Vírus brasileiro cria conta de acesso remoto no computador da vítima

Conta de acesso para criminosos tem o nome de 'Remo'.

Comum em pragas de outros países, função é rara no Brasil.

A fabricante de antivírus Kaspersky Lab divulgou a existência de um vírus brasileiro que, além de roubar senhas bancárias, cria uma conta de usuário no sistema para permitir que o criminoso controle o computador remotamente. Essa prática é rara em códigos maliciosos feitos no Brasil, que normalmente operam sem controle direto dos responsáveis.

 

Conta de acesso Remo criada para permitir que criminosos controlem os PCs infectados pela internet

Para não ter problemas no acesso remoto, o vírus muda uma configuração do Windows permitindo que mais de uma conexão ativa na área de trabalho remota possa ser feita. Ele também garante sua inicialização junto com o sistema cadastrando “Tarefas Agendadas” no Windows – um método incomum para iniciar vírus no Brasil.

O analista de vírus da Kaspersky Lab Fabio Assolini explica que o vírus envia informações sobre os computadores infectados para uma página na web. A página mostra que existem mais de 3.300 computadores infectados com a praga digital.

Os criminosos estão vendendo os computadores infectados por R$ 100. As máquinas podem ser utilizadas para o envio de spam – mensagens de e-mail em massa – contendo, por exemplo, pragas digitais para a realização de mais fraudes bancárias.

O usuário pode verificar se está infectado clicando em “Iniciar”, “Executar” e colocando o comando “control userpasswords2” (sem aspas). Se a conta de usuário “Remo” estiver presente e não foi criada por nenhum usuário do computador, é provável que o vírus a tenha registrado.

G1

Hacker invade página da Trend Micro, 3ª maior fabricante de antivírus

Ataque foi assinado pelo grupo 'aneurysm.inc'.
Criminoso diz que está 'cansado de roubar'.

A página principal do site brasileiro da companhia antivírus japonesa Trend Micro foi desfigurada por volta da meia noite desta quinta-feira (9). O ataque foi assinado pelo grupo “aneurysm.inc” e por um hacker que usa o nome de “magnific”. A página desfigurada ficou pouco tempo no ar.

“Faz o seguinte então, me arranja um emprego, estou cansado de roubar”, afirma a mensagem deixada pelo invasor, que também faz várias acusações contra a Trend Micro. A página continha apenas a mensagem e nenhum vírus.

Registros de ataques do grupo “Aneurysm.inc” começaram no site Zone-H, em 2004. Entre as páginas invadidas estão vários sites do governo.

A Trend Micro não é a única empresa de segurança a ter problemas do gênero. A Symantec também já teve páginas comprometidas e a Kaspersky teve um vírus hospedado em suas páginas. A McAfee, que também fornece os serviços de segurança de sites “McAfee Secure”, também já teve falhas encontradas em suas páginas web.

Em 2008, sites internacionais da própria Trend Micro foram infectados com código malicioso. A Trend tem a terceira maior fatia do mercado de antivírus, estando atrás de McAfee e Symantec. O G1 entrou em contato com a Trend Micro no Brasil, que ainda não deu retorno.

Veja abaixo a mensagem deixada no site desfigurado da Trend Micro.

Mensagem deixada pelo invasor da página da Trend Micro

G1

Hackers do Brasil usam nuvem para roubar dados bancários

A empresa de segurança Kaspersky identificou que cibercriminosos do Brasil estão usando o serviço de hospedagem na nuvem da Amazon para disseminar malwares para roubar dados bancários. Os criminosos responsáveis pelo golpe usaram contas ativas para realizar a infecção do Amazon Web Services.

Segundo a Kaspersky, foram enviadas queixas formais à empresa durante o fim de semana, mas os links maliciosos continuam ativos. 

 

"Acredito que os serviços de cloud legítimos continuarão sendo usados pelos cibercriminosos em diversos ataques virtuais. As empresas devem começar a pensar em melhorar os sistemas de monitoramento e expandir a equipe de segurança da informação a fim de reduzir os ataques de malware ativos e disseminados por meio das nuvens", afirmou o pesquisador Dmitry Bestuzhev em comunicado.

Vazamento do malware Zeus pode ajudar criminosos e pesquisadores

Segundo especialistas, divulgação de código-fonte e manual do kit possibilita surgimento de variações do malware, mas ajuda a criar defesas.

O recente vazamento do código-fonte e de um manual do popular kit de criação de programas de cibercrime Zeus pode dar origem a ferramentas adicionais para a luta contra infecções, mas também levanta a preocupação de que criminosos possam usar o código para criar variações de disseminação rápida.

Há cerca de uma semana, cópias do código-fonte do malware Zeus apareceram na Internet, segundo a empresa dinamarquesa de segurança CSIS. Esse vazamento teria acontecido na mesma época que um manual descrevendo a funcionalidade do kit também chegou à rede.

Apesar de o acesso ao código poder ser um benefício para os pesquisadores, especialistas em segurança preocupam-se com a possibilidade de que isso também pode resultar em uma onda de inovação entre os cibercriminosos.

“Ainda não está claro se veremos diferentes ‘sabores’ do Zeus aparecendo nos próximos dias, semanas ou até meses”, diz o analista sênior de cloud computing da Symantec, Paul Wood. “É claro que a habilidade aí depende de os 'caras malvados' tirarem vantagem de um pouco da tecnologia que eles não possuem em seu kit de ferramentas e construir a partir disso sua própria tecnologia, porque há certamente uma grande quantidade de recursos interessantes no kit do Zeus.”

Em 2004, o criador do software de bot Agobot tornou seu código público. Pouco depois disso, as variações do Agobot aumentaram exponencialmente, tornando o código para o programa uma das maiores famílias de malware detectadas na Internet.

Roubo online
O Zeus já é popular e frequentemente usado como um meio de roubar dinheiro de contas bancárias das vítimas. Mesmo assim, a divulgação do código poderia ajudar os criminosos a criar mais variações a partir dele, diz Wood.

O possível vazamento do manual na mesma época só contribuiria para isso. Em um tuíte na última quarta-feira (11/5), o diretor da empresa de segurança F-Secure, Mikko Hyponnen, destacou o documento. “Dá uma boa ideia de que como esses caras são organizados”, disse em sua conta no microblog.

Apesar dessas preocupações, a divulgação do código e do manual também pode ajudar pesquisadores a criarem maneiras melhores para detectar variações do código Zeus, diz Wood, da Symantec.

“O outro lado da moeda realmente é a habilidade de entender como esses componentes são gerados ao olhar para o código-fonte, que nos permite colocar em prática regras melhores para identificar esse tipo de atividade maliciosa”, afirma Wood. “Se pudermos entender um pouco sobre como eles funcionam, isso nos permite criar regras melhores para detectá-los.”

Infelizmente, o código ainda não revelou muito sobre seu autor (ou autores). Em uma análise postada também na última quarta-feira, o professor visitante da Kingston University, Derek Jones, concluiu que só um dos autores tem alguma experiência profissional de desenvolvimento e ótimas habilidades com a língua inglesa. No entanto, ele afirma que é difícil estender tais conclusões.

“Houve um pouco de pesquisa em que as pessoas tentaram fazer um pouco de atribuição de autor”, diz. “Mas o problema é que elas procuram por padrões, mas em códigos não há muitos padrões.”

Onda de ataques de phishing 'clona' sites de 16 bancos brasileiros

Pesquisa revela que três servidores estão sendo utilizados na disseminação desse ataque, que gerou 63 sites falsos, com terminações .br, .com e .gov.br.

Pesquisa da empresa de segurança digital ESET revela que 16 bancos brasileiros tiveram seus sites falsificados em uma recente onda de ataques virtuais do tipo “phishing”.

Em um trocadilho com a palavra “fishing” (que significa “pescaria”, em inglês), esse tipo de ataque visa “pescar” os dados dos usuários, por meio de sites falsos que funcionam como iscas. 

As pesquisas da ESET revelam que três servidores principais estão sendo utilizados na disseminação desse ataque no Brasil, resultando em um total de 63 sites falsos, com terminações .br, .com e .gov.br (utilizado em sites do governo).

"Estamos diante de um ataque mais elaborado que foi desenvolvido por um grupo de criminosos que busca enganar e roubar os usuários", comenta Pablo Ramos, especialista em Awareness & Research da ESET. “Os criminosos virtuais do Brasil estão muito focados no roubo de credenciais bancárias. O tamanho do país e o grande número de usuários que acessa serviços de home banking são os principais motivos para esse tipo de ataque”.

Todos os sites falsos são iguais ou parecidos com os oficiais, e dão a sensação de estar acessando o verdadeiro. Por isso, é preciso redobrar a atenção e observar algumas características para evitar ser “pescado”:

• Nunca clique em e-mail que supostamente vêm de instituições financeiras. Bancos não mandam e-mails com links para atualizações ou cadastros.

• Há casos em que o usuário precisa digitar algumas informações. As instituições financeiras nunca pedem dados do usuário desta maneira.

• Os e-mails têm logotipos da empresa. O remetente de e-mail finge ser da empresa. Porém, nunca utilizam o domínio oficial do banco, mas sim domínios falsos com o nome do banco incluso.

• Sempre verifique a legitimidade do e-mail, entrando em contato com a instituição.

• Verifique a segurança do site e veja se ele usa o protocolo de segurança HTTPS (embora este não seja sinônimo de segurança completa).

Outra dica essencial é que o usuário sempre tenha uma solução de antivírus, além de firewall pessoal e antispam.

IDG

Vírus bloqueia PC dizendo que usuário cometeu crime na internet

Praga russa está traduzida pra 19 idiomas.
Mensagem obriga usuário a discar número Premium.

Uma praga russa que sequestra o PC e tenta convencer o usuário a discar um número premium (0900, no qual parte da tarifa é embolsada pelo dono da linha receptora da chamada) está infectando PCs no Brasil. 

Para atrair a atenção do usuário, a praga bloqueia o computador completamente e exibe uma mensagem dizendo que um crime foi cometido. Para se livrar da investigação policial, é preciso discar para o número informado e digitar o código fornecido pela chamada.

Mensagem afirma que usuário baixou conteúdo pirata e pornografia homossexual Tudo é falso – o que não quer dizer que a mensagem não assuste. O estudante Bráulio Misael Gomes, de 22 anos, foi infectado pelo vírus depois de desativar o antivírus devido a problemas com lentidão no PC. “Quando li as primeiras linhas fiquei surpreso mesmo. Pensei que tinha feito algo realmente fora da lei, afinal, a cada hora inventam uma lei nova e derrubam, então nunca se sabe”, conta o estudante.

No entanto, os erros de português e outros detalhes da mensagem deixaram claro que se tratava de um golpe. O sistema estava impossível de usar – nem a área de trabalho, nem o gerenciador de tarefas estavam acessíveis. Mas o computador iniciou normalmente no Modo Seguro do Windows, o que permitiu a restauração do sistema e o uso do antivírus. “Aí, tudo se resolveu”, relata Gomes.

A praga é conhecida dos fabricantes antivírus, que a detectam com uma variedade de nomes. É muito comum na Rússia, onde ganhou popularidade também nos celulares. 

Aliás, algumas das pragas exigem o envio de um SMS premium para desbloquear o computador – a resposta chega também por SMS, e o usuário pode digitar o código no computador para livrar-se da praga.

O diferencial da nova praga está na sua capacidade de usar uma grande quantidade de idiomas, inclusive o Português Brasileiro. Vírus desse tipo são conhecidos pela categoria de “ransomware” ou “software sequestrador”. Os mais agressivos criptografam os arquivos da vítima e exigem o pagamento do “resgate” para ter a chave que pode abri-los novamente.

Vírus afirma que usuário deve telefonar para um número e obter o código de destravamento G1

Número de ataques na internet cresceu 93% em 2010

Redes sociais e encurtadores de links ajudam a disseminar as ameaças rapidamente.

O número de ataques via internet registrado no ano passado cresceu 93% em relação ao ano anterior, com a ajuda da proliferação de endereços de internet encurtados, informou a empresa Symantec nesta terça-feira (5) em sua revisão anual de ameaças.

Segundo a companhia, os ciberataques dirigidos representarão ameaça crescente para as empresas de todo o mundo neste ano, depois que o Stuxnet atingiu o programa nuclear iraniano em 2010, afirmou a produtora de software de segurança, como explica  Sian John, estrategista de segurança da Symantec.

- O ano passado foi o ano dos ataques dirigidos de grande destaque. Veremos muito mais deles agora.

Os chamados ataques dirigidos encontram sucesso porque a maioria dos consumidores evita clicar em links suspeitos encontrados em mensagens de spam, mas abrem arquivos que parecem chegar de remetentes legítimos.

- É mais complicado realizá-los mas os retornos são mais altos.

A empresa explicou o porquê dos ataques bem sucedidos.

- No ano passado, criminosos postaram milhares desses links encurtados em sites de redes sociais, para iludir vítimas a sofrerem ataques de phishing e malware [programa mal-intencionado], elevando de modo dramático a proporção de infecções bem-sucedidas.

Phishing é uma palavra em inglês para representar um tipo de fraude muito comum em que o internauta recebe mensagens não solicitadas. O objetivo do criminoso que aplica o golpe é que a vítima pense que um site falso é verdadeiro e informe seus dados pessoais como nome, endereço, senhas e números de documentos.

Os sites de redes sociais são plataformas cada vez mais importantes para os ataques, devido ao seu ganho rápido de popularidade entre os usuários.

A produtora de software afirmou que os ataques contra as principais plataformas móveis também deveriam continuar subindo, depois de um aumento de 42% em sua vulnerabilidade no ano passado.

- As grandes plataformas móveis estão por fim se tornando onipresentes a ponto de merecer a atenção dos criminosos. Os atacantes na verdade estão seguindo os consumidores quanto a isso.

 Copyright Thomson Reuters 2011

Vírus Zeus realiza fraude bancária no Brasil com técnica avançada

O Zeus é um “kit” de desenvolvimento de vírus. Após adquiri-lo, um criminoso consegue gerar um vírus novo, com fins específicos, e às vezes sem precisar de conhecimento de programação. 

Segundo as fabricantes de antivírus Trend Micro a praga está chegando ao Brasil com uma técnica avançada de roubo de informações bancárias. Mas a atuação do vírus ainda é limitado justamente porque o “kit” custa US$ 500 – o que é caro para os padrões do crime virtual brasileiro.

A Trend Micro alerta para o uso de uma técnica chamada “man in the browser”, mais avançada que o boy in the browser em uso disseminado no Brasil.

“No momento que você entra na página do banco, ele vai capturar toda a informação transferida entre o banco e o usuário. Ele captura a informação antes do componente de segurança agir”, explica o diretor de Suporte e Serviços da Trend Micro, Leonardo Bonomi. Segundo ele, a Trend Micro precisou alterar seu componente de detecção de rootkit – usado para as pragas mais persistentes – para conseguir “enxergar” a presença dele no sistema.

O Zeus monitora a comunicação interna do próprio navegador. 

Nos casos mais avançados, ainda não observados no Brasil, o vírus altera as páginas do banco para forçar o usuário a trabalhar para o criminoso. Por exemplo, uma transferência pode ser realizada diretamente ao golpista, enquanto o nome verdadeiro da pessoa que deveria receber a transferência aparece na tela.

Em outros casos, o vírus foi usado para quebrar os recursos de “registro de computador”, fazendo o usuário pensar que seu computador não havia sido registrado para uso da conta on-line. Com isso, a vítima faz uma solicitação de novo registro ao banco - registro esse que na verdade é da máquina do criminoso, pois as informações na tela haviam sido trocadas.

Ataques combinados em celulares também já foram vistos para burlar esse tipo de proteção.

Mas esses ataques ainda estão um pouco longe da realidade brasileira. Aqui, o Zeus opera com o simples monitoramento do acesso. Mas, segundo a fabricante russa de antivírus Kaspersky, ele teve uma distribuição limitada e pouco sucesso. Vírus brasileiros – que usam técnicas mais rudimentares – são mais comuns, porque são mais baratos e funcionam.

  Enquanto brasileiros usam telas do Java para
disseminar vírus, o kit do Zeus explora brechas no
navegador para dispensar confirmação de download
em PCs vulneráveis 

“Cibercriminosos brasileiros produzem código nacional eficiente no roubo de informações bancárias com um valor bem menor do que o Zeus”, explica Fabio Assolini, analista de vírus da Kaspersky no Brasil. Assolini diz que, apesar de o Zeus não ser utilizado diretamente, alguns criadores de vírus brasileiros copiam códigos e técnicas dele, mesmo sem usar o kit de desenvolvimento da praga.

Man in The Browser
O Zeus é conhecido por sua sofisticação e flexibilidade. Quem comprar o kit de desenvolvimento de vírus pode criar novas pragas seguindo “assistentes de criação de praga virtual”. O criminoso pode escolher sua “configuração” entre as opções disponíveis e no fim terá um vírus funcionando para a atividade desejada.

No caso da sofisticação, Bonomi, da Trend Micro, acredita que a tendência é que o Zeus passa a ser mais usado ou que suas técnicas sejam incorporadas quando as técnicas hoje em uso, como o Boy in The Browser, já não forem eficazes. O conjunto de técnicas usada pelo Zeus (e algumas outras pragas) é conhecida como “Man in The Browser”. Outro detalhe é que kit do Zeus permite a criação de páginas web que infectam o internauta imediatamente após a visita, sem a necessidade da confirmação de download.

O Boy in The Browser é a alteração da configuração do navegador de internet para redirecionar sites de bancos a páginas falsas. A técnica é muito mais simples do que modificar a página dentro do próprio navegador ou monitorar os dados trocados do navegador com o banco, como no caso do Man in The Browser do Zeus.

“O Boy in the Browser usa técnicas mais simples para redirecionar a informação. O Man in the Browser é mais sofisticado. Então, eu acredito que o Man in the Browser vai ser muito mais utilizado no futuro”, acredita Bonomi.

G1

Spyware infecta celulares na China

A empresa de segurança digital, NetQin, divulgou ter identificado um novo software espião que roda em aparelhos Android, na China.

De acordo com a empresa, o spyware conhecido como “SW.SecurePhone” pode ser encontrado para venda por cerca de U$S 750.

Entre suas capacidades está a possibilidade de gerenciar e controlar chamadas, mensagens e localizar o aparelho pelo GPS.

Segundo a NetQin, quando instalado o spyware roda sem alarde no aparelho e consegue até mesmo ouvir ligações. O vírus armazena os dados coletados no cartão SD do aparelho e transfere os arquivos quando desejar, invadindo a privacidade do usuário sem a necessidade de afetar o funcionamento do celular.

O crescimento de ameaças em celulares só aumenta, registrando mais de 2 mil tipos de vírus para essa plataforma. E o sistema Android, do Google, é a plataforma mais visada pelos criminosos, por ser aberta. Já o sistema Symbian é o que contabiliza mais pragas virtuais.

Info

Usando novas técnicas, malware 'OddJob' rouba dados bancários

Ameaça foi projetada para roubar códigos de identificação de tokens e compartilhar a sessão da vítima.

Cibercriminosos do Leste europeu começaram a usar um novo e perigoso malware para invadir contas bancárias online nos Estados Unidos.

O trojan, apelidado de "OddJob", parece ser um trabalho em andamento. Mas já é diferente de muitos malwares em pelo menos dois aspectos, declarou o diretor de tecnologia da empresa de segurança Trusteer, Amit Klein, que descobriu a ameaça.

Ao contrário de outras ferramentas convencionais utilizadas por hackers, o Oddjob não requer que fraudadores informem login e senha. Em vez disso, o malware foi projetado para hackear a sessão bancária online para roubar a sessão de identificação gerada pelo token.

Ao obter os dados do token e incorporá-lo ao navegador, os fraudadores podem acessar a conta como se fosse um usuário legítimo e acessar as contas enquanto o usuário ainda estiver online. O acesso permite que hackers possam realizar qualquer operação bancária permitida ao titular.

"Essencialmente, ele permite que o fraudador possa compartilhar a sessão com a vítima para que qualquer atividade  realizada pela vítima também possa ser vista por ele", disse Klein.

Diferente
Esse método é diferente de outros ataques, que geralmente utilizam cavalos-de-Tróia para roubar credenciais de login, que depois são usadas para invadir contas online.

A segunda característica bastante peculiar do malware Oddjob é sua capacidade de manter uma sessão de Internet banking aberta,  ainda que os usuários achem que se desconectaram da conta. Isso permite aos criminosos realizar outras atividades fraudulentas, sem o conhecimento do proprietário.

"Identificamos a ameaça no ano passado durante uma investigação de fraude bancária. Desde então, não pudemos falar abertamente sobre a questão por causa das investigações realizadas pelas autoridades policiais", comentou o executivo.

Segundo a empresa de segurança, atualmente, o malware está projetado para atacar principalmente clientes de bancos localizados nos EUA, na Polônia e na Dinamarca. 

De acordo com a Trusteer, uma análise das configurações do Oddjob mostra que ele pode ser programado para executar outras ações, por exemplo, encerrar conexões e injetar códigos maliciosos em sites.

“Acreditamos que no futuro o Oddjob vá apresentar funções ainda mais sofisticadas. Pelo que observamos, essa é uma ferramenta em desenvolvimento”, analisou Klein.

IDG

Criminosos enviam CVs contaminados para empresas que oferecem vagas na web

O intuito dos crackers é infectar a rede interna da companhia, obter dados bancários e realizar transferências para outras contas, segundo o FBI.

Um novo golpe praticado por hackers pode pôr em risco empresas acostumadas a anunciar vagas em sites de empregos, segundo o FBI. 

De acordo com um alerta emitido pelo FBI, cibercriminosos procuram por empresas de pequeno porte que anunciam vagas em sites e enviam programas maliciosos disfarçados de currículos. O intuito é infectar a rede interna, obter os dados bancários e realizar transferências para outras contas.

“Uma companhia nos EUA foi vítima desta técnica e recentemente perdeu 150 mil dólares”, declarou o  Internet Crime Complaint Center, orgão que ajuda o FBI.

"Ele foi inserido em um e-mail de resposta a uma vaga publicada em um site de emprego", comentou a instituição de segurança norte-americana em nota à imprensa, que ainda completou: “O malware, variante do cavalo-de-tróia Bredolab, permitiu que o atacante conseguisse os dados bancários da pessoa autorizada a realizar transações financeiras na empresa".

“Esse tipo de golpe é praticado há pelo menos seis meses”, disse a empresa de segurança SonicWall, que relatou o primeiro caso em julho do ano passado. 

O tipo de cavalo de Tróia identificado pela SonicWall parecia com um documento do Word e fora enviado como anexo, em um e-mail que ainda incluia o seguinte texto: "Olá, eu descobri que você tem um emprego disponível e estou interessado nele. Segue meu currículo. Aguardo a sua resposta. Obrigado."

No caso relatado pelo FBI, o trojan foi utilizado para transferir dinheiro para uma conta bancária na Ucrânia e outras duas nos EUA.

"Recomendamos que os empregadores permaneçam atentos ao abrir e-mails com esse perfil”, complementou.

Para se proteger, consumidores e pequenas empresas podem realizar alguns procedimentos caso suspeitem de um anexo enviado por e-mail. O método mais seguro é excluir o arquivo e escrever ao remetente, pedindo o envio de uma versão do currículo no corpo do e-mail. Outra alternativa, é abrir o documento no Gmail e visualizá-lo pelo próprio navegador.

IDG

Saiba como se proteger dos crimes virtuais

Redes sociais são palco frequente de fraudes online.

O número de ocorrências de crimes virtuais no Brasil cresceu 80% de 2009 para 2010. As fraudes virtuais mais frequentes são feitas por meio das redes sociais, como roubo de dados, perfis falsos e invasões. Outros perigos são os vídeos divulgados, que expõem pessoas em situações constrangedoras.

Veja no vídeo abaixo como se proteger das armadilhas virtuais.

R7

Amazon não hospeda mais o site do Wikileaks

A Amazon.com deixou de hospedar o site do WikiLeaks, que publicou diversos documentos secretos dos Estados Unidos esta semana.

Foi o que afirmou nesta quarta-feira o presidente do Comitê de Segurança Interna do Senado norte-americano, Joe Lieberman.

Na terça-feira, funcionários de Lieberman consultaram a Amazon sobre notícias de que o WikiLeaks teria pedido para hospedar seu site nos servidores da Amazon após sofrer um ataque de hackers.

Info

E-mail personalizado com CPF é nova abordagem de phishing

Mensagem usa os nomes e logomarcas dos grandes bancos brasileiros.

São cada vez mais frequentes histórias de golpes utilizando o documento.

A Karspersky, empresa privada de segurança da internet , alertou nesta terça-feira (23) que usuários brasileiros foram atacados por uma interessante mensagem de phishing na semana passada: a abordagem é feita apresentando o nome completo e o número do CPF da vítima, numa tentativa de legitimar a falsa mensagem, fazendo com que o destinatário acredite na mensagem e clique no link malicioso.

A mensagem usa os nomes e logomarcas dos grandes bancos brasileiros e tanto no campo “assunto” quanto no corpo da mensagem apresenta o nome completo de quem a recebe, além do número do seu CPF.

O CPF é o número que identifica cada cidadão brasileiro perante o governo. O número é muito importante, uma vez que sem ele você não pode abrir conta em bancos, tirar título de eleitor, fazer empréstimos, ter carteira de trabalho ou prestar concursos públicos.

A divulgação do número deve ser controlada, pois são cada vez mais frequentes histórias sobre golpes utilizando este documento, como a do mecânico que teve seus dados roubados por estelionatários, entre eles o número do CPF e ficou com uma divida de R$ 685 mil. A posse desse número possibilita ao criminoso roubar a identidade da vítima e causar diversos prejuízos, ou em outro caso, produzir mensagens personalizadas de phishing como no caso a cima.

Vazamento de Dados
Essa não é a primeira vez que usuários brasileiros são abordados com esse tipo de golpe, que fazem uso de dados pessoais. No ano passado, clientes de uma empresa aérea foram alvo de mensagens maliciosas que mostravam não só o nome completo como também o número do cartão do programa de pontos por fidelidade.

O acesso a esse tipo de informação confidencial, geralmente, é causado a partir de incidentes de vazamento de dados – que podem ocorrer de diversas formas: desde um servidor invadido por cibercriminosos que roubam os dados ou pela perda de notebooks ou pendrives contendo informações corporativas. Infelizmente não existem muitas formas de se proteger, pois quando o usuário se cadastra em um site de comércio eletrônico e tal empresa sofrer um ataque, automaticamente os dados roubados permitem que todos se tornem vitimas em potencial.

No caso do CPF e outros dados do cidadão temos um cenário ainda mais grave, pois esse tipo de informação pode ser facilmente comprada pela internet ou em bancas de camelô.

Portanto, quando receber um e-mail, mesmo que exibindo seus dados pessoais, fique atendo e seja sempre cuidadoso.

G1

Número de sites infectados dobra e chega a 1,2 milhão

Hackers usam sites de governos para danificar computador do usuário.

Uma pesquisa feita pela empresa de segurança Dasient aponta que o número de sites infectados por pragas virtuais, que podem afetar o computador do usuário, dobrou em um ano e chegou a 1,2 milhão de páginas no fim de setembro. De acordo com o levantamento, o número de sites legítimos, como os portais de órgãos dos governos, está crescendo fortemente. 

As mensagens de e-mail, forma clássica de disseminação dessas pragas, por meio de anexos, está perdendo espaço para golpes em que o site está infectado. Isso é perigoso porque a técnica não exige que o usuário abra um arquivo ou clique em um link de uma mensagem para que o vírus passe para o computador – apenas acessar a página já traz riscos.

A Dasient diz que a tendência é que isso aumente, especialmente com o aumento no uso de redes sociais como Facebook, Orkut e Twitter. Os domínios mais usados nesse tipo de ataque são ".com", ".ru" e ".info".

Um dos problemas em detectar sites maliciosos é que hackers estão usando páginas reconhecidas e supostamente confiáveis, de órgãos oficiais, para disseminar vírus. Entre 2009 e 2010, os sites de instituições como o NIH (Instituto Nacional de Saúde dos Estados Unidos) e da EPA (Agência de Proteção Ambiental) foram infectados.

R7

E-mail ameaça cancelar a conta do Gmail para roubar login e senha

Mensagem pede que usuário verifique sua conta.

Página maliciosa só aceita senhas válidas.

Usuários do Gmail receberam uma mensagem maliciosa dizendo que o Google quer “melhorar a qualidade dos serviços excluindo todas as contas inativas”. Para “verificar” sua conta, o usuário precisa clicar em um link e fornecer o usuário e a senha em uma página de login clonada do Gmail.

A mensagem chega com o remetente “Suporte <mail@gmail.com>". Na amostra obtida pelo G1, ela estava com a desta segunda-feira (22). Embora mensagens como essa não sejam incomuns, essa conseguiu passar pelo filtro anti-spam do Gmail, mesmo usando um remetente falso do próprio Google.

Quando uma senha e um login são digitados e enviados, a página clonada faz uma “ponte” entre o usuário e o Google. 

Com isso, a validade da senha é imediatamente verificada. Se o usuário digitar uma senha errada – seja para tentar verificar se a página é falsa ou por um erro de digitação – o site falso conseguirá determinar isso e apresentará um erro.

Quando uma senha correta é apresentada, a página apenas redireciona o usuário para a página principal de buscas do Google.

Criminosos roubam senhas de serviços de e-mail para usar em campanhas de spam. Com um número grande o suficiente de possíveis remetentes, é possível enviar algumas mensagens a partir de cada conta, de tal forma que o Google não perceberá a atividade suspeita, como aconteceria se uma única conta fosse usada para enviar dezenas de milhares de e-mails.

G1

Ameaças com malwares quadruplicaram desde 2007

Cibercriminosos têm mirado plataformas como sistemas de busca, redes sociais e encurtadores de URL para disseminar ataques.

O número de ameaças virtuais a partir do uso de malwares quadruplicou desde 2007, com 60 mil novos códigos descobertos a cada dia. Esses números foram divulgados pela empresa de segurança digital McAfee.

Segundo o último relatório trimestral divulgado pela companhia, o uso de códigos maliciosos está  no maior nível já registrado e que só em 2010 foram descobertos 14 milhões de malwares, um milhão a mais em relação a 2009.

Para propagar os ataques, os crackers têm visado ataques em sistemas de busca, inserindo sites falsos ou infectados de vírus nos resultados da pesquisa; eles também têm utilizado os encurtadores de URL para esconder os códigos, além do uso maciço de redes sociais, como Twitter e Facebook, para disseminar os ataques.

O relatório também mostra como os smartphones se transformam cada vez mais em alvo dos crackers, principalmente na hora de interceptar SMSs enviados aos bancos. Isso porque esse tipo de mensagem tem funcionado como um novo fator de autenticação acrescentado às transações online.

“A educação do usuário sobre a atividade online, além da incorporação de tecnologias de segurança apropriadas são de vital importância”, afirmou Mike Gallagher, vice-presidente sênior e CTO de Global Threat Intelligence da McAfee. “Os criminosos virtuais estão fazendo o seu trabalho”.

IDG Now!

Criminosos enviam link de vírus bancário por torpedo pelo celular

Ladrões de senhas são normalmente enviados por e-mail.

Endereço enviado a celular só infecta o computador.

“Admiro muito o seu jeito. Nunca me manifestei porque fico com um pouco de receio. Estou te mandando uma foto no meu blog, espero que goste.” Mensagens como essa são comuns em e-mails que tentam convencer internautas a seguir um link malicioso para serem infectados com um vírus que rouba senhas bancárias. Mas esse texto foi enviado por SMS ao DJ Ronaldo Gasparian, que postou no Twitter uma tela do seu iPhone exibindo a mensagem maliciosa. Embora chegue por celular, a mensagem distribui um vírus que só funciona no computador.

“Eu fiz pra avisar outras pessoas”, afirmou Gasparian, que tem formação em informática. Ele conta que tentou acessar o link a partir do iPhone. O download de um arquivo executável de Windows (.exe) foi oferecido, mas ele não completou o download, nem tentou acessar do PC. O vírus, de acordo com apuração do G1, era é um ladrão de senhas bancárias.

Gasparian não considerou a hipótese de o link conter algum código malicioso para o próprio iPhone. De fato, não foi possível verificar a existência de ataques a quaisquer celulares. Apenas o arquivo malicioso para Windows é oferecido pelo site, que foi registrado no início deste mês.

Uma vez instalada no PC, a praga monitora o acesso a certas páginas de internet banking para capturar as senhas. Os dados roubados são enviados a criminosos. A mensagem foi enviada nesta terça-feira (9) e um dia depois o site malicioso já se estava fora do ar.

A mensagem partiu de um número controlado pela Oi. Em nota oficial, a Oi afirma que "por imposições legais, não pode realizar qualquer tipo de verificação no conteúdo de mensagens enviadas por SMS". A companhia acrescentou que "orienta seus clientes a não acessarem links de SMS com conteúdo para download de remetentes desconhecidos".

Golpes via celular ocorrem com frequência no Brasil, mas não para disseminar vírus. As fraudes mais comuns são a “nigeriana”, que envolve um prêmio inexistente mediante pagamento de uma taxa, e a do falso sequestro.

  

Altieres Rohr Especial para o G1 

Com medo de vírus em PC, músico entrega US$ 20 milhões a criminosos

Técnicos de informática disseram que ele estava em ‘grave perigo’.

Falso golpe envolvia grupo criminoso de Honduras e até a Opus Dei.

O pianista americano Roger Davidson foi vítima de uma fraude praticada por um casal de Nova York desde 2004, segundo acusação da polícia, e acabou perdendo cerca de US$ 20 milhões ao pagar por suposta proteção contra um vírus de computador.

Vickram Bedi, 36, e sua namorada Helga Invarsdottir, 39, eram donos de uma assistência técnica de informática e tiveram seus serviços solicitados por Davidson para remover um vírus do seu computador. Quando souberam da fortuna do músico, afirmaram que o código malicioso fazia parte de uma conspiração que envolvia criminosos em Honduras e a organização católica Opus Dei na Polônia.

O tio de Bedi, um militar na Índia, afirmou que teria ido até Honduras investigar o computador de origem do ataque, onde teria confirmado a complexidade do caso. Davidson precisaria, por isso, pagar para ter proteção 24 horas, além dos serviços de recuperação de dados e limpeza do vírus.

As cobranças realizadas pela Datalink Computer Products no cartão de crédito de Davidson somam seis milhões de dólares (cerca de R$ 10 milhões). O prejuízo total do músico pode ter chegado a US$ 20 milhões (R$ 34 milhões), segundo as autoridades envolvidas no caso.

O casal de golpistas foi preso na última semana. Eles se preparavam uma fuga para a Islândia, terra natal de Invarsdottir.

Davidson foi produtor do disco “Te Amo Tango”, vencedor do Grammy em 2007. Sua música é inspirada por ritmos argentinos e brasileiros, segundo o seu website oficial. Seu disco mais recente é o “Brazilian Love Songs” (“Canções de Amor Brasileiras”), que reúne as composições do músico baseadas em ritmos brasileiros.

Os pagamentos pelos serviços de proteção fictícia, que começaram em 2004, só pararam recentemente. Se condenados, os fraudadores podem pegar de 8 a 25 anos de prisão.

G1

Vírus usa redes sociais para atacar Mac, Linux e PCs com Windows

'Koobface' dá o controle total do computador ao invasor.

Praga se espalha pelo Facebook, Twitter e MySpace.

O Koobface, uma praga que se espalha via redes sociais e que ataca Windows desde o final de 2008, está utilizando a tecnologia Java para infectar sistemas baseados em Linux e Mac, segundo informações da fabricante de antivírus Intego. 

O usuário chega à página maliciosa ao seguir links em recados e posts no Facebook, no Twitter e no MySpace. As mensagens normalmente prometem um vídeo. Para ver o “vídeo”, no entanto, o usuário precisaria aceitar a instalação de um programa, que na verdade é o Koobface.

Visitando um site malicioso, o internauta recebe um aviso do Java solicitando permissão para executar o aplicativo. É o mesmo recurso usado por criminosos brasileiros para disseminar ladrões de senhas bancárias em sites infectados. 

Em outras palavras, a infecção não ocorre de forma automatizada.

 

Tela de confirmação no Java no Mac e no Windows.

 

Se o usuário for infectado, o Koobface instala diversos componentes. A Intego disse que até o momento não conseguiu ver uma instalação bem-sucedida no Mac OS X em seu laboratório, apesar de ter conhecimento de vários sites infecciosos na rede. “Potencialmente, quando funcionar, ela deve instalar os mesmos componentes que no Windows, onde instala um servidor web, um servidor de IRC, um redirecionador de DNS e um componente de rede-zumbi”, afirmou a empresa. Outra característica da praga é espalhar links maliciosos pelas redes sociais.

Juntos, esses componentes permitem que o invasor controle totalmente o computador do usuário e utilize-o para enviar spam, realizar ataques e outras atividades.

Embora o risco para os usuários de Mac seja abaixo devido aos erros apresentados, a Intego recomenda cautela. “Os usuários de Mac precisam estar cientes de que a ameaça existe e que ela provavelmente estará em pleno funcionamento no futuro”, afirmou a empresa.

O Koobface é uma das pragas mais persistentes da web. De acordo com o Facebook, principal meio de propagação do vírus, os criadores do código malicioso teriam lucrado 35 mil dólares por semana, para um total US$ 1,8 milhão no ano de 2009.

 G1