Oferta de emprego do 9mimport.com

Créditos da foto: http://thefinanser.co.uk/

Já tinha referenciado este site no artigo – http://www.websegura.net/sites-de-emprego-fraudulentos/ – mas devido aos inúmeros pedidos de informação/ajuda de utilizadores, decidi publicar um artigo sobre o 9mimport.com.
Este site está a enviar o seguinte email – http://pastebin.com/8XCpwkZ2

O conteúdo do email por si só já demonstra alegadamente ser uma oferta de emprego fraudulenta. No entanto, posso descrever mais informações sobre o que analisei no 9mimport.com:

  • O site corre o CMS Joomla! com a template Yoo Eat (custa 49€ a licença) sem grandes modificações
  • O site está em português mas com muitos textos em inglês
  • Os textos foram retirados doutros sites. Por exemplo, na página de Produtos do 9mimport.com, os textos foram retirados de um site brasileiro
  • Os contatos no site estão incompletos. Não existe telefone, nem email de contato.
  • O registo do domínio foi efetuado em BizCn.com (utilizado em diversos esquemas fraudulentos). A data de registo do domínio 9mimport.com é de 2014-09-03.
  • Os DNS são em FreeDNS.ws (utilizado em diversos esquemas fraudulentos)

9mimport

Mas o que leva este site a ter atualmente tanto impacto?

Nestes últimos anos, foi o único em que diversos utilizadores relataram a presença de anúncios no site do IEFP. Desconhecendo o tipo de validação feita pelo IEFP, na minha opinião, a presença de anúncios alegadamente fraudulentos neste organismo aumenta a confiança dos utilizadores dando a ideia que são fidedignos.

Comentário de um utilizador ao WebSegura.net:

boa tarde, recebi a mesma proposta da 9mimport e como me pareceu tudo bem com a empresa e sendo do site do IEFP pensei ser fidedigno.

No meu ponto de vista, penso que se trata da mesma rede que já criou anteriormente alguns sites já publicados aqui no WebSegura.net.
O modus operandi é muito semelhante e a comunicação de emails é sempre utilizando o mesmo servidor de emails e o mesmo webmail:

Received: from hivedeXXXXXX.fornex.org
Received: from WorldClient by [XXX.XXX.XXX.XXX] (MDaemon PRO v13.0.4)

No mesmo alojamento do 9mimport.comaltushost.com – está outro site já catalogado na lista de sites fraudulentos – finimax.org (entretanto inativo).

Após o preenchimento de um formulário presente no site (que requisita muita informação pessoal como por exemplo: Nº cartão de identidade, contribuinte, cópia do passaporte ou cartão de cidadão, segurança social, telefones, etc.) o utilizador fica aguardar por um resposta da 9mimport.com.

dados

Ao aceitar uma colaboração com a 9mimport.com, o utilizador passa por receber quantias de dinheiro via transferência bancária e posteriormente transferir para outros bancos. Ou seja, servir de intermediário bancário entre contas duvidosas.
O primeiro contato é feito por um pastor de mulas. A função deste é angariar utilizadores (mulas) para transportar dinheiro (provavelmente ilícito) entre contas bancárias. Caso as mulas tenham dúvidas ou dificuldades nas operações, estas terão disponíveis um suporte técnico para as ajudar nas transferências via telemóvel.
Recentemente saiu uma noticia que os bancos monitorizam este tipo de atividades e alertam o utilizador para estas operações, no entanto desconheço os termos de investigação que envolve este processo.

O processo que se segue foi-me relatado por terceiros em contatos por email ao WebSegura.

Tudo começa com a vítima a entrar num período de 15 dias de teste de trabalho. É informado que irá ter acesso a uma conta da empresa unicamente para receber pagamentos de diversos clientes e posteriormente enviar para várias filiais da empresa.
Estes pagamentos serão feitos por transferências bancárias, Moneygram e Western Union.

No período de teste, a vítima recebe esse dinheiro dos clientes na sua conta pessoal.
No primeiro recebimento, que varia entre os 2500€ até aos 5000€, ligam da 9mimport a informar que, assim que chegasse o dinheiro à conta, teria de reenviar via Western Union para um cliente na Ucrânia.
De referir que no período de testes, a vítima não recebe qualquer comissão. Apenas prejuízo porque é debitado da sua conta uma taxa de levantamento.
Após esta primeira fase de testes, a vítima é informada para aguardar por novas tarefas.

De referir que o número que liga às vítimas é não identificado e utiliza uma máscara com o nome da empresa na identificação das SMS.

No decorrer da escrita deste artigo, fui contatado por utilizadores que afirmaram que a entidade bancária alertou-os posteriormente por terem detetado movimentações “duvidosas”. É bom saber que existe uma preocupação por parte dos bancos em proteger os seus clientes mais desatentos. No entanto não posso confirmar se todas as entidades atuar em Portugal tem este sistema de monitorização.

Quero agradecer a todos os utilizadores afetados que contribuíram com o seu testemunho porque sem eles não seria possível escrever este artigo.

Google com suporte FIDO U2F a partir de hoje

FIDO U2F

Google anunciou hoje no seu Blogue de Segurança um novo sistema de autenticação de 2 factores para os seus serviços em alternativa às mensagens por SMS. Esse novo sistema – Security Key  – é constituído por uma pen usb token* que valida e funciona apenas em sites Google.
Aparentemente, o processo é muito simples e rápido. Na autenticação, apenas terá de inserir a Security Key na porta USB assim que for requisitada.

FIDO-U2F-Security-Key

Este equipamento é recomendado a todos os utilizadores que queiram um maior nível de segurança para as suas contas Google, as suas principais vantagens são:

  • Não necessita de drivers ou software próprio – Usa drivers nativas com suporte directo no browser, sem instalação ou configuração.
  • Segurança escalável – é gerado um par de chaves por cada serviço e é armazenado apenas e só nesse serviço a que se vai conectar, assim não há partilha de informações confidenciais entre produtos.

Em Janeiro de 2013 a Wired Magazine foi a primeira a escrever sobre o projecto U2F desde então o seu desenvolvimento cresceu aliado à FIDO Alliance.

Para os interessados neste pequeno hardware, este já pode ser adquirido na Amazon, no entanto todos os equipamentos compatíveis com FIDO Universal 2nd Factor (U2F) poderão ser utilizados.

PHP corrigiu várias vulnerabilidades que permitiam code execution

PHP

A equipa responsável pela gestão do PHP lançou uma nova versão que corrige três falhas, uma delas considerada critica que permite remote code execution.

A vulnerabilidade identificada como “CVE-2014-3669″ só funciona em sistemas de 32 bits e podia causar o que se apelida de integer overflow quando se tratava dados serializados especialmente criados com unserialize().

Foram também corrigidos outros bugs associados à introdução do ‘null byte‘ na biblioteca do cURL.

Estas vulnerabilidades foram descobertas pela High-Tech Bridge, as versões 5.6.2, 5.5.18 e 5.4.34 corrigem estes problemas

Contadores de electricidade inteligentes vulneráveis em Espanha

Untitled-1

Nos dias que correm os dispositivos inteligentes ou smart devices estão cada vez mais dentro das nossas vidas. Facilmente podemos encontrar um dispositivo que esteja ligado à Internet, desde telemóveis até carros, frigoríficos e televisões, nesses casos a segurança e a privacidade continuam a ser um problema e actualmente enfrentam grandes desafios.

Dois investigadores analisaram os contadores inteligentes que são largamente usados em Espanha e encontraram falhas graves na sua implementação, falhas que permitem por exemplo burlar a leitura do contador, os resultados dessa investigação vai ser apresentado na  Black Hat Europe.

Existem três grandes empresas que usam este tipo de dispositivos Endesa, E.ON  e Iberdrola, actualmente estão instalados em 8 milhões de casas o que representa 30% de todos os lares espanhóis.

Para evitar danos os responsáveis da investigação Javier Vazquez Vidal e Alberto Garcia Illera decidiram não revelar os detalhes do fabricante nem de como executar o ataque até que a situação esteja resolvida.

Durante a investigação destes equipamentos foram utilizadas técnicas de engenharia reversa para entender o seu funcionamento e de que forma comunicavam dentro da rede. Os principais problemas estão relacionados com o software usado pelo fabricante que permite injectar código malicioso e na forma de como estão armazenadas as credenciais, é usado AES-128 para o efeito que pode ser decifrado facilmente usando técnicas de brute-force.

Estas vulnerabilidades permitem desligar remotamente o abastecimento eléctrico das casas, aceder às leituras, transferir leituras de outros contadores e até injectar “network worms” que poderiam causar danos de larga escala na rede eléctrica.

Em cenários reais este tipo de falhas poderá pôr um país às escuras, o que nos dias de hoje representaria um país estagnado.

Facebook verifica contas que foram comprometidas

facebook

O Facebook anunciou recentemente  que criou uma ferramenta que permite verifica contas de Facebook comprometidas que foram divulgadas em leaks.

Segundo fonte oficial, o Facebook não guarda as passwords dos utilizadores em plaintext. O que o sistema faz é obter o email e a password do leak e verificar se a password valida no sistema de processamento normal de autenticação. Basicamente é o mesmo processo que a password passa num login normal.
Se o sistema verifica que a password está correta, o utilizador afetado é alertado para mudar os seus dados de acesso imediatamente.

Esta nova funcionalidade por parte do Facebook é uma nova camada adicional de proteção aos seus utilizadores. Este sistema, juntamente com a autenticação de 2 fatores, aumenta o nível de segurança das contas de mais de 1000 milhões de utilizadores ativos.