Todos os posts tagados facebook

Falha no Facebook permitia o envio de anexos ‘exe’

por David Sopas em 1 de Novembro de 2011 em Artigos, Curtas com 0 comentários

Nathan Power publicou no seu site a descrição de uma falha que aproveitava a falta de filtragem dos anexos nas mensagens privadas da rede social Facebook.
Basicamente, era possível modificar o pedido via POST no browser para que este tornasse possível o envio de anexos executáveis.
#FAIL Facebook!

‘Aplicativos do Facebook têm falha grave de segurança’, afirmam especialistas

por David Sopas em 8 de Outubro de 2011 em Curtas, Notícias com 0 comentários

No IDG Now!:

O Facebook está ignorando uma falha séria na maneira como limita o acesso dos desenvolvedores de aplicativos a informações sobre seus usuários. É o que afirmam alguns hackers.

O problema estaria na maneira como as APIs (interface de programação de aplicativos) do Facebook funcionam, e podem até levar a mudanças não-autorizadas de senhas, de acordo com hatter e ErrProne, que são membros da comunidade hacker Blackhat Academy.

Os apps da rede social usam uma linguagem de consulta (query) especial chamada de FQL (Facebook Query Language) para extrair e modificar informações do usuário armazenadas na base de dados da rede social. Essa linguagem proprietária é bem documentada e a sua informação é pública, permitindo que qualquer pessoa aprenda sobre ela.

(…)

…e ter um site com vários artigos de segurança informática exclusivamente em português?

por David Sopas em 3 de Outubro de 2011 em Artigos, Blogue com 0 comentários

Onde? Aqui.

Indicado para todo o tipo de utilizadores, o ler.websegura.net pode ser a ferramenta de leitura ideal no desenvolvimento da área nos países de língua portuguesa e unificar os profissionais da área.

Vantagens para os autores dos artigos?

A referência do artigo, após aprovação, vai estar disponível via RSS e publicado automaticamente na página Facebook do WebSegura.net (1600+ gostos).

De referir a presença de uma secção Hall of Fame que promove os utilizadores que contribuem com URL’s para artigos.
Quem sabe se no futuro estes não serão recompensados?

Plugin para Firefox, Chrome e Safari previne ‘Likejacking’

por David Sopas em 27 de Setembro de 2011 em Curtas, Ferramentas com 0 comentários

A Zscaler disponibilizou gratuitamente um plugin para browsers que previne vários tipos de ameaças utilizando a técnica de Likejacking.
É só clicar aqui.

Roubo de identidade em redes sociais

por David Sopas em 26 de Setembro de 2011 em Artigos com 0 comentários

As maiores falhas de segurança informática continuam a ser o erro humano e a falta de formação na área. Estas falhas vão desde a utilização de palavras passe demasiado fáceis e intuitivas, até ao fornecimento de dados bancários em páginas de phishing.

Como o presente e o futuro da Internet passa pelas redes sociais, também não é novidade que os utilizadores maliciosos usem estas plataformas para obtenção de informação confidencial e fontes de negócio lucrativas.

Passo a relatar um episódio infeliz, que aconteceu recentemente a um visitante do WebSegura.net, onde por questões de privacidade, vou intitular de Sr. X.
O Sr. X foi alvo de um ataque de engenharia social em que muita da sua informação pessoal foi usada por utilizadores maliciosos.

Mas o que é engenharia social?

De forma sucinta, é uma técnica/arte/ciência, que consiste em manipular os indivíduos a tomar certas decisões numa determinada altura das suas vidas. A engenharia social não é um termo recente, é utilizado por exemplo, nas entidades policiais para obter informações sobre os criminosos; as entidades políticas quando transmitem medidas rigorosas para a população (sabemos bem como funciona em Portugal…);os advogados quando interrogam os arguidos; e até mesmo as crianças quando são pequenas na manipulação da decisão dos seus progenitores…Esta técnica, bem utilizada, pode ter um impacto bastante elevado.

Há especialistas de segurança que comparam a engenharia social a ataques buffer overflow porque, um individuo é submetido a diferentes tipos de informação que conduzem à confusão, levando-o a executar certas acções sem o seu consentimento.

Os ataques de engenharia social estão presentes diariamente e custam às empresas milhares de euros por ano.
Segundo uma pesquisa da empresa de segurança Check Point Software Technologies, cerca de 48% das empresas já foram vítimas de engenharia social e cada incidente pode custar entre 25.000 a 100.000 dólares.
Os vectores de ataque mais comuns em engenharia social são os e-mails de phishing (47% dos incidentes) e os sites de rede social (39%).

Continuando no episódio do Sr. X…

Tudo começou…
…com um pedido de amizade no Facebook, acompanhado de uma mensagem privada. Esse pedido vinha supostamente de um amigo pessoal. A mensagem indicava que o amigo tinha a sua conta suspensa e por essa razão criou um novo perfil.

O scammer (o autor do esquema), tinha feito o download de toda a informação do seu amigo clonando desta forma todo o seu perfil. Existem ferramentas que já automatizam muito destas tarefas.

O Sr. X aceitou o pedido e forneceu involuntariamente ao scammer toda a sua informação pessoal disponível no seu perfil. Nome completo, local de trabalho, data de nascimento, telemóvel, email, informação geográfica do Foursquare, etc. Toda esta informação “caiu” nas mãos erradas.

Passaram semanas sem qualquer contacto com esse perfil falso, até que recebeu uma mensagem via chat do Facebook com a seguinte mensagem:

“Encontrei o software que precisavas no outro dia para gestão de entradas de pessoal. Link – http://www.software-malicioso-fud.pt/download.exe”

O scammer tinha visto no mural do Sr. X que ele procurava por este software e enviou-lhe um link com um trojan FUD (Fully Undetectable). Claro que o software não funcionava mas agora o PC do Sr. X estava no controlo remoto do scammer.

Para que o Sr. X não notasse o uso de recursos pelo scammer, este provavelmente acedia quando via uma partilha Foursquare, indicando que o Sr.X estaria fora de casa.

O scammer poderá ter tido acesso a vários documentos pessoais: os scans do cartão de cidadão, os documentos das finanças e outras informações confidenciais.

Foi um ataque manual e cuidado (comprovado com a conversa em chat e o possível acesso apenas quando a vítima indicava estar fora de casa), ficando por saber se o Sr. X foi uma vítima aleatória ou seria um alvo concreto.

Presentemente, o Sr. X já removeu o trojan, contactou as autoridades competentes e modificou a informação confidencial perdida. Por vezes ainda é visível, os seus dados nos motores de busca como remetente de malware.

Casos como este são muitos e com tendência a aumentar. Como informação é poder, é um facto dizer que a melhor protecção contra este tipo de ataques é a educação e a formação.

Este episódio vem ilustrar a importância do tipo de informação pessoal publicada na Internet e como só devemos partilhar na grande rede o que estamos dispostos a perder.

Algumas dicas a adoptar:

  • Não aceitar pedidos de amizade de desconhecidos;
  • Evitar partilhar informação pessoal nas redes sociais ou utilizar as regras de privacidade para divulgar apenas a quem quiser;
  • Não utilize aplicações das redes sociais que possam ser perigosas (veja sempre reviews e pesquise opiniões nos motores de busca);
  • Mantenha sempre o seu software actualizado (sistema operativo, antivírus, etc.).

Com este artigo, espero ter contribuído para uma web mais segura. Também tu podes ajudar os teus amigos… Basta partilhar!

← Mais antigos
Mais recentes →