Todos os posts tagados phishing

Site governamental chinês hospedando phishing direcionado à instituições brasileiras

por David Sopas em 17 de Outubro de 2011 em Curtas, Notícias com 0 comentários

Hoje eu me deparei com um caso muito interessante e que ilustra a dificuldade de se identificar a autoria e investigar crimes transnacionais como os que ocorrem diariamente na internet e afetam milhões de clientes de instituições financeiras em todo o mundo.

Nada de novo, mas considerei relevante por tratar-se de um site governamental chinês que está hospedando um arquivo .pac (mais sobre este tipo de phishing, aqui – LinhaDefensiva) – que objetiva substituir as configurações de proxy do navegador do usuário (e configuração do registro da máquina infectada *), o redirecionando para um proxy malicioso que redireciona os clientes das instituições financeiras para sites falsos.

(…)

‘Sincronize seu Token’ – Phishing ao banco Santander

por David Sopas em 10 de Outubro de 2011 em Artigos com 0 comentários

Hoje recebi uma campanha de phishing ao banco Santander que, para além de não ter sido marcado como SPAM (no Gmail), também tem uma taxa de detecção de vírus baixa (9/43 segundo VirusTotal) se considerarmos o tipo de ataque.

O público alvo aparenta ser clientes brasileiros do Santander, mas já recebi alguns alertas de portugueses que ficaram infectados com este malware.

Cabeçalho da amostra:

Return-Path: age_riodosull@eucatur.com.br
Delivery-date: Mon, 10 Oct 2011 11:52:19 +0100
Received: from mail.eucatur.com.br ([200.193.166.146]) by xxxxxxxx with esmtp (Exim 4.69) (envelope-from <age_riodosull@eucatur.com.br>) id 1RDDT1-001EQW-35 for xxxxxxx; Mon, 10 Oct 2011 11:52:19 +0100
Received: from [10.0.0.5] (unknown [187.7.62.195]) by mail.eucatur.com.br (Postfix) with ESMTP id 63E46908567; Mon, 10 Oct 2011 07:34:39 -0300 (BRT)
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_02A5_01CC8743.4F80C720″
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
MIME-Version: 1.0
Subject: Sincronize seu Token.
To: <age_riodosull@eucatur.com.br>
From: “Santander Empresarial” <age_riodosull@eucatur.com.br>
Date: Mon, 10 Oct 2011 07:34:39 -0300

Após o utilizador clicar no ficheiro que descarregou ao clicar no link do email, a informação obtida pelo malware (Token_Santander.exe) é enviada para uma página web comprometida utilizando o método POST para um ficheiro PHP – sntemp.php.
Gostava de salientar que a página é não tem o index protegido e por esse motivo é possível visualizar os ficheiros presentes nesse directório. Neste caso, apenas o ficheiro PHP parece ser utilizado para este phishing.

Para uma análise mais técnica e mais aprofundada da amostra, podem acompanhar o desenvolvimento que submeti nas seguintes sandboxes:

Se por algum motivo instalou este software malicioso, é altamente recomendando contactar a sua entidade bancária e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Roubo de identidade em redes sociais

por David Sopas em 26 de Setembro de 2011 em Artigos com 0 comentários

As maiores falhas de segurança informática continuam a ser o erro humano e a falta de formação na área. Estas falhas vão desde a utilização de palavras passe demasiado fáceis e intuitivas, até ao fornecimento de dados bancários em páginas de phishing.

Como o presente e o futuro da Internet passa pelas redes sociais, também não é novidade que os utilizadores maliciosos usem estas plataformas para obtenção de informação confidencial e fontes de negócio lucrativas.

Passo a relatar um episódio infeliz, que aconteceu recentemente a um visitante do WebSegura.net, onde por questões de privacidade, vou intitular de Sr. X.
O Sr. X foi alvo de um ataque de engenharia social em que muita da sua informação pessoal foi usada por utilizadores maliciosos.

Mas o que é engenharia social?

De forma sucinta, é uma técnica/arte/ciência, que consiste em manipular os indivíduos a tomar certas decisões numa determinada altura das suas vidas. A engenharia social não é um termo recente, é utilizado por exemplo, nas entidades policiais para obter informações sobre os criminosos; as entidades políticas quando transmitem medidas rigorosas para a população (sabemos bem como funciona em Portugal…);os advogados quando interrogam os arguidos; e até mesmo as crianças quando são pequenas na manipulação da decisão dos seus progenitores…Esta técnica, bem utilizada, pode ter um impacto bastante elevado.

Há especialistas de segurança que comparam a engenharia social a ataques buffer overflow porque, um individuo é submetido a diferentes tipos de informação que conduzem à confusão, levando-o a executar certas acções sem o seu consentimento.

Os ataques de engenharia social estão presentes diariamente e custam às empresas milhares de euros por ano.
Segundo uma pesquisa da empresa de segurança Check Point Software Technologies, cerca de 48% das empresas já foram vítimas de engenharia social e cada incidente pode custar entre 25.000 a 100.000 dólares.
Os vectores de ataque mais comuns em engenharia social são os e-mails de phishing (47% dos incidentes) e os sites de rede social (39%).

Continuando no episódio do Sr. X…

Tudo começou…
…com um pedido de amizade no Facebook, acompanhado de uma mensagem privada. Esse pedido vinha supostamente de um amigo pessoal. A mensagem indicava que o amigo tinha a sua conta suspensa e por essa razão criou um novo perfil.

O scammer (o autor do esquema), tinha feito o download de toda a informação do seu amigo clonando desta forma todo o seu perfil. Existem ferramentas que já automatizam muito destas tarefas.

O Sr. X aceitou o pedido e forneceu involuntariamente ao scammer toda a sua informação pessoal disponível no seu perfil. Nome completo, local de trabalho, data de nascimento, telemóvel, email, informação geográfica do Foursquare, etc. Toda esta informação “caiu” nas mãos erradas.

Passaram semanas sem qualquer contacto com esse perfil falso, até que recebeu uma mensagem via chat do Facebook com a seguinte mensagem:

“Encontrei o software que precisavas no outro dia para gestão de entradas de pessoal. Link – http://www.software-malicioso-fud.pt/download.exe”

O scammer tinha visto no mural do Sr. X que ele procurava por este software e enviou-lhe um link com um trojan FUD (Fully Undetectable). Claro que o software não funcionava mas agora o PC do Sr. X estava no controlo remoto do scammer.

Para que o Sr. X não notasse o uso de recursos pelo scammer, este provavelmente acedia quando via uma partilha Foursquare, indicando que o Sr.X estaria fora de casa.

O scammer poderá ter tido acesso a vários documentos pessoais: os scans do cartão de cidadão, os documentos das finanças e outras informações confidenciais.

Foi um ataque manual e cuidado (comprovado com a conversa em chat e o possível acesso apenas quando a vítima indicava estar fora de casa), ficando por saber se o Sr. X foi uma vítima aleatória ou seria um alvo concreto.

Presentemente, o Sr. X já removeu o trojan, contactou as autoridades competentes e modificou a informação confidencial perdida. Por vezes ainda é visível, os seus dados nos motores de busca como remetente de malware.

Casos como este são muitos e com tendência a aumentar. Como informação é poder, é um facto dizer que a melhor protecção contra este tipo de ataques é a educação e a formação.

Este episódio vem ilustrar a importância do tipo de informação pessoal publicada na Internet e como só devemos partilhar na grande rede o que estamos dispostos a perder.

Algumas dicas a adoptar:

Não aceitar pedidos de amizade de desconhecidos;
Evitar partilhar informação pessoal nas redes sociais ou utilizar as regras de privacidade para divulgar apenas a quem quiser;
Não utilize aplicações das redes sociais que possam ser perigosas (veja sempre reviews e pesquise opiniões nos motores de busca);
Mantenha sempre o seu software actualizado (sistema operativo, antivírus, etc.).

Com este artigo, espero ter contribuído para uma web mais segura. Também tu podes ajudar os teus amigos… Basta partilhar!

Via Verde alerta para fraude na Internet

por David Sopas em 18 de Agosto de 2011 em Curtas, Notícias com 0 comentários

No TeK:

A Via Verde lançou um alerta para uma fraude na Internet relacionada com o seu serviço de pagamento automático nas autoestradas. Segundo a empresa, o site fraudulento pode comprometer a “privacidade e segurança dos clientes e lesar os seus interesses”.

No site são oferecidos 1.000 euros em passagens na via Verde, aliciando os utilizadores a subscrever serviços e a disponibilizar informações pessoais, como o nome completo, telemóvel e email.

(…)

Fica o alerta…

Phishing ao Banco Santander

por David Sopas em 11 de Agosto de 2011 em Artigos com 0 comentários

Recentemente, recebi duas amostras de campanhas que têm como objectivo efectuar phishing às contas dos clientes do Banco Santander.

Segundo os endereços IP’s dos remetentes, do português utilizado, dos endereços de alojamento e dos nomes de variáveis utilizadas, tudo aponta ser um ataque de origem brasileira.

Cabeçalho da 1ª amostra:

Received: from mx-ccr.cristorei.com.br ([200.162.160.111]) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from emerson@jmarques.com.br) id 1QrMjl-000vfq-90 for XXXXX@XXXXXXXXXXXXX.XXX; Thu, 11 Aug 2011 05:19:18 +0100
Received: from [192.168.1.4] (unknown [187.59.59.80]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id 611C81E9408; Thu, 11 Aug 2011 01:07:30 -0300 (BRT)
Return-Path: emerson@jmarques.com.br
From: “Santander S.A.” emerson@jmarques.com.br
To: emerson@jmarques.com.br
Subject: Comunicado!

Cabeçalho da 2ª amostra:

Received: from [200.162.160.111] (helo=mx-ccr.cristorei.com.br) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from naturalspa@naturalspa.com.br) id 1QqzSO-001mLE-U7 for XXXXX@XXXXXXXXXXXXX.XXXm; Wed, 10 Aug 2011 04:27:49 +0100
Received: from [192.168.0.166] (189.114.195.73.dynamic.adsl.gvt.net.br [189.114.195.73]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id C0AAA1E98C1; Wed, 10 Aug 2011 00:26:58 -0300 (BRT)
Return-Path: naturalspa@naturalspa.com.br
From: “Sanatander S.A.” naturalspa@naturalspa.com.br
To: naturalspa@naturalspa.com.br
Subject: Comunicado!

Após o utilizador efectuar o download e executar a aplicação, este vai requisitar informação bancária, que posteriormente, é enviado via método POST para um ficheiro PHP alojado num servidor web comprometido. Este processo é muito habitual nestes casos.

No caso da primeira amostra, este descarrega também um trojan via web para um possível futuro acesso (C&C – Command and Control).

De referir que ambas as amostras foram detectados pelos antivírus mais comuns.

Para uma análise mais técnica e mais aprofundada das amostras, podem acompanhar o desenvolvimento que submeti nas seguintes sandboxes:

Se por algum motivo instalou este software, é altamente recomendando contactar o seu banco e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Esta informação já foi enviada para o banco visado.

Todos os posts tagados phishing

Site governamental chinês hospedando phishing direcionado à instituições brasileiras

‘Sincronize seu Token’ – Phishing ao banco Santander

Via Verde alerta para fraude na Internet

Phishing ao Banco Santander

Fraude – AVISO! Policia de Seguranca Publica

Site das Novas Oportunidades foi “hackado”

Fraude através do Standvirtual

Fraude – FreeAppFacebook.com – Quem visita perfil e mudar cor do Facebook

Notificação PSP – Email fraudulento

Megaupload fechado, quem se segue?

Trojan Cossta aumenta presença em Portugal

Falha Hash Collision debatida em Podcast

SWFScan disponibilizado pela HP

Reaver – um brute-force contra WPS

Categorias

Receba no seu e-mail

Últimos Tweets

Analisa uma página web

Artigos em português