Todos os posts tagados google

Google com suporte FIDO U2F a partir de hoje

FIDO U2F

Google anunciou hoje no seu Blogue de Segurança um novo sistema de autenticação de 2 factores para os seus serviços em alternativa às mensagens por SMS. Esse novo sistema – Security Key  – é constituído por uma pen usb token* que valida e funciona apenas em sites Google.
Aparentemente, o processo é muito simples e rápido. Na autenticação, apenas terá de inserir a Security Key na porta USB assim que for requisitada.

FIDO-U2F-Security-Key

Este equipamento é recomendado a todos os utilizadores que queiram um maior nível de segurança para as suas contas Google, as suas principais vantagens são:

  • Não necessita de drivers ou software próprio – Usa drivers nativas com suporte directo no browser, sem instalação ou configuração.
  • Segurança escalável – é gerado um par de chaves por cada serviço e é armazenado apenas e só nesse serviço a que se vai conectar, assim não há partilha de informações confidenciais entre produtos.

Em Janeiro de 2013 a Wired Magazine foi a primeira a escrever sobre o projecto U2F desde então o seu desenvolvimento cresceu aliado à FIDO Alliance.

Para os interessados neste pequeno hardware, este já pode ser adquirido na Amazon, no entanto todos os equipamentos compatíveis com FIDO Universal 2nd Factor (U2F) poderão ser utilizados.

Evite fraudes no OLX com o Google

Evite fraudes no OLX com o Google

OLX, Standvirtual, Coisas, Custojusto, entre outros… são alguns dos sites que apresentam anúncios e contactos fraudulentos todos os dias. Por muito que as empresas responsáveis por estes portais tentem combater este crime online, os utilizadores maliciosos aproveitam-se quase sempre da fragilidade e desconhecimento das vítimas.

Tendo em conta um exemplo real de uma fraude no OLX, que me foi reportado por um utilizador do WebSegura, é possível obter algumas pistas sobre a veracidade de um anúncio ou contacto.

Uma das melhores opções é a utilização das Imagens do Google – https://images.google.com – para tentar encontrar imagens iguais ou semelhantes. Desta forma é possível verificar se a imagem já foi utilizada noutros esquemas; se foi retirada de outro site; se pertence a um banco de imagens…
No Google Chrome, é muito simples de efectuar esta operação. Basta posicionar o cursor do rato sobre a imagem e pressionar o botão direito do mesmo. Clique na opção Pesquisar esta imagem no Google.

Para os utilizadores de outros browsers, podem optar por copiar o URL da imagem e colar no https://images.google.com.

Existe uma alternativa, já presente nas ferramentas online de segurança, ao site das Imagens do Google – https://www.tineye.com/. É uma boa escolha e oferecem um plugin para o Mozilla Firefox.

Dependendo do anúncio, também poderão usar o Google Maps e o Google Street View para verificar moradas e ruas. Pode ser importante antes de fechar um negócio.

Voltando ao caso de estudo do OLX…
Um utilizador intitulado de Olivier, entrou em contacto via telemóvel com o nosso utilizador do WebSegura (vamos chamá-lo de Sr. W) mostrando interesse num automóvel divulgado num anúncio do OLX. O Olivier mencionou, num inglês muito fraco, que pretendia adquirir o automóvel mas este teria de ser entregue na Nigéria. O pagamento seria processado via Paypal e o Sr. W teria de enviar toda a documentação legal do carro. Nesta conversa surge também o pagamento de uma taxa de transporte de 400€ que também seria pago por Paypal. O Sr. W rejeitou prontamente e o Olivier tentou então convencê-lo que iria então recolher o carro e ele próprio faria o transporte. O Sr. W pediu-lhe então informação pessoal juntamente com uma foto:

Nome: Olivier Souza
Cidade: Ibadan
País: Nigeria
Código Postal: 23402

O Sr. W desistiu do negócio porque achava a informação muito estranha. O Olivier tentou ligar mais uma dúzia de vezes, desistindo passado algum tempo.

Utilizando a técnica que referi no início do artigo, pesquisando a foto do Olivier Souza, encontramos várias referências chegando à conclusão que este utilizador malicioso roubou a foto e atribuiu uma nova identidade.

Aliás, utilizando a pesquisa do Google, o nome Olivier é um dos mais populares por estes utilizadores maliciosos nestes esquemas fraudulentos. Existem relatos na web, em que o Olivier já efectua esquemas no OLX desde 2010.

Utilizar o motor de busca do Google para averiguar textos, imagens ou mapas pode ser uma ferramenta perfeita para evitar fraudes online. São muitos os comentários em diversos artigos de segurança no WebSegura onde utilizadores encontraram referência a burlas no Google e leram o artigo.

Se foi vítima de uma esquema no OLX ou quer contar a sua experiência com uma história semelhante, comente e deixe a sua mensagem. Desta forma poderá estar ajuda o próximo.

Esquema fraudulento promete roubar senha do Facebook

hack_conta_facebook

Hoje está a circular em larga escala no Facebook um esquema fraudulento que informa aos utilizadores desta rede social que é possível roubar a contra-senha de qualquer utilizador do Facebook.

A página web – golelite.com/2014/02/revelador-de-contrasenas-facebook.html – promete hackar qualquer conta do Facebook apenas sabendo o perfil. De seguida, informa o utilizador que tem de executar 6 passos. Entre eles, cito:

1º Copia um determinado código
2º Ir para o perfil do Facebook que quer roubar
3º Entrar no Inspector do Google e pressionar F12
4º Colocar na secção da consola do Chrome
5º Colar o código que copiou no passo 1º
6º Pressionar Enter

hack_facebook_3

Basicamente, informa ao utilizador para colocar código Javascript num editor e executa esse mesmo código.
Neste caso, ao invés de roubar senha de qualquer utilizador do Facebook, este vai percorrer a lista de amigos da conta pessoal e identificá-los num comentário de um post para este esquema. Esta operação torna o post viral (à data deste artigo, o post do Facebook deste esquema já tinha mais de 130.000 comentários).

hack_conta_facebook2

O código malicioso está escrito em Javascript, e está ofuscado, embora tenha encontrado no Pastebin uma versão que pode ser lida de maneira a poder entender um pouco o que faz.

A falha não está propriamente no Facebook mas sim na mentalidade do utilizador que, por falta de atenção/informação, executa o próprio comando que o infecta.

Embora tenha sido escrito e propagado apenas em língua espanhola, são muitos os portugueses que estão a cair nesta fraude.

É importante divulgar esta informação para que o número de vítimas não aumente.

Roubo de certificado pode levar a grande ataque contra o Gmail

No IDG Now!:

Um grupo de crackers conseguiu obter um certificado digital válido para qualquer site Google a partir de um provedor de certificados da Holanda, de acordo com Roel Schouwenberg, pesquisador sênior de malware da Kasperky Lab.

Os criminosos podem usar o certificado para conduzir ataques “man-in-the-middle” (intermediário) contra usuários do Gmail. “Esse é um ‘coringa’ válido para qualquer domínio Google”, afirmou Schouwenberg.

(…)

Curioso como vi a notícia quando estava a ver o vídeo do MoxieSSL And The Future Of Authenticity – na conferência Blackhat.

Phishers colocam alvo em contas do Google AdWords

Segundo o The Register, utilizadores maliciosos lançaram uma campanha de phishing que pretende enganar, principalmente empresas, a fornecer dados confidenciais a um website criado para o efeito – google-oa.net.