Todos os posts tagados portugal

Phishing bancário perto do seu telemóvel

Phishing bancário perto do seu telemóvel

O blogue das Kaspersky alerta que os phishers brasileiros, também responsáveis por ataques em Portugal, estão a começar a criar páginas falsas de bancos com objectivo de angariar contas de clientes do mobile banking.

O esquema é bastante simples de implementar. Começa por espalhar mensagens de email com links maliciosos, cuja programação detecta automaticamente qual o sistema operativo do telemóvel (baseado no user-agent do browser).

Essas mensagens de email fraudulentes poderão conter mensagens muito semelhantes aos emails de bancos reais, tais como mensagens alusivas à versão mobile, como por exemplo:

O seu Banco na palma das suas mãos.

O seu Banco à distância do seu telemóvel.

Consulte o seu saldo bancário mobile.

Os links maliciosos que acompanham esses emails têm como finalidade obter dados confidenciais das contas bancárias dos utilizadores menos atentos. Esses links geralmente são sites com dominios recem-criados ou páginas com reputação que foram comprometidos. Na maioria dos casos, não deverá ver no browser o endereço real do seu banco.

Em Portugal deve estar para breve a utilização deste ataque, isto porque a maioria dos casos registados de phishing no nosso país são oriundos do Brasil. Os utilizadores deverão estar preparados e atentos a estes tipos de ataque.

A Kaspersky Brasil recomenda as seguintes medidas:

  • dê preferência aos aplicativos de mobile banking oficiais disponibilizados gratuitamente pelo seu Banco. Eles podem ser baixados na loja de aplicativos do seu smartphone;
  • evite o acesso através do navegador. Caso seja realmente necessário, dê preferência para os sites com endereço b.br, ou seja seubanco.b.br
  • nunca faça operações via mobile bank estando conectado em uma rede wireless pública, dê preferência para redes de dados 3G ou Edge da sua operadora;
  • nunca clique em links enviados por supostos e-mails do seu banco;
  • não use o Google para procurar a página do banco, pois criminosos usam links patrocinados que aparecem no topo da página;
  • instale um antivírus em seu smartphone ou tablet, alguns deles possuem recursos como navegação segura, capaz de bloquear o acesso a sites de phishing
  • o Kaspersky Mobile Security para usuários de Android também protege contra ataques de phishing e pode ser baixado gratuitamente aqui.

Site da Secretaria-Geral da Presidência do Conselho de Ministros comprometido

Site da Secretaria-Geral da Presidência do Conselho de Ministros comprometido

O site governamental da Secretaria-Geral da Presidência do Conselho de Ministros – www.sg.pcm.gov.pt – foi comprometido pelo grupo QLQ TABUK HacKeR.

O ataque não aparenta ser directo ao governo português porque o grupo modificou a página inicial colocando conteúdos pró-islâmicos.
Se formos investigar os últimos defaces deste grupo podemos concluir que a mensagem é quase sempre a mesma.
Claro que isto não implica que os QLQ TABUK HacKeR não coloquem alguma backdoor no sistema para posterior utilização em futuros ataques.

O site, alojado pela NOVIS Telecom, corre Joomla! e esta pode ter sido uma das possíveis origens do ataque (algo muito comum quando não são feitas as devidas actualizações do core e das extensões utilizadas).

Entretanto a situação já foi restabelecida. Só espero que o departamento técnico tenha efectuado as devidas investigações e análises de segurança para prevenir novos ataques.

Fica por saber se alguma informação confidencial possa ter ido parar as mãos erradas.

Trojan Cossta aumenta presença em Portugal

Trojan tem como alvo Portugal e Angola

O trojan, conhecido por Trojan.Win32.Cossta.ree*, é conhecido e detectado pelos antivirus com uma taxa de sucesso que ronda os 40% (VirusTotal). É altamente prejudicial, dado que tem como objectivo tornar o computador do utilizador afectado num estado C&C (Command and Control). Acrescento também que rouba dados bancários  e outras contas de utilizador.
Em Dezembro de 2011 já tinha mencionado outra variante deste trojan (Trojan.Win32.Cossta.quj) neste artigo.

Com ajuda de algumas amostras enviadas por amigos do projecto WebSegura, consegui analisar um pouco mais sobre este software malicioso de origem brasileira.

O Cossta é actualmente propagado via emails fraudulentos de avisos da PSP – Policia de Segurança Publica, que pelo avaliar da pouca variância do tema, está a ter algum sucesso.
Nas amostras que recebi, o remetente tem quase sempre o dominio @terra.com.br no email com IP’s de origem no Brasil e Rússia. Muito provavelmente são máquinas comprometidas e que estão a fazer o envio destes emails fraudulentos.

Alguns dos scripts internos presentes neste software malicioso estão direccionados para ataques ao:

  • Banif
  • BPINET
  • CGD
  • Facebook
  • Gmail
  • Hotmail
  • Live
  • Montepio

Estes devem ser os principais alvos do Cossta.
De uma forma resumida e com base numa análise do comportamento do trojan concluí o seguinte:

  • Cria uma entrada na firewall do Windows como programa autorizado pelo sistema operativo
  • Eliminação e modificação de ficheiros do Windows
  • Pesquisa por cookies existentes com base nos scripts acima referidos
  • Modifica as configurações de segurança do Internet Explorer
  • Modifica o registo do Windows (inclui execução do programa no autorun)

Num estudo levado a cabo por Fabio Assolini, especialista de segurança da Kaspersky, podemos consultar o mapa dos países mais afectados por uma das variantes deste trojan.
Portugal e Angola são os países com mais máquinas comprometidas, muito provavelmente pela presença dos bancos alvo nestes países.

Submeti a amostra para as sandboxes públicas, que podem consultar:

Para evitar que seja infectado pelo Cossta, é conveniente ter o seu antivirus actualizado e se pretender um pouco mais de segurança, instalar software de remoção de malware, como por exemplo o Malwarebytes.

* Nome identificativo pela empresa de segurança Kaspersky.

Portugal sobe ao 20º país mais infectado

Hoje numa press note da Panda Security:

O recentemente publicado Relatório Trimestral do PandaLabs referente ao terceiro trimestre de 2011, deu a conhecer o ranking dos países mais infectados, cujos dados agora actualizados mostram um ligeiro aumento mas voltam a confirmar a liderança da China (62,6%), seguindo-se Taiwan (53,75%) e Turquia (50,6%), todos acima da média de 43,10% dos PCs infectados conforme mencionado. O seguinte gráfico demonstra os 20 países com maiores níveis de infecção nos últimos nove meses do ano, com Portugal precisamente em 20º lugar (34,92%), subindo da 24ª posição verificada no final de Setembro (30,26%).

(…)

Na minha opinião, não me surpreende esta posição. Pouco ou nada se faz para informar das boas práticas de segurança em Portugal.

inia.gov.pt comprometido por LulzSec Portugal

O site governamental da Iniciativa para a Infância e Adolescência (inia.gov.pt) – foi comprometido por um representante do grupo português LulzSec Portugal.


O grupo criou uma nova página no alojamento, intitulada de hacked.html,  com o logótipo do movimento LulzSec e com a frase:

Sigam-nos, não sigam a corrupção…

Até à data deste artigo, a página comprometida ainda está on-line.

O servidor onde está alojada o site, corre o sistema operativo Windows 2003 e utiliza o servidor web IIS 6.0. Ambas são versões com várias vulnerabilidades públicas e disponíveis a qualquer utilizador (se não forem aplicadas as devidas correcções).

Contactei por email os responsáveis do site mas ainda não obtive qualquer feedback.

Na conta Twitter dos @LulzSecPortugal é possível ver outros ataques realizados pelo grupo, entre os quais Câmara Municipal de Lagos e a Escola Superior de Saúde de Viseu.

Se entretanto o site for corrigido, podem consultar o mirror no Zone-H.