Todos os posts tagados rede social

Roubo de identidade em redes sociais

As maiores falhas de segurança informática continuam a ser o erro humano e a falta de formação na área. Estas falhas vão desde a utilização de palavras passe demasiado fáceis e intuitivas, até ao fornecimento de dados bancários em páginas de phishing.

Como o presente e o futuro da Internet passa pelas redes sociais, também não é novidade que os utilizadores maliciosos usem estas plataformas para obtenção de informação confidencial e fontes de negócio lucrativas.

Passo a relatar um episódio infeliz, que aconteceu recentemente a um visitante do WebSegura.net, onde por questões de privacidade, vou intitular de Sr. X.
O Sr. X foi alvo de um ataque de engenharia social em que muita da sua informação pessoal foi usada por utilizadores maliciosos.

Mas o que é engenharia social?

De forma sucinta, é uma técnica/arte/ciência, que consiste em manipular os indivíduos a tomar certas decisões numa determinada altura das suas vidas. A engenharia social não é um termo recente, é utilizado por exemplo, nas entidades policiais para obter informações sobre os criminosos; as entidades políticas quando transmitem medidas rigorosas para a população (sabemos bem como funciona em Portugal…);os advogados quando interrogam os arguidos; e até mesmo as crianças quando são pequenas na manipulação da decisão dos seus progenitores…Esta técnica, bem utilizada, pode ter um impacto bastante elevado.

Há especialistas de segurança que comparam a engenharia social a ataques buffer overflow porque, um individuo é submetido a diferentes tipos de informação que conduzem à confusão, levando-o a executar certas acções sem o seu consentimento.

Os ataques de engenharia social estão presentes diariamente e custam às empresas milhares de euros por ano.
Segundo uma pesquisa da empresa de segurança Check Point Software Technologies, cerca de 48% das empresas já foram vítimas de engenharia social e cada incidente pode custar entre 25.000 a 100.000 dólares.
Os vectores de ataque mais comuns em engenharia social são os e-mails de phishing (47% dos incidentes) e os sites de rede social (39%).

Continuando no episódio do Sr. X…

Tudo começou…
…com um pedido de amizade no Facebook, acompanhado de uma mensagem privada. Esse pedido vinha supostamente de um amigo pessoal. A mensagem indicava que o amigo tinha a sua conta suspensa e por essa razão criou um novo perfil.

O scammer (o autor do esquema), tinha feito o download de toda a informação do seu amigo clonando desta forma todo o seu perfil. Existem ferramentas que já automatizam muito destas tarefas.

O Sr. X aceitou o pedido e forneceu involuntariamente ao scammer toda a sua informação pessoal disponível no seu perfil. Nome completo, local de trabalho, data de nascimento, telemóvel, email, informação geográfica do Foursquare, etc. Toda esta informação “caiu” nas mãos erradas.

Passaram semanas sem qualquer contacto com esse perfil falso, até que recebeu uma mensagem via chat do Facebook com a seguinte mensagem:

“Encontrei o software que precisavas no outro dia para gestão de entradas de pessoal. Link – http://www.software-malicioso-fud.pt/download.exe”

O scammer tinha visto no mural do Sr. X que ele procurava por este software e enviou-lhe um link com um trojan FUD (Fully Undetectable). Claro que o software não funcionava mas agora o PC do Sr. X estava no controlo remoto do scammer.

Para que o Sr. X não notasse o uso de recursos pelo scammer, este provavelmente acedia quando via uma partilha Foursquare, indicando que o Sr.X estaria fora de casa.

O scammer poderá ter tido acesso a vários documentos pessoais: os scans do cartão de cidadão, os documentos das finanças e outras informações confidenciais.

Foi um ataque manual e cuidado (comprovado com a conversa em chat e o possível acesso apenas quando a vítima indicava estar fora de casa), ficando por saber se o Sr. X foi uma vítima aleatória ou seria um alvo concreto.

Presentemente, o Sr. X já removeu o trojan, contactou as autoridades competentes e modificou a informação confidencial perdida. Por vezes ainda é visível, os seus dados nos motores de busca como remetente de malware.

Casos como este são muitos e com tendência a aumentar. Como informação é poder, é um facto dizer que a melhor protecção contra este tipo de ataques é a educação e a formação.

Este episódio vem ilustrar a importância do tipo de informação pessoal publicada na Internet e como só devemos partilhar na grande rede o que estamos dispostos a perder.

Algumas dicas a adoptar:

  • Não aceitar pedidos de amizade de desconhecidos;
  • Evitar partilhar informação pessoal nas redes sociais ou utilizar as regras de privacidade para divulgar apenas a quem quiser;
  • Não utilize aplicações das redes sociais que possam ser perigosas (veja sempre reviews e pesquise opiniões nos motores de busca);
  • Mantenha sempre o seu software actualizado (sistema operativo, antivírus, etc.).

Com este artigo, espero ter contribuído para uma web mais segura. Também tu podes ajudar os teus amigos… Basta partilhar!

Proteger a sua conta nas redes sociais

Já existem vários artigos sobre o tema no WebSegura, mas esta referência vem complementar com informação actualizada.
No TNW, foi publicado um artigo sobre segurança nas redes sociais. Desde dicas, de como um utilizador se deve comportar, até à recomendação de algumas aplicações de gestão de passwords.
Recomendado a leitura.

Facebook oferece recompensas a quem descobrir falhas no site

No Sol:

O Facebook vai começar a oferecer recompensas monetárias aos programadores e hackers que descobrirem falhas de segurança na rede social

O site criado por Mark Zuckerberg segue assim as pisadas de empresas como a Google ou a Mozilla, que oferecem dinheiro a quem identifique falhas nas suas aplicações on-line.

De acordo com informação avançada pelo portal Computerworld, o valor mínimo das recompensas é de 500 dólares, quantia que poderá ser aumentada consoante a gravidade do bug em causa.

Definitivamente, tal como o Google já comprovou, é uma boa solução para garantir segurança dos utilizadores desta rede social.

Let’s all go bug hunt ;-)

ESET Portugal alerta para potencial violação de privacidade em redes sociais

Via ESET:

A ESET, líder em protecção proactiva contra malware, representada em Portugal pela WhiteHat, alerta para o modo como os utilizadores interagem com as redes sociais, como o Facebook ou Twitter, o que pode conduzir a um acesso não autorizado a mensagens e páginas empresariais.

São muitos os utilizadores, especialmente no período de férias, que tentam tirar partido das ligações sem fios gratuitas que se encontram disponíveis e sem as configurações ideais de segurança que estas aplicações frequentemente disponibilizam. Contudo, fazem-no despreocupadamente sem considerarem que os seus dados podem estar a ser acedidos por terceiros.

Na prática, esta situação verifica-se quando o utilizador estabelece uma ligação sem recurso a mecanismos de encriptação à sua conta Facebook e através de um ponto de acesso sem fios (hotspots Wi-Fi) aberto para realizar a sua normal actividade nesta rede social, como por exemplo: comentar mensagens, actualizar a página da sua empresa ou contactar com amigos.

Nestas situações especificas, um utilizador mal intencionado pode facilmente e com recurso a um comum smartphone ou computador com ligação Wi-Fi, obter acesso a toda a conta do utilizador, permitindo-lhe colocar mensagens no seu mural ou de terceiros, ler e enviar mensagens ou realizar outras alterações de perfil.

De acordo com Nuno Mendes, responsável em Portugal pela ESET, esta é uma “situação de risco presente em todas as aplicações Web que não obrigam à utilização de ligações seguras HTTPS”. O que acontece é que toda a informação entre o dispositivo cliente e os servidores se encontra a circular de forma visível a ataques de sniffing.

“Tratando-se de uma rede social com tanto impacto na vida pessoal e social de tantos utilizadores e também com abrangência comercial cada vez maior, este tipo de ataques pode causar danos relevantes se considerarmos que muitos utilizadores são responsáveis pela gestão de páginas de empresas ou organizações”, refere Nuno Mendes.

Vários alertas têm sido feitos por vários especialistas em segurança em todo o Mundo, sendo que, em 2010, foi disponibilizado na Internet um add-on para o browser Firefox que demonstrava a facilidade em capturar sessões de Facebook, como prova de conceito.

Em Junho de 2011, surge uma nova prova de conceito – o FaceNiff – que facilita ainda mais estes ataques através de uma aplicação para smartphones Android. O responsável pela WhiteHat em Portugal avisa: “Esta aplicação permite potenciar o sucesso de roubo de sessões Facebook uma vez que atendendo à mobilidade do equipamento, estes ataques podem ser lançados em zonas de grande afluência pública onde existem hotspots abertos ao público”.

Dados de utilizadores do Facebook divulgados inadvertidamente

No Sol:

Foi identificada uma falha no Facebook que poderá ter posto em risco os dados de milhões de utilizadores da rede social.

O alerta foi feito pela Symantec e confirmado pelo Facebook, que refere num dos blogues do site que está a trabalhar com a empresa de segurança informática para melhorar a segurança de uma funcionalidade do sistema de autenticação da rede social.

Em causa está uma falha identificada em algumas aplicações, desenvolvidas por terceiros e que utilizam um sistema de autenticação antigo, que estavam a divulgar informação de alguns dos utilizadores a terceiros de forma inadvertida.

(…)