Arquivo do autor Wagner Lindemberg

PorWagner Lindemberg

Como Instalar Parrot OS Security em Virtual Box

Parrot é uma distribuição GNU / Linux baseada no Debian Testing e projetada com Segurança, Desenvolvimento e Privacidade em mente.

Ele inclui um laboratório portátil completo para especialistas em segurança e forense digital, mas também inclui tudo o que você precisa para desenvolver seu próprio software ou proteger sua privacidade enquanto navega na Internet.

Ele é projetado para testes de penetração, avaliação e mitigação de vulnerabilidades, computação forense e navegação anônima na web. É desenvolvido pela equipe da Frozenbox.

Segue um vídeo tutorial com a instalação de Appliance do Parrot OS Security em Virtual Box.

PorWagner Lindemberg

Como Instalar Kali Linux em Virtual Box

O Kali Linux é um projeto de código aberto que é mantido e financiado pela Offensive Security, um provedor de treinamento de segurança de informações de classe mundial e serviços de testes de penetração. Além do Kali Linux, o Offensive Security também mantém o Exploit Database e o curso on-line gratuito, Metasploit Unleashed.

O Kali Linux dispõe de numerosos softwares pré-instalados, incluindo o Nmap (port scanner), Wireshark (um sniffer), John the Ripper (crackeador de password) e Aircrack-ng (software para testes de segurança em redes sem fios). O sistema pode ser utilizado a partir de um Live CD ou live-usb, além de poder ser instalado como sistema operacional principal. É distribuído em imagens ISO compilados para as arquiteturas x86, x64 e ARM.

Segue um vídeo tutorial com a instalação de Appliance do Kali Linux em Virtual Box.

PorWagner Lindemberg

4 tipos de ataques cibernéticos que podem afetar seu negócio!

A complexidade elevada dos ataques cibernéticos e a presença da tecnologia no ambiente corporativo obriga os negócios a terem uma infraestrutura de TI robusta e confiável. Diante disso, investir em bons mecanismos de proteção é crucial, pois evita que a empresa fique exposta e sofra prejuízos.

Como a prevenção de ataques cibernéticos deve ocorrer? Quais as principais ameaças podem atingir um negócio? A melhor forma de prevenir a sua empresa de ataques cibernéticos é conhecendo as principais ameaças existentes. Confira um pouco mais sobre cada uma abaixo

Phishing

Essa é uma técnica antiga, mas que ainda hoje causa muitas vítimas. O phishing é constituído na criação de páginas falsas para roubar dados de usuários.

Geralmente disseminado com o apoio de e-mails de SPAM, essa técnica direciona o usuário a uma página falsa e o instrui a inserir senhas de suas contas pessoais. Para prevenir a sua companhia desse tipo de situação, a melhor abordagem é educar seus times sobre segurança na rede e os danos causados por esse tipo de ameaça.

Ataque DDoS

O ataque DDoS busca derrubar sites e sistemas web. Nesse caso, um grupo de dispositivos web infectados é acionado para enviar requisições a um único IP. Assim, é possível congestionar a sua banda de acesso e impedir que outras pessoas visualizem a página web.

A prevenção e a mitigação de um ataque DDoS se dá pelas seguintes etapas:

  • criação de uma infraestrutura escalável, capaz de lidar com o aumento da carga de trabalho;
  • uso de soluções que tornem fácil a filtragem de IPs suspeitos;
  • adoção de uma infraestrutura de reserva para direcionar acessos legítimos em caso de ataque.

Roubo de dados

Nesse caso, o negócio é invadido por meio da exploração das vulnerabilidades existentes em sua infraestrutura. O hacker faz uma leitura dos equipamentos e sistemas utilizados pelo negócio, assim como os possíveis pontos de acesso. Uma vez que a pessoa obtém acesso aos diretórios internos, ela trabalhará para capturar o máximo de dados sigilosos possíveis.

Para se prevenir, a empresa deve sempre manter sistemas atualizados e monitorados. O empreendimento precisa criar uma rotina de teste, validação e distribuição de updates de forma ágil. Assim, as vulnerabilidades serão mitigadas e os usuários poderão se manter em um ambiente mais robusto e confiável.

Ransomware

O ransomware é um dos tipos de ataque que causam um dos maiores impactos no ambiente corporativo. Esse malware se replica automaticamente e, uma vez que obtém acesso a um sistema, criptografa os dados de todos os usuários. Para que o acesso seja restaurado, um pagamento é exigido do usuário.

Em geral, a prevenção contra essa ameaça é feita com a atualização dos sistemas, criação de backups e políticas de controle de acesso. Além disso, o negócio pode segmentar a sua rede de dados. Dessa forma, se um ataque ocorrer, será mais fácil restaurar os arquivos e retomar as operações.

A prevenção de ataques cibernéticos é algo que todo negócio deve buscar. Se a empresa tem a capacidade de evitar situações de risco, os seus serviços se tornam mais confiáveis e robustos. Além disso, a empresa terá mais facilidade de se alinhar com leis como a GDPR e a LGPD, o que a tornará mais competitiva e em uma posição de destaque frente aos concorrentes.

Fonte: TIGRAconsult

PorWagner Lindemberg

Hackers explorarão sistemas com IA para potencializar ataques

Inteligência artificial já é realidade em muitas empresas dos mais variados segmentos e, além de automatizar tarefas manuais e melhorar a tomada de decisão também podem tornar os ambientes vulneráveis a ataques, já que muitos deles abrigam quantidades enormes de dados

Hackers explorarão sistemas com IA

Pesquisadores estão cada vez mais preocupados com a suscetibilidade desses sistemas às ações maliciosas que podem corromper e afetar sua operação. A fragilidade de algumas tecnologias de IA serão uma preocupação crescente em 2019. De algum modo, esse receio vai espelhar o que vimos 20 anos atrás com a internet, que rapidamente atraiu a atenção de hackers, especialmente após a ascensão do e-commerce.

Os hackers não vão apenas mirar os sistemas de IA, mas também usar técnicas baseadas em inteligência artificial para melhorar suas próprias atividades. Sistemas automáticos com IA podem sondar vulnerabilidades desconhecidas que podem ser exploradas. Pode ainda ser utilizada para phishing e outros ataques de engenharia social ainda mais sofisticados criando vídeos e áudios realistas ou e-mails para enganar alvos específicos. Outro uso é para campanhas de desinformação, como por exemplo um vídeo falso de um CEO de uma empresa feito com o uso de IA que afirma uma grande perda financeira, ou um problema de segurança ou qualquer outra notícia crítica. A viralização de uma notícia falsa nesse nível pode causar um impacto significativo até que a verdade venha à tona.

IA vai ser fundamental para prevenir e identificar ataques

Um sistema baseado em inteligência artificial pode simular uma série de ataques à rede de uma empresa para avaliar as vulnerabilidades antes que ela seja descoberta por um hacker. Ele também ajuda pessoas a protegerem suas casas e privacidade. Pode por exemplo ser utilizada em smartphones para avisar usuários se determinadas ações são arriscadas, como quando configura um novo e-mail no aparelho e a ferramenta pode recomendar a autenticação em duas etapas.

5G

Deve demorar pouco tempo para que as redes 5G e os celulares adaptados para esta tecnologia se espalhem. O IDG prevê que o mercado relacionado à infraestrutura de rede de 5G cresça de aproximadamente US$ 528 milhões em 2018 para US$ 26 bilhões em 2022.

Com o tempo, mais dispositivos de internet das coisas (IoT) estarão conectados em uma rede 5G ao invés de roteador Wi-Fi. Essa tendência faz com que os dispositivos sejam mais suscetíveis a ataques diretos. Para usuários domésticos, será também mais difícil monitorar todos os dispositivos IoT já que eles não passam pelo roteador central. A possibilidade de armazenar ou transmitir grandes volumes de dados facilmente na nuvem também darão aos hackers novos alvos para atacar.

Eventos baseados em IoT irão além de DDoS para formas mais perigosas de ataque

Nos últimos anos, ataques massivos de DDoS (ataque de negação de serviço) se aproveitaram de milhares de dispositivos infectados para enviar tráfego pesado para determinados sites. Este tipo de ataque não recebeu muita atenção da mídia, mas continua a acontecer e vai permanecer como uma ameaça nos próximos anos.

Podemos esperar também ver dispositivos IoT com pouca segurança se tornarem alvos para outras ações, como ataques que usam esses equipamentos como ponte entre o digital e o físico – carros conectados e outros que controlam sistemas críticos como distribuidoras de energia e empresas de telecomunicação, por exemplo.

Captura de dados

Provavelmente veremos hackers explorando redes caseiras de Wi-Fi e outros dispositivos IoT com pouca segurança. Dispositivos de internet das coisas já estão sendo utilizados para ataques massivos de cryptojacking a fim de minerar criptomoedas.

Podemos esperar também tentativas crescentes de acesso a roteadores caseiros e outras centrais IoT para capturar dados que estejam passando por eles. Um malware em um desses dispositivos, por exemplo, pode roubar dados bancários e informações sensíveis, que tendem ser guardados com mais segurança. Os e-commerces, por exemplo, não armazenam os números de segurança de cartão de crédito, tornando mais difícil para que cibercriminosos roubem os cartões de crédito de sua base. Mas eles com certeza vão evoluir as técnicas para roubar esse tipo de informação enquanto ela estiver trafegando pela internet.

Do ponto de vista das empresas, existem inúmeros exemplos de dados comprometidos enquanto trafegavam em 2018. O grupo Magecart roubou dados sensíveis e de cartão de crédito de e-commerces ao colocar scripts maliciosos diretamente nos sites ou comprometendo fornecedores terceiros que eram usados pelos lojistas. Esses ataques denominados “formjacking” impactaram inúmeras empresas globais recentemente.

A Symantec acredita que os cibercriminosos continuarão a focar em ataques a empresas baseados em rede neste ano, já que eles fornecem uma visibilidade única das ações e infraestrutura das vítimas.

Ataques à cadeia de suprimentos

Os softwares de supply chain estão se tornando alvos cada vez mais comuns, com hackers implementando malwares em softwares legítimos em seu local de distribuição usual. Eles podem ocorrer durante a produção do software ou em um fornecedor terceirizado. Em um cenário típico de ataque, o hacker substitui a atualização legítima do software por uma versão maliciosa para distribuir de forma rápida e oculta para os alvos.

Esse tipo de ataque está crescendo em volume e sofisticação. Um hacker, por exemplo, pode comprometer ou alterar um chip, adicionar um código fonte no hardware antes que o componente seja distribuído para milhões de computadores. Esse tipo de ameaça é muito difícil de ser removida, e deve persistir mesmo depois que o computador for formatado.

Segurança e privacidade de dados

Tanto a GDPR, nova lei de proteção de dados da União Europeia, quanto o LGPD, legislação similar aprovada no Brasil, devem ser precursoras de uma série de iniciativas de privacidade e segurança em outros países. Mas, certamente essas legislações irão de alguma maneira ser prejudiciais, já que podem proibir empresas de segurança de compartilhar até mesmo informações genéricas que servem para identificar e combater ataques.

 Fonte: SecurityReport.

PorWagner Lindemberg

Cassino online vaza informações sobre 108 milhões de apostas, incluindo detalhes de usuários

Um grupo de cassino on-line vazou informações sobre mais de 108 milhões de apostas, incluindo detalhes sobre informações pessoais, depósitos e saques dos clientes, informou a ZDNet.

Os dados vazaram de um servidor ElasticSearch que foi deixado exposto online sem uma senha, disse Justin Paine, o pesquisador de segurança que descobriu o servidor, à ZDNet.

O ElasticSearch é um mecanismo de pesquisa portátil e de alta qualidade que as empresas instalam para melhorar a indexação de dados e os recursos de pesquisa de seus aplicativos da Web. Esses servidores geralmente são instalados em redes internas e não devem ficar expostos on-line, pois geralmente lidam com as informações mais importantes de uma empresa.

Na semana passada, Paine se deparou com uma dessas instâncias do ElasticSearch que ficou sem segurança on-line, sem autenticação para proteger seu conteúdo confidencial. No primeiro olhar, ficou claro para Paine que o servidor continha dados de um portal de apostas online.

Apesar de ser um servidor, a instância ElasticSearch lidava com uma grande quantidade de informações agregadas de vários domínios da Web, provavelmente de algum tipo de esquema de afiliados, ou de uma empresa maior operando vários portais de apostas.

Após uma análise das URLs detectadas nos dados do servidor, Paine e ZDNet concluíram que todos os domínios rodavam cassinos on-line onde os usuários podiam fazer apostas em cartões clássicos e jogos de slot, mas também em outros jogos de apostas não padrão.

Alguns dos domínios que Paine localizou no servidor com vazamento incluíam kahunacasino.com, azur-casino.com, easybet.com e viproomcasino.net, só para citar alguns.

Depois de algumas pesquisas, alguns dos domínios pertenciam à mesma empresa, mas outros pertenciam a empresas localizadas no mesmo prédio em um endereço em Limassol, Chipre, ou operavam com o mesmo número de licença da eGaming emitido pelo governo de Curacao. – uma pequena ilha no Caribe – sugerindo que eles provavelmente eram operados pela mesma entidade.

Os dados do usuário que vazaram desse servidor comum do ElasticSearch incluíam muitas informações confidenciais, como nomes reais, endereços residenciais, números de telefone, endereços de e-mail, datas de nascimento, nomes de usuários do site, saldos de contas, endereços IP, navegador e detalhes do sistema operacional. informação, e uma lista de jogos jogados.

Além disso, Paine também encontrou cerca de 108 milhões de registros contendo informações sobre apostas, ganhos, depósitos e saques atuais. Os dados sobre depósitos e levantamentos também incluem detalhes do cartão de pagamento.

A boa notícia é que os detalhes do cartão de pagamento indexados no servidor ElasticSearch foram parcialmente editados e não estavam expondo os detalhes financeiros completos do usuário.

A má notícia é que qualquer um que tenha encontrado o banco de dados saberia os nomes, endereços residenciais e números de telefone dos jogadores que ganharam recentemente grandes somas de dinheiro e poderiam ter usado essas informações para direcionar usuários como parte de esquemas fraudulentos ou de extorsão.

O ZDNet entrou em contato por e-mail com todos os portais on-line cujos dados Paine identificou no servidor com vazamento. Até o momento, não recebemos nenhuma resposta de nenhuma das equipes de suporte que contatamos na semana passada, mas hoje, o servidor com vazamento ficou offline e não está mais acessível.

“Finalmente está claro. Não está claro se o cliente o desativou ou se o OVH fez o firewall para eles”, disse Paine à ZDNet, depois que ele também entrou em contato com o provedor de serviços na semana passada.

Tendo em conta que nenhum dos sites acima mencionados respondeu ao nosso pedido de comentários e nem tem a sua empresa-mãe, não ficou claro durante quanto tempo o servidor ficou exposto on-line, quantos utilizadores foram afetados exatamente, se alguém fora do pesquisador de segurança acessou o servidor com vazamento e se os clientes forem notificados de que seus dados pessoais ficaram expostos na Internet à vista.

Fonte: ZDNet.

PorWagner Lindemberg

Hackers burlam autenticação em dois fatores do Gmail e Yahoo

Um novo método de ataque se mostrou capaz de burlar sistemas de autenticação em dois fatores de serviços de e-mail como Gmail e Yahooo. Os hackers, que estariam ligados ao governo iraniano, teriam como alvo ativistas políticos, oficiais de governos rivais e jornalistas contrários, em golpes direcionados que envolvem o monitoramento e roubo em tempo real de credenciais, senhas e códigos de acesso.

O golpe foi revelado pelos especialistas da Certfa Lab. Um e-mail fraudulento é enviado às vítimas em nome do serviço de e-mail, escrito de forma dedicada a elas e com o maior nível de autenticidade possível. Uma imagem oculta na mensagem alerta os hackers sobre a visualização, enquanto um link igualmente falso, contido na comunicação, que os leva a um simulacro da página de login oficial dos serviços.

É aí que entra a parte mais arrojada do golpe, com os criminosos permanecendo em uma vigília em tempo real pela inserção de informações de login e senha. Uma vez que elas são digitadas na página falsa, um dos envolvidos no golpe as insere no serviço oficial. Caso a autenticação em dois fatores esteja ativada, a página falsa exibe o alerta de mensagem enviada para o celular, com campo para digitação do código, e um SMS efetivamente é mandado a partir da tentativa real de login.

O processo se repete novamente, com o código sendo inserido e, depois, reproduzido pelo hacker no serviço oficial. De forma a não levantar suspeitas, a página falsa redireciona o usuário para a caixa de entrada real e, agora, tanto o próprio usuário quanto o criminoso passam a ter acesso às informações. A partir daí, estão abertas as portas para roubo de informação ou invasões a redes sociais, sistemas corporativos e outras plataformas.

Os especialistas comprovaram a eficácia do método em plataformas que usam o SMS como método de verificação na segunda etapa, mas ainda não puderam confirmar que ele funciona, também, com códigos que venham de apps como o Googlee Autenticador. A ideia, entretanto, é que o golpe deve ser eficaz também contra esses métodos, já que, em sua essência, eles não são tão diferentes de uma autenticação por SMS.

A única comprovação de invasão, no final das contas, acabam sendo os registros de login, que conterão o IP e região dos hackers responsáveis pela brecha. Entretanto, esse é um campo dificilmente verificado pelos usuários e, como o login foi feito a partir da autenticação em dois fatores, os serviços também não alertarão as vítimas sobre o acesso indevido à conta.

De acordo com a Certfa, os ataques não estão sendo realizados em grande escala, mas existe uma campanha governamental com alvos específicos. O golpe contaria com mais de 20 domínios diferentes e diversas contas de e-mails fraudulentos, além de sites falsos hospedados até mesmo nos servidores da própria Google, tudo em prol de passar uma aparência de legitimidade ao golpe.

Os ataques estariam ligados a um grupo chamado Charming Kitten, que já participou de outras operações ao lado do governo iraniano. Em novembro, por exemplo, oficiais do governo, contratados por ele ou ativistas a favor das sanções impostas pelos EUA ao país foram alvo de tentativas de phishing dessa categoria, o que incluiu também agentes do tesouro americano e funcionários de empresas com ligações à administração pública. Como naquela ocasião, o Irã não se pronunciou sobre o suposto envolvimento nestas operações.

Fonte: Ars Technica

PorWagner Lindemberg

Gemalto aponta em Estudo que 61% dos entrevistados reconhecem que redes sociais são vulneráveis

Estudo da Gemalto descobre que consumidores acreditam que empresas de mídias sociais sejam vulneráveis, com 61% dos entrevistados afirmando que elas representam o maior risco de exposição de dados

AMSTERDÃ – 5 de dezembro de 2018 – A maioria dos consumidores está disposta a abandonar completamente as empresas que sofreram uma violação de dados, com os varejistas no topo desta lista, de acordo com pesquisa da Gemalto, líder mundial em segurança digital. É improvável que dois terços (66%) resolvam fazer compras ou negócios com uma empresa que sofreu uma violação que tenha exposto suas informações financeiras e confidenciais. Os sites de varejistas (62%), bancos (59%) e de mídia social (58%) são os que mais correm risco de perder clientes.

Ao entrevistar 10.500 consumidores no mundo inteiro, a Gemalto descobriu que, independente da idade, 93% culpam as empresas por violações de dados e pensam em agir contra eles. Os sites de mídia social são os que mais preocupam os consumidores, com 61% afirmando que estas empresas não oferecem proteção adequada aos dados do consumidor, seguidos pelos sites de bancos (40%).

Empresas consideradas responsáveis, enquanto os consumidores resolvem agir rapidamente

Com o aumento da conscientização dos problemas de proteção e privacidade de dados, os consumidores agora acreditam que a maior parte (70%) da responsabilidade pela proteção de seus dados depende da empresa que os detém. Isso fez com que a proteção de dados fosse uma consideração importante para os consumidores na hora de interagir com uma marca, com 82% querendo que as empresas implementassem maiores medidas de segurança para seu canal on-line. Estas preocupações são motivadas por 91% dos usuários, que acreditam que os aplicativos e sites que eles utilizam atualmente representam um risco para a proteção e segurança de suas informações pessoais identificáveis (PII).

Apesar dos consumidores colocarem a responsabilidade firmemente nas mãos das empresas, apenas um quarto acha que as empresas estão realmente preocupadas com a proteção e a segurança dos dados dos clientes. Ao assumir o controle da situação, os consumidores não permitem que as empresas se escondam, já que a maioria dos entrevistados forneceu a estas empresas feedback sobre os métodos de segurança que estão oferecendo (35%), que já consideraram (19%) ou podem considerar no futuro (33%).

As empresas não têm escolha, a não ser melhorar a segurança de seus sites, já que os clientes não acreditam que o ônus de mudar seus hábitos de segurança deve recair sobre eles”, disse Jason Hart, diretor de tecnologia de Proteção de Dados da Gemalto. “Os sites de mídia social, especificamente, têm uma batalha em suas mãos para restaurar a confiança em sua segurança e mostrar aos consumidores que estão ouvindo suas preocupações. Se isso não for feito, poderemos considerar alguns desastres em termos de negócios aos infratores, já que os consumidores estão preparados para mudar seus negócios para outro lugar.

Um passado conturbado e um futuro frustrante para os consumidores

Não é nenhuma surpresa que os consumidores estejam frustrados com o estado da proteção de dados nas empresas. Um quarto dos pesquisados já foi vítima de uso fraudulento de suas informações financeiras (26%), 19% por uso fraudulento de suas informações pessoais identificáveis (PII) e 16% por roubo de identidade (ID). Pior ainda, os consumidores não acreditam que as coisas irão melhorar, já que dois terços (66%) afirmam que, em algum momento no futuro, suas informações pessoais serão roubadas.

Mesmo com o medo de que possam se tornar vítimas de uma violação de dados, os consumidores não planejam alterar seu comportamento on-line, pois acreditam que a responsabilidade deve recair sobre as empresas que detêm seus dados. Isso pode explicar por que mais da metade (55%) dos entrevistados continua usando a mesma senha em diferentes contas.

Além de trocar de marca, a geração mais jovem está preparada para ir além e participar de ações jurídicas contra marcas que perdem seus dados. Quase sete em cada dez (67%) jovens de 18 a 24 anos revelaram que levariam os fraudadores e marcas que sofreram uma violação aos tribunais, quando comparados com apenas 45% das pessoas com 65 anos ou mais, com mais de 28% da geração Z (18-24 anos de idade) pelo menos considerando fazer isso.

Isso deve ser um alerta para as empresas de que a paciência do consumidor acabou. Fica claro que eles têm pouca fé de que as empresas estão levando a sério a proteção de dados ou que suas preocupações serão ouvidas, o que os força a agir por conta própria”, continua Hart. “À medida que os jovens se tornam os grandes consumidores do futuro, as empresas estão arriscando não só alienar seus fluxos de receita atuais e futuros, mas também sua reputação, se continuarem dando a impressão de que não levam a sério a segurança de dados. Empresas atuantes devem começar a fazer o básico corretamente, isto é, proteger o seu ativo mais valioso, os dados, com os controles de segurança corretos.

Fonte: CryptoID

PorWagner Lindemberg

Hacker clona celular e rouba US$ 1 milhão de banco de criptomoedas

O hacker Nicholas Truglia, de 21 anos, foi preso por roubar US$ 1 milhão em fundos pertencentes a um cliente de dois bancos de criptomoedas. A vítima é Robert Ross, da cidade de São Francisco, que possuía o valor depositado nos serviços Coinbase e Gemini. As duas contas foram esvaziadas pelo criminoso após a clonagem de seu número de celular.

Em depoimento à polícia, Ross afirmou ter perdido o sinal em seu smartphone no dia 26 de outubro. Nos dias que se seguiram, ele foi a lojas da Apple e também de sua operadora, a AT&T, quando notou que seu número havia sido clonado. Truglia usou sistemas de recuperação de senha e verificação de acesso para acessar as contas da vítima, converter o US$ 1 milhão em criptomoedas e transferi-las para carteiras próprias.

O dinheiro, afirmou a vítima, estava guardado para a realização de possíveis investimentos em moedas virtuais e para pagamento da faculdade da filha. O hacker foi preso na última semana e, após uma busca no apartamento do criminoso em Nova York, US$ 300 mil foram recuperados, com as autoridades admitindo que localizar o restante pode ser uma tarefa complicada.

Truglia foi indiciado por 21 crimes, incluindo fraude, roubo de identidade, roubo, invasão de computadores e outros. Ele também teria clonado celulares de executivos do Vale do Silício, incluindo CEOs e fundadores de câmbios e serviços voltados para as criptomoedas, mas não foi capaz de realizar roubos contra eles.

Nomes como estes vêm sendo cada vez mais citados como vítimas de uma prática chamada “SIM-swapping”, ou “troca de SIMs”, em uma tradução livre. Os criminosos transferem o número de celular da vítima para um chip ou dispositivo sob seu controle. Na sequência, tentativas de invasão de contas são feitas mesmo que protocolos de autenticação em duas etapas estejam funcionando.

É uma prática relativamente simples de ser realizada, afirma a polícia, uma vez que as operadoras americanas realizam verificações simples de cadastro antes da transferência, com dados como data de nascimento ou números de documentos. Tais informações podem ser obtidas de diferentes maneiras, a partir de engenharia social ou por meio de bancos de dados vazados de serviços online.

A mesma AT&T da vítima de Truglia já foi processada por um caso desse tipo, sendo acusada por um americano de negligência. No caso, registrado no começo do ano, o homem teve mais de US$ 24 milhões roubados de diferentes serviços online de criptomoedas depois de ter seu chip clonado com o uso de engenharia social no serviço telefônico da operadora.

As autoridades sugerem que as empresas do setor incrementem seus protocolos de segurança para casos desse tipo. Aos usuários, a polícia pede agilidade no registro de problemas quanto à perda de sinal, além de atenção maior na distribuição de cartões de visita e no armazenamento de fundos, que devem ser guardados em carteiras desconectadas, impossíveis de serem roubadas pelo método.

Fonte: CNBC

PorWagner Lindemberg

Kaspersky detecta nova falha desconhecida no Windows

 

Há um mês, escrevemos sobre termos encontrado um exploit no Microsoft Windows. Pode parecer familiar, mas nossas tecnologias proativas detectaram outro exploit de 0-day que mais uma vez, se aproveita de uma vulnerabilidade previamente desconhecida no sistema operacional. Dessa vez, apenas o Windows 7 e o Server 2008 estão em risco.

No entanto, essa limitação não torna a ameaça menos perigosa. Embora a Microsoft tenha suspendido o suporte geral para o Server 2008 em janeiro de 2015 e oferecido uma atualização gratuita no lançamento do Windows 10, nem todas as pessoas fizeram a instalação. Os desenvolvedores ainda estão oferecendo atualizações de segurança e suporte para ambos os sistemas (e devem continuar até o dia 14 de janeiro de 2020) porque ainda possuem clientes suficientes.

Quando detectamos o exploit, em outubro passado, nossos especialistas imediatamente reportaram a vulnerabilidade à Microsoft, junto com uma prova de conceito. Os desenvolvedores corrigiram prontamente o problema em 13 de novembro.

O que você deve saber sobre esta vulnerabilidade e este exploit?

Trata-se de uma vulnerabilidade de 0-day de elevação de privilégio no driver win32k.sys. Ao explorar essa falha, os cibercriminosos podem garantir os acessos necessários para persistirem no sistema de uma vítima.

O exploit foi utilizado em diversos ataques de APT, principalmente na região do Oriente Médio, e focava apenas nas versões de 32-bits do Windows 7. Você pode encontrar dados técnicos neste post do Securelist. Os assinantes dos nossos relatórios de inteligência de ameaças também podem obter mais informações sobre o ataque pelo endereço de e-mail intelreports@kaspersky.com.

Como se proteger?

Nada de novo por aqui — mas atenção aos nossos conselhos de sempre para vulnerabilidades:

  • Instale o patch da Microsoft imediatamente.
  • Atualize regularmente todos os softwares que a sua empresa utiliza para as versões mais recentes.
  • Pare de utilizar softwares desatualizados antes que seu suporte seja suspenso.
  • Utilize produtos de segurança com capacidades de avaliação de vulnerabilidades e gerenciamento de correções para automatizar processos de atualização.
  • Utilize uma solução de segurança robusta equipada com funcionalidade de detecção com base em comportamentos para uma proteção efetiva contra ameaças desconhecidas incluindo exploits 0-day.

Note que, mais uma vez, o crédito pela detecção dessa ameaça previamente desconhecida vai para nossas tecnologias proativas: mais propriamente para o mecanismo antimalware e de sandbox avançado da Kaspersky Anti Targeted Attack Platform (uma solução criada especificamente para proteção contra ameaças APT) e a tecnologia de prevenção automática de exploits que formam um subsistema integral do Kaspersky Endpoint Security for Business.

Fonte: Kaspersky

PorWagner Lindemberg

Instalações crackeadas do Windows estão infectadas com EternalBlue

O EternalBlue, é o exploit da NSA que fez estragos com o DOUBLEPULSAR no ataque WannaCry.

O código malicioso foi vazado on-line pelo grupo de hackers Shadow Brokers que o roubou do arsenal do Equation Group vinculado à NSA.

O EternalBlue tem como alvo o protocolo SMBv1 do Servidor na porta 445; ele se tornou amplamente adotado na comunidade de desenvolvedores de malware para atingir os sistemas Windows 7 e Windows XP.

A Microsoft solucionou a falha com o MS17-010 e também lançou um patch de emergência para o Windows XP e o Server 2003 em resposta aos ataques de ransomware do WannaCry.

De acordo com uma nova publicação da Avira, os sistemas não corrigidos permanecem expostos a ataques cibernéticos e são serialmente infectados por ameaças.

Ainda há um número significativo de máquinas repetidamente infectadas mais de um ano após os grandes ataques de WannaCry e Petya, disse Mikel Echevarria-Lizarraga, analista sênior de vírus do Avira Protection Lab.

Nossa pesquisa vinculou isso a máquinas Windows que não foram atualizadas em relação à exploração Eternal Blue da NSA e são um alvo aberto para malware.

O número de sistemas não corrigidos expostos online é muito alto, os especialistas apontaram que a maioria deles foi infectada várias vezes. Eles descobriram que as máquinas rodavam instalações crackeadas do Windows, o que significa que não receberam as atualizações de segurança da Microsoft.

Estávamos pesquisando as razões por trás de uma série de máquinas com infecções repetidas, acrescentou Mikel. Descobrimos que muitas dessas máquinas infectadas em série estavam executando falhas de ativação, o que significa que não podem ou não querem atualizar o Windows e instalar atualizações. Isso também significa que eles não receberam o patch de emergência de março de 2017 da Microsoft para esta vulnerabilidade.

A Avira decidiu desativar o protocolo SMB1 totalmente na máquina infectada para interromper o ciclo de infecção sem fim.

Os especialistas descobriram cerca de 300.000 computadores afetados pelo problema, e o Avira Protection está desativando o protocolo SMB1 em cerca de 14.000 computadores diariamente.

A lista dos dez principais países para máquinas infectadas em série é:

  • Indonésia
  • Taiwan
  • Vietnam
  • Tailândia
  • Egito
  • Rússia
  • China
  • Filipinas
  • Índia
  • Turquia

A lista acima não surpreende os especialistas, de acordo com estudos da Statista, os países acima são os principais países para o uso de software não licenciado.

O predomínio de máquinas infectadas fora da América do Norte e da Europa é semelhante aos estudos da Statista sobre o uso de software não licenciado, concluiu a Avira.

Este estudo encontrou taxas de software não licenciadas em média em torno de 52 a 60% fora dos Estados Unidos e da União Européia e caiu para 16% e 28% respectivamente nessas áreas. Geralmente, o software não licenciado não consegue obter os patches mais recentes contra vulnerabilidades como o EternalBlue.

Fonte: securityaffairs.co