Sites de emprego fraudulentos

Esquemas fraudulentos em ptempregos.com e scandicredit.pt

Neste momento estão online, com envio regular de spam, os seguintes sites de emprego fraudulentos:

ptempregos.com
scandicredit.pt
scandifinance.net
pt-empregos.pt
trabajosahora.es
creditosys.es

Já recebi centenas de emails de utilizadores que enviaram informação para estes sites. Basicamente o trabalho oferecido é recrutar “mulas” para transferências bancárias.

Eu agradeço o seu interesse e, em seguida, enviou-lhe os passos a seguir, a fim de começar a trabalhar como agente financeiro para Scandifinance em Portugal.
Envio-lhe o link para o site da empresa.

http://scandifinance.net/

Primeiro gostaria de lembrar que nesta primeira fase o trabalho vai ser muito simples e fácil, embora de grande responsabilidade, porque você deve gestionarpequeñas quantias de dinheiro todos os dias.
A sua principal missão é receber transferências de nossa empresa em sua conta bancária pessoal, e após o recebimento, você deve enviar o dinheiro através de sistemas diferentes para o envio de dinheiro como: transferência bancária, ordem de pagamento, na sede da western Union, MoneyGram, etc, para os clientes que estão à espera de o mini-empréstimos, ou um dos diretores de qualquer escritório da nossa empresa.

O trabalho é feito remotamente, assim que você vai trabalhar em sua cidade, o único movimento que iria realizar seria a seus escritórios bancários e os escritórios de envio de dinheiro. Por este motivo, recomendamos que você se familiarize com estes sistemas e saber onde estão os escritórios mais próximo da sua casa

Antes de cada operação, um funcionário da empresa entrará em contato com você para verificar sua disponibilidade e, após a confirmação de sua disponibilidade, todas as instruções serão enviadas via e-mail e mensagem de texto para seu celular.

Uma descrição mais detalhada das suas funções:
Um dia antes de as operações sempre um funcionário da empresa entrará em contato para confirmar a sua disponibilidade para o trabalho no dia seguinte, uma vez que temos a confirmação, no dia seguinte, você deve:
1) Vá para receber o montante indicado pela nossa empresa.
2) Este montante deverá transmiti-la para o cliente, que é o destinatário do empréstimo ou um escritório de nossa empresa. Os dados dos clientes, nós lhe enviaremos por e-mail e mensagem de texto. As taxas de envio são absorvidos pela nossa empresa.
3) Depois de ter transferido o dinheiro, você deve enviar a informação de transacção: o número de controle de transferência de dinheiro (MTCN fornecido pela empresa de envio de dinheiro) ea quantidade total de dinheiro enviado.
4) Quando você terminar a sua tarefa, você deve só esperar para instruções de novas transferências.

Vale ressaltar que um funcionário da empresa entrará em contato com você por telefone para ajudá-lo com cada uma das operações, e também no caso de ter alguma dúvida. Isso é especialmente útil durante os primeiros dias.

Para começar a trabalhar com a nossa empresa, você primeiro precisa assinar o contrato de trabalho on-line e aceitar as condições:

http://scandifinance.net/Contrato

Você deve preencher todos os campos, e uma vez que aceitou as condições deve enviar uma cópia de seu documento de identidade (pode ser o seu bilhete de identidade, passaporte, carta de condução), você deve confirmar seu endereço, e confirme o número da conta, devo lembrar que a sua conta só vai usá-lo para as primeiras transferências só durante os primeiros 10 dias. Você vai ter apenas 2 ou 3 de transferência de dinheiro. Isto para se acostumar com o sistema, no final do julgamento de 10 dias a empresa irá fornecer-lhe uma conta bancária ligada à empresa. Todas as informações fornecidas serão confidenciais e protegidos no banco de dados da empresa e transferências feitas por clientes que tenham sido verificados pelo nosso departamento financeiro.
Assim que enviar o contrato para você, vamos dar-lhe um link para que você possa ter o acompanhamento de seu contrato. Lembre-se que uma vez preenchido o contrato on-line, podemos chamá-lo a qualquer momento para começar.
Você vai começar a trabalhar em um período de pelo menos 2 semanas (período médio pode começar muito mais cedo) após recebermos seus dados e confirmar que tudo está em ordem. Durante o período de teste, o salário será o mesmo que qualquer trabalhador normal, 1.300 euros brutos + comissão de 2% sobre cada transação que você faz
O salário é dividido da seguinte forma. 50% do salário é recebido no dia 15 de cada mês + 2% de comissão sobre as transferências realizadas entre os dias 27 do mês anterior eo dia 11 do mês em curso. E 50% do salário será recebido no dia 30 ou 31 do mês + 2% de comissão sobre as transferências realizadas entre os dias 12 e 26 de cada mês.
Depois de enviar os seus dados no formulário on-line do contrato, você receberá duas cópias do contrato pelo correio. Um para você e uma cópia terá de reenviar o nosso escritório com a sua assinatura. Isto para concluir o processo legal, este processo pode levar várias semanas. Também solicitamos que você confirme o seu endereço no seu CV, pois este endereço eviaremos o contrato e as declarações de transferências efectuadas. Além disso, você terá alta na Segurança Social, se assim desejar.

Por favor informe-me que você recebeu este e-mail. E se você tiver dúvidas por favor não hesite em me escrever.

Atenciosamente,
Manuel Serrano
Diretor de RH para Espanha e Portugal
[email protected]

Os sites são clonados e contem muitas imagens retiradas de sites reais. Todos eles estão interligados. Alguns alojados no mesmo servidor web e outros com o mesmo servidor de SMTP.
Posso afirmar que provavelmente pertence tudo ao mesmo grupo. Também existem fortes indícios de serem oriundos de países como a Rússia e a Ucrânia devido ao modus operandi e ao software utilizado.

Os contatos são feitos por email e com identidades falsas. Os utilizadores maliciosos utilizam uma VPN da fornex.org com o webmail WorldClient (habitual neste género de fraudes).

As páginas de preenchimento de contrato são amadoras, sem validação e com bastantes erros ortográficos.

Fica o alerta.

CTT – A autorização da sua encomenda

CTT - A autorização da sua encomenda

Hesperbot continua a propagar a sua ameaça utilizando a imagem dos CTT.
São inúmeros os emails que me chegam de utilizadores que foram vítimas deste malware.

Remetente:

CTT Portugal [mailto:[email protected]]

O email que aparenta ser dos CTT é acompanhado com um link – via-ctt.pw que encaminha para uma página clonada da localização de objectos dos CTT.

Após a introdução de um código, é apresentado ao utilizador um link para descarregar um ficheiro executável. Ficheiro esse malicioso, que irá infetar o sistema operativo da vítima, tornando mais um zombie na rede do Hesperbot.

A ESET já publicou um artigo sobre este assunto, no qual recomendo a leitura.

É preciso estar atento.

Fraude – Urgente: estou ferido

[Fraude] Urgente: estou ferido

Está a circular um esquema fraudulento por email que requisita dinheiro.
A mensagem é muito semelhante aos golpes nigerianos e tenta convencer o destinatário que alguém necessita de ajuda urgente devido a uma infelicidade.

Segue o email original:

Olá

Eu viajei de Bradford, Reino Unido (uk) minha bagagem e documentos foram
roubados, incluindo meu crédito e telefone. estou ferido e eu preciso ajuda
urgente. Por favor você pode me ajudar. estou encalhado. eu preciso algum
dinheiro para cobrir minhas despesas. eu te devolvo o dinheiro logo que eu
voltar.deixe-me saber se você pode me ajudar

Com os meus melhores cumprimentos,

Atenciosamente
Miguel Julião
[email protected]
[email protected]
Telem 937907555

Este email, com uma possível tradução automática para português, é enviado a partir do webmail da Yahoo.
O email que se segue, é uma resposta de como é processada a fraude, nas palavras do utilizador malicioso:

Muito obrigado pela resposta de vocês .Eu ainda preciso de ajuda, preciso de 1000 euros para cobrir minhas despesas. Você pode enviar dinheiro através da Western Union? Eu te pagarei quando voltar. Diga-me se você pode me ajudar. por favor Localize um escritório de Western Union no banco ou correios perto de você. Não precisas de uma conta para enviar dinheiro através da Western Union, tudo que você precisa é o meu nome e meu endereço aqui no Reino Unido.
Aqui está a informação que você precisa para a Western Union.(www.westernunion.pt)

Nome: Miguel Julião
Endereço: Western Union – 168 Westgate , Bradford, B3 1LH, UNITED KINGDOM(UK)
Mandei o endereço é um Western Union escritório no Reino Unido. Por favor mantenha-me atualizado.

fico a aguardar resposta.
grato pela atenção dispensada

Atenciosamente
Miguel Julião
[email protected]
[email protected]
Telem 937907555

Resta informar que o Sr. Miguel Julião não vai devolver o dinheiro e que o Western Union é um dos métodos favoritos para transferências monetárias dos utilizadores maliciosos.

Fica o alerta para prevenir mais vítimas deste esquema fraudulento.

Malware colorproface.net circula no Facebook

colorproface

Um novo malware está a ser propagado no Facebook. A mensagem está a ser publicada em diversos grupos do Facebook e utilizadores infetados estão a tornar este malware viral.

A mensagem que transmite este malware é:

Olha que interessante essas novas cores pro facebook.

http://colorproface.net

O domínio colorproface.net foi registado no GoDaddy com a seguinte informação:

Creation Date: 2014-06-09 14:00:54
Registry Registrant ID:
Registrant Name: manusclecio albuquerque
Registrant Organization: hwuaye
Registrant Street: rua maria da penha 2379
Registrant City: Belem
Registrant State/Province: Para
Registrant Postal Code: 00000-000
Registrant Country: Brazil
Registrant Phone: +55.0
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]

O site apresenta malware, o que significa que a própria visita poderá infectar o seu sistema.

script_malicioso

Basicamente este código javascript ofuscado, carrega um iframe para tentar o download de um ficheiro malicioso intitulado de coresparaseuface.exe.

Submeti a amostra ao VirusTotal e reparei na baixa taxa de deteção deste ficheiro. É bastante perigoso.

O malware, para além de realmente mudar as cores do Facebook, efetua alterações nocivas no registo do sistema operativo Windows.
Algumas pistas indicam ser um malware de origem brasileira, como já é habitual pelo idioma partilhado.

Fica o meu agradecimento ao nosso parceiro Miúdos Seguros na Net pela divulgação desta fraude.

Entrevista com… Luis Grangeia

Entrevista com... Luis Grangeia

Na comunidade de infosec internacional, um nome tem feito destaque nas notícias – Luís Grangeia.

Resumidamente, o Luis conseguiu obter uma nova forma de explorar o Heartbleed, mostrando que o Android e os routers wireless estão vulneráveis a este bug.
Estive à conversa com o autor desta descoberta no qual transcrevo:

O que te levou a explorar o “Hearbleed” e a criar o “Cupid”?

Basicamente pus-me a pensar em situações em que o heartbleed pudesse ser explorado de formas diferentes, situações de vulnerabilidade para as quais ninguém tivesse ainda forma de validar, e esta situação foi a primeira que me surgiu e em que pensei: “isto pode estar vulnerável em vários dispositivos, mas não tenho qualquer forma testar”. E pus-me ao trabalho.

Achas importante a divulgação pública deste tipo de vulnerabilidades?

Claro. Aliás, na minha pesquisa sobre isto encontrei pelo menos duas pessoas que já tinham feito (ainda que parcialmente) o mesmo que eu me propunha fazer mas que se recusavam a publicar a ferramenta. Há argumentos para ambos os lados da barricada, e parcialmente percebo os deles, mas explico os meus:

Eu quis criar esta prova de conceito para, primeiro, perceber para mim e para os clientes da SysValue que tipo de equipamentos estariam vulneráveis, e se o ataque era possível. Depois de fazer o patch cheguei à conclusão que este seria útil a mais pessoas que estariam interessadas em proteger as suas redes e identificar situações vulneráveis. Por isso publiquei. Pelo caminho ajudei a trazer atenção para este assunto e, espero, pus alguma pressão sobre gestores de redes e fornecedores de tecnologia Wireless a garantir que esta “avenida de ataque” fica fechada rapidamente.

O argumento de este patch poder ser utilizado de forma maliciosa não é muito defensável, na minha opinião. O patch que fiz nao é “point & click”, requer algum conhecimento para executar o ataque, mesmo com o código que disponibilizei. Além disso atacantes que tenham conhecimentos básicos sobre EAP e TLS rapidamente iriam criar uma ferramenta igual ou melhor que a minha.

A divulgação desta falha teve grande impacto nos sites da especialidade internacional. Tiveste algum feedback? E em Portugal?

A divulgação da falha teve bastante impacto, sim, algo que não esperava. Acho que começou sobretudo com o artigo no The Verge. Os meus slides foram apresentados na Confraria e foram feitos nesse espírito de boa disposição. Fi-los em inglês porque tinha intenção de twittar sobre o assunto pois acho que teria algum interesse na comunidade de infosec, mas nunca pensei que o assunto fosse ter o alcance que teve.

É engraçado pois já estou nesta área há uns anos e acho que se tivesse publicado esta pesquisa há 5 anos não teria um décimo do alcance que teve. O facto de o público em geral estar cada vez mais interessado nestes assuntos traz consigo algum peso. A comunidade de infosec deve assumir essa responsabilidade e tentar informar o melhor possível. Claro que nem sempre é possível dada a inevitável distorção dos media generalistas… Mas temos de assumir essa responsabilidade, e tentar informar o melhor possível. Sem minimizar nem exagerar os riscos.

Falas da distorção dos media generalistas… Achas que a comunidade infosec devia preparar ou formar jornalistas para esta área que cada vez está mais presente nas nossas vidas?

Acho que quem lê tem de ser mais exigente, o que nem sempre é possível pois na segurança de informação (assim como em todas as áreas mais técnicas) existe um desnível de informação muito grande. O ónus de informar e de esclarecer é dos jornalistas, afinal de contas é o trabalho deles… É deles que deve partir a iniciativa de exigir aos especialistas que “troquem as coisas por miúdos”… E evitar cair no sensacionalismo, o que em segurança de informação é muito fácil de fazer pois tocam-se zonas sensíveis e muito dadas a respostas emocionais como a privacidade dos nossos dados, a segurança da nossa identidade online, etc.

O que acontece é que, como há um desnível muito grande de informação, há muitos “especialistas” ou “hackers” que vendem histórias aos jornalistas completamente exageradas ou que nada têm a ver com a realidade. E o jornalista muitas vezes cai (ou deixa-se cair) na armadilha para o sensacionalismo fácil. Mas felizmente, e precisamente por causa da maior exigência da parte de quem lê, cada vez mais jornalistas validam os fatos com fontes de confiança. E aí é bom haver especialistas reconhecidos que possam ser consultados para dar credibilidade ao que é relatado (e associações como a AP2SI — ou até iniciativas como a Web Segura).

Achas que Portugal está preparado para assumir um papel mais activo na segurança de informação?

Depende do que estivermos a falar, essa pergunta dá pano para mangas. Portugal está bastante avançado em termos de segurança da informação, dependendo para onde olhemos. Por exemplo, os bancos online portugueses estão, comparativamente falando, relativamente bem apetrechados para lidar com ataques de phishing e malware. Já o estado, como Portugal historicamente não é um alvo interessante do ponto de vista de espionagem, sabotagem, etc., está bastante atrás de “gigantes” como os EUA, Israel, China, Inglaterra.

Temos coisas boas e coisas más. Acho que nos temos adaptado bem às ameaças, mas há ainda muito trabalho por fazer. E nunca vai estar tudo feito, pois a segurança (nas vertentes de defesa e ataque) tem de se adaptar continuamente às ameaças, que mudam constantemente.

Fico o meu agradecimento ao Luis Grangeia pela disponibilidade e fico aguardar por novos sucessos.