito no país, além de enviar mensagens em nome da Cruz Vermelha.  Vale notar que, de acordo com a Symantec, os hackers utilizam conteúdo de sites de renome, como o Washing Post, para atestar uma suposta veracidade dessas mensagens.

Os e-mails maliciosos trazem links que instalam Cavalos de Troia nas máquinas caso sejam clicados. O malware permite roubo de senhas e dados confidenciais dos usuários.

A Symantec recomenda que os usuários instalem programas de segurança originais e sigam as seguintes dicas:

1.      Busque notícias apenas de sites de confiança e renome;

2.      Desconfie de informações inéditas ou bombásticas que chegam por meio de SPAM por e-mail, SMS e redes sociais;

3.      Não abra documentos anexados oriundos de remetentes desconhecidos ou com extensões estranhas;

4.      Nunca clique em links estranhos tanto pelo computador quanto pelo smartphone ou tablets

5.      Evite colocar qualquer informação pessoal em pop-ups

Fonte: Idgnow

Read More

Campanha de espionagem virtual é detectada pela Kaspersky Lab

Nesta quinta-feira, 12, uma equipe de pesquisa de segurança da Kaspersky Lab publicou um relatório que detalha uma campanha ativa de espionagem virtual direcionada a "think tanks" sul-coreanas. 

De acordo com o relatório, a campanha chamada de Kimsuky, é limitada e altamente direcionada: segundo analistas técnicos, os criadores do ataque tinham como alvo 11 organizações sediadas na Coreia do Sul e duas instituições na China, incluindo o Instituto Sejong, o Instituto Coreano de Análises de Defesa (KIDA, Korea Institute For Defense Analyses), o Ministério da Unificação da Coreia do Sul, a Hyundai Merchant Marine e os Partidários da Unificação Coreana (The supporters of Korean Unification). 

Embora seu mecanismo de distribuição inicial ainda seja desconhecido, os pesquisadores da Kaspersky acreditam que, provavelmente, o malware Kimsuky é disseminado por meio de emails de phishing altamente localizados e tenha a capacidade de executar as seguintes funções de espionagem: keylogging (registro das teclas digitadas), coleta e listagens de diretórios, acesso remoto e roubo de documentos HWP (relacionados ao aplicativo de edição de texto sul-coreano do pacote Hancom Office, muito utilizado pelo governo local). 

Fonte: Kioskea

Read More

Kaspersky alerta para novos truques de SPAM para roubar informação pessoal

No seu mais recente relatório sobre segurança na Internet, a Kaspersky alerta para um novo tipo de SPAM que tem como objectivo roubar informação pessoal, incluindo dados financeiros: as notificações de falha de entrega de e-mails são o «novo isco» dos cibercriminosos.

Apesar de ter havido uma estabilização na percentagem da SPAM no tráfego de e-mail durante o segundo trimestre de 2013, a Kaspersky concluiu que mais de 40% dos programas maliciosos enviados por correio electrónico «têm como objectivo roubar informação pessoal, incluindo dados financeiros».

Estes ataques de phishing vêm agora com uma nova “capa”: os spammers enviam e-mails com anexos maliciosos cujo corpo é muito parecido com as «notificações automáticas de erro de envio enviadas pelos servidores», avisa a Kaspersky.

5 principais conclusões do relatório Kaspersky

1 – Durante o segundo trimestre de 2013, a percentagem de spam no tráfego total de e-mail chegou aos 70,7%, mais 4,2% que no primeiro trimestre do ano.

2 – Muitas mensagens de correio electrónico com ficheiros anexos maliciosos enviadas no segundo trimestre tinham como alvo utilizadores empresariais.Todos os emails maliciosos dirigidos a empresas estavam disfarçados de respostas automáticas.

3 – Os cibercriminosos continuam a replicar emails de empresas legítimas, propondo falsas ofertas para chamar a atenção do utilizador. No último trimestre, os spammers recorreram à popular loja Walmart nas suas correntes de mensagens de notificação falsas.

4 – No segundo trimestre de 2013, a China (23,1%), os EUA (16,8%) e a Coreia do Sul (6,6%) continuaram a ser os líderes entre os países-fonte de spam.

5 – A percentagem de mensagens de phishing no tráfego total de email durante o segundo trimestre deste ano caiu 0,0016%, atingindo os 0,0024%.

Referências:

Read More

cibercriminosos apostam em scam de recalcular boletos

Depois de criarem virus que alteram boletos gerados no navegador, cibercriminosos brasileiros tem investido seus esforços na criação de sites maliciosos que supostamente fazem o cálculo de boletos vencidos, mas que na verdade irão apenas gerar um boleto fraudulento com a finalidade de direcionar o pagamento para outra conta.
Esse tipo de site se tornou popular recentemente. Um dos primeiros sites a oferecer o serviço foi o “Reboleto”, que possibilitava recalcular a linha digitável do boleto e os juros a serem pagos, permitindo que o documento pudesse ser pago através do internet banking, mesmo depois de vencido. Por pressão dos bancos o site foi forçado a sair do ar no ano passado, devido a um grande número de fraudes.

Antigo site do Reboleto, que foi removido do ar

Porém a demanda por esses serviços ainda existe, o que fez com que vários bancos passassem a disponibilizar esse cálculo em seus próprios sites. O próprio “Reboleto” voltou ao ar, dessa vez oferecendo aos visitantes o link para o serviço oferecido pelos próprios bancos:

Atual site do Reboleto: link para os sites dos Bancos

Ao fazer uma busca no Google podemos encontrar hoje diversos sites que prometem recalcular o boleto vencido, é exatamente essa janela de oportunidade que os cibercriminosos estão explorando - eles registraram 2 domínios maliciosos e para divulgá-los compraram campanhas de Adwords no Google e assim puderam atrair os usuários que buscam esse tipo de serviço na web.

Links patrocinados: o último deles é de um site falso

Ao visitar o site malicioso, é solicitado ao visitante que insira a linha digitável do boleto vencido:

 Depois de inserir a informação, serão solicitados outros dados: emissor do boleto, valor, CPF. Esses dados serão inseridos no boleto fraudulento que será emitido:

Ao clicar em “Imprimir boleto” será gerado o boleto fraudulento. Num dos domínios foi emitido um boleto da Caixa, com código de barras e linha digitável de uma conta pertencente ao criminoso:

Para dar maior veracidade ao boleto, essa mensagem é exibida:

Os produtos da Kaspersky bloqueiam o acesso a esses sites fraudulentos. Emitimos um alerta aos Bancos e reportamos um dos dominios .br para que seja removido do ar.
Vale o alerta: se você deseja recalcular um boleto vencido, dê preferência para os serviços oficiais oferecidos pelo próprios bancos e disponibilizados em seus sites - evite usar serviços de terceiros, para sua segurança.

Fonte: Kaspersy

Read More

Cada vez mais hackers tentam roubar dados de clientes da Apple

A maioria dos defensores da Apple costuma dizer que as plataformas da companhia estão livres de vários tipos de ataques, mas e quando os criminosos agem antes de chegar à Apple?

Um relatório da Kaspersky Lab divulgado nesta quinta-feira, 4, revela que tem havido um crescimento "dramático" na quantidade de golpes em que se criam sites idênticos aos da Apple para roubo de informações dos clientes. É o chamado phishing.

O foco é obter ID e senha das pessoas e, assim, descobrir dados como número de cartão de crédito, endereço, telefone etc. usados em serviços como iTunes e iCloud.

De janeiro de 2012 a maio de 2013 a empresa de segurança acompanhou cerca de 200 mil tentativas de acesso a sites falsos por dia.

Geralmente há um forte crescimento no número de ataques quando ocorrem eventos da Apple. Em 6 de dezembro, por exemplo, quando a empresa abriu lojas em mais de 50 países, houve um recorde de mais de 900 mil ataques num único dia.

A principal forma de ataque é por e-mail: em spam, é distribuída uma mensagem com campo de "remetente" adulterado para algo como services@apple.com. Ao ver um endereço confiável, o internauta clica e é levado a digitar seus dados em páginas falsas, controladas pelos criminosos.

Fonte: hackersec

Read More

Ataques de phishing duplicam no último ano e atingem 38 milhões de usuários

O número de ataques de phishing aumentou 87% nos últimos 12 meses, passando dos 19,9 milhões para os 37,3 milhões, segundo o relatório “A evolução dos ataques de phishing de 2011 a 2013”, desenvolvido pela Kaspersky Lab. Além disso, o estudo, elaborado em Junho de 2013, com base nos dados do serviço KSN (Kaspersky Security Network), mostra que o Facebook, Yahoo, Google e a Amazon são os principais alvos dos cibercriminosos.

O email já não é o mecanismo de distribuição mais comum para os ataques de phishing. Só 12% de todos os ataques registrados no último ano foram lançados através de mensagens de spam. Os restantes 88% procedem de links para páginas de phishing através do browser ou de sistemas de mensagens instantâneas (como o Skype, ICQ, etc.).

Durante muito tempo, o phishing foi considerado uma variante dos emails de spam clássicos. No entanto, os dados deste estudo confirmam que o volume dos ataques atingiu um nível tão elevado que esta ameaça deve ser considerada como uma categoria própria, dado o nível de risco que representa.

Este tipo de ataque é uma forma de fraude na Internet em que os cibercriminosos criam uma cópia falsa de um site popular (um serviço de e-mail, um site de online banking, uma rede social, etc.) e contaminam todos os usuários que os visitam. Quando o utilizador introduz as suas credenciais de acesso nestes sites, os dados passam para as mãos de cibercriminosos que usam esta informação para roubar dinheiro, distribuir spam e malware através do email ou redes sociais, ou, simplesmente, vender as suas bases de dados de senhas roubadas a outros cibercriminosos.

Principais conclusões da pesquisa:

Usuários

• Entre 2012-2013, os phishers lançaram ataques que afetaram diariamente cerca de 102 mil utilizadores no mundo, duas vezes mais que no período compreendido entre 2011 e 2012.

• A maioria dos ataques de phishing foi registrada na Rússia, EUA, Índia, Vietnam e Reino Unido.

• O Vietnam, EUA, Índia e Alemanha são os países com o maior número de usuários afetados. O número total de ataques nestas regiões duplicou desde o ano passado.

• Na América Latina os usuários brasileiros, colombianos e venezuelanos são os mais atacados. 25% de todas as mensagens recebidas nas caixas de correio dos usuários nesses países são de phishing

Criminosos

• A maioria dos servidores que alojavam sites com phishing estava registada nos EUA, Reino Unido, Alemanha, Rússia e Índia.

• O número de ataques únicos a partir de sites e servidores fraudulentos triplicou no último ano.

• Mais da metade (56%) de todos os ataques identificados procedem de apenas 10 países, o que significa que os cibercriminosos têm um pequeno conjunto de bases para lançar os seus ataques.

Alvos

• Os serviços do Yahoo, Google, Facebook e Amazon foram os mais atacados pelos phishers e 30% de todos os incidentes registados resultaram de versões falsas destes sites.

• Mais de 20% dos ataques provêm de sites de online banking ou outro tipo de sites financeiros.

• American Express, PayPal, Xbox Live e Twitter estão no Top 30 dos sites mais atacados.

"O volume e a variedade dos ataques de phishing detectados durante o último ano indicam que o phishing não é apenas uma entre muitas ferramentas de enriquecimento ilícito dos cibercriminosos, mas já representa uma ameaça significativa e visível. Estes ataques são relativamente fáceis de organizar e são muito eficazes, pelo que atraem um número cada vez maior de cibercriminosos. O volume de ataques de phishing, que, de acordo com os dados da Kaspersky Security Network, quase duplicou num só ano, confirma esta tendência", afirma Nikita Shvetsov, diretora de investigação da Kaspersky Lab.

Fonte: Adrenaline

Read More

Google está disponibilizando resultados do programa de navegação segura

O relatório de transparência do Google, que mostra trânsito em tempo real para os serviços do Google em todo o mundo, os pedidos de remoção de direitos autorais, e solicitações de dados de agências governamentais, acrescentou uma nova fonte de dados que mantém o controle de malware e phishing.

De acordo com o post no blog do Google, esses dados vem de seu programa de navegação segura - se você já visitou um site e viu um grande fundo vermelho com um aviso de malware, você está familiarizado com o programa da empresa. O novo conjunto de dados Google está compartilhando em seu relatório de transparência mostra quantas pessoas vêem "avisos de navegação segura" para malware e sites de phishing por semana e onde estes sites maliciosos estão hospedados em todo o mundo, entre alguns outros petiscos de dados. Há também informações para os anfitriões do site e webmasters para ajudar a limpar sites infectados, e Google também compartilha dados da rapidez webmasters limpar seus sites, bem como qual a percentagem de locais de se re-infectados. Se você quiser ver quantos sites maliciosos estão surgindo em torno da web ou de onde eles estão vindo, novo relatório de transparência do Google está disponível aqui.

Fonte: The Verge

Read More