Segurança

Fraude “Bradesco” – cara de pau passo a passo

24 de março de 2010

12:23

9 comentários em Fraude “Bradesco” – cara de pau passo a passo

Cotidiano, Internet, Pragas virtuais, Segurança

Exibo neste artigo o passo a passo de uma fraude do tipo phishing scam (pesca-bobos) que chega por e-mail, para alertar a todos de o que é e como pode aparentar um dos muitos tipos de fraude bancária existentes na Internet.

A mensagem de e-mail

Chega por e-mail um spam, enviados a milhões de pessoas, a seguinte mensagem fraudulenta.

[photopress:fraude_bradesco_email.png,full,centered]

Uma parcela dos destinatários será realmente usuário do banco em questão (Bradesco). Destes, alguns serão ingênuos e desprevenidos o bastante para cair na farsa.

A página web

Quem clica no link da mensagem de correio eletrônico, cujo domínio é muito duvidoso (Pense: por que o banco legítimo usaria um desconhecido atendimento-v6.com e não o domínio do próprio banco bradesco.com.br? Indício claro de fraude) é direcionado para uma página web onde o Passo 1 é escolher o tipo de cliente.

A página web exibe inicialmente uma janela de diálogo para tentar “tranquilizar” o cliente otário…

[photopress:fraude_bradesco_web_01.png,full,centered]

[photopress:fraude_bradesco_web_01_dlg.png,full,centered]

“FIQUE TRANQUILO – Você está operando em um ambiente seguro e criptografado, apartir (sic) de agora somente o seu computador e os nossos servidores centrais entendem as informações digitadas.”

Ambiente seguro??? Não existe ambiente seguro se não há o protocolo HTTPS (observe nesta página de fraude o http comum, sem s, na barra de endereço), quando aparece o famoso cadeado exibido pelo próprio navegador. O cadeado vermelho exibido é uma mera imagem fajuta na página, não significa nada.

Veja a seguir imagens no Firefox (3.6) e Internet Explorer (8) exibindo uma conexão segura real. O endereço começa sempre com https (S de seguro) e o navegador exibe um cadeado. O do Firefox é no canto inferior direito da janela, na barra de estado; o do Internet Explorer 8 passou a ser exibido no final da barra de endereço.

[photopress:https_firefox.png,full,centered]

[photopress:https_ie8.png,full,centered]

Pessoa física – passo a passo

Os passos para pessoa física, ou clientes Prime e Private são praticamente idênticas. Veja a seguir os passos exibidos quando se escolhe Pessoa Física.

[photopress:fraude_bradesco_web_pf_02.png,full,centered]
[photopress:fraude_bradesco_web_pf_02_dlg.png,full,centered]

A digitação da conta inclui o requinte de efetivamente validar o dígito verificador. Se digitado incorreto, a janela de diálogo acima é exibida e não se pode prosseguir.

Na tela de digitação da senha de quatro dígitos, uma mensagem ameaçadora incentiva o usuário a continuar:

“Não cancele a atualização do Plugin de Segurança, pois ocorrerá o bloqueio imediato de sua conta por medidas de segurança.”

[photopress:fraude_bradesco_web_pf_03.png,full,centered]
[photopress:fraude_bradesco_web_pf_03_dlg.png,full,centered]

O script de digitação pelo telcado virtual não funciona no Firefox. No Internet Explorer a digitação funcionou, embora a diagramação da tela é que ficou incorreta, por causa de um número de controle exibido no alto. Veja a seguir.

[photopress:fraude_bradesco_web_pf_03_ie.png,full,centered]

No Passo 4 seguinte, o auge do indício total de fraude: Todos os 70 códigos do cartão de segurança emitido pelo banco são solicitados, e não apenas um como é a medida de segurança nas transações legítimas. Só o fraudador é que precisa de todos os códigos, para usar um deles que for solicitado pelo banco quando ele for utilizar os dados que está roubando aqui.

[photopress:fraude_bradesco_web_pf_04.png,full,centered]
[photopress:fraude_bradesco_web_pf_04_dlg.png,full,centered]

Mais uma vez, a validação. Nenhum código pode ser deixado em branco, senão uma mensagem é exibida e a fraude não prossegue.

O toque final, a senha de seis dígitos do cartão magnético. Novamente, a digitação só funciona no IE.

[photopress:fraude_bradesco_web_pf_05.png,full,centered]
[photopress:fraude_bradesco_web_pf_05_dlg.png,full,centered]

[photopress:fraude_bradesco_web_pf_06.png,full,centered]
[photopress:fraude_bradesco_web_pf_07.png,full,centered]

Pronto, fraude completa! Para quem digitou direitinho e pacientemente tudo, agora o fraudador tem todos os dados secretos da sua conta bancária e está apto a fazer qualquer transação eletrônica nesta conta.

Em um requinte de sofisticação, mais uma validação feita na fraude. Ela salva na sessão do navegador que a fraude foi concluída. Se você fizer tentativa de iniciá-la novamente, é exibida a mensagem a seguir, informando que “sua conta já foi cadastrada (isto é, roubada) com sucesso” pelo programa do fraudador.

[photopress:fraude_bradesco_web_01_again.png,full,centered]

Pessoa Jurídica

Na opção para pessoa jurídica, o Passo 2, em duas etapas, é ligeiramente diferente.

[photopress:fraude_bradesco_web_pj_02A.png,full,centered]
[photopress:fraude_bradesco_web_pj_02B.png,full,centered]

Conclusão

Banco nenhum faz recadastramento ou validação desta forma, muito menos solicitando todos os seus dados sigilosos!

Este tipo de fraude é por formulário, induzindo o próprio usuário a informar docilmente todos os seus dados em uma página de fraude que será enviada ao ladrão.

Outra técnica de fraude existente, quase sempre iniciada por uma mensagem de spam por e-mail, apresenta algum pretexto impactante/alarmante que o faça clicar em um link, baixar e instalar um programa. Este programa tipicamente é um cavalo-de-tróia (trojan) espião, que fica em execução para tentar capturar em seu computador dados bancários ou outras informações sigilosas, para enviá-las ao fraudador via internet.

Para ver mais exemplos de fraude de todos os tipos e organizadas por temas dos pretextos, veja meu artigo: Phishing Scam – A fraude inunda o correio eletrônico.

Nota: os avisos de página falsa e de classificação ruim exibidos no alto de algumas imagens são exibidos pelo Antiphishing nativo do Firefox e pelo plugin WOT, respectivamente. Para saber mais, consulte o artigo Quem avisa amigo é – Classificação de sites.

Certificações em Segurança da Informação

by Márcio

23 de março de 2010

15:29

5 comentários em Certificações em Segurança da Informação

Citações, Notícias, Segurança

A Módulo Education fechou uma parceria com a organização global EXIN (Examination Institute for Information Science), instituto internacional que oferece certificações em segurança e tecnologia da informação. A companhia é a primeira instituição da América Latina, e a sexta no mundo, credenciada pelo EXIN, com instrutores certificados pelo instituto, para ministrar os treinamentos e provas da linha de certificações “Information Security Based on ISO/IEC 27002” do EXIN.

Com a parceria, a Módulo passa a oferecer inicialmente o curso preparatório para a certificação ISFS (Information Security Foundation Based on ISO/IEC 27002). As primeiras turmas começam já neste mês de abril.

“As certificações da EXIN vêm completar o portfólio de certificações da Módulo, encaixando-se perfeitamente em nosso framework de cursos”, declara Fernando Fonseca, Gerente de Conteúdo da Módulo Education.

Fonte: TI INSIDE Online, da Redação, segunda-feira, 22 de março de 2010, 19h45.

CISSP

Também o (ISC)² – International Information Systems Security Certification Consortium, instituição que mantém o (ISC)² CBK® (Common Body of Knowledge) [PDF], compêndio de tópicos relevantes para profissionais de segurança da informação, está ampliando sua atuação no Brasil quanto à realização da sua mundialmente reconhecida certificação Certified Information Systems Security Professional (CISSP).

A certificação CISSP já era realizada no Brasil desde 2004, trazida pela empresa Etek International (SP). Em 2010, a rede de afiliados educacionais para veiculação de treinamentos e certificações (ISC)² no país foi ampliada com mais três instituições: LanLink Informática (Nordeste, DF), Sec2b – Security to Business (RS), e Strong Security Brasil (SP).

Sugiro o portal GUIA CISSP, um Guia de Certificação CISSP independente em português, mantido pro Luciano Lima. Veja também o artigo Segurança certificada, por Aline Brandão, 28 de junho de 2007, na Revista TI Master.

A (ISC)² disponibiliza também seu Guia de Recursos para o Profissional de Segurança da Informação de Hoje (em inglês), disponível gratuitamente em PDF – Global Edition — com uma relação de centros educacionais, eventos do ano, publicações e recursos on-line relacionados a segurança da informação –, ou na versão (ISC)² Online Resource Guide.

Outras certificações

Outras reconhecidas certificações em segurança da informação são a de auditor CISA – Certified Information Systems Auditor e a de gerente CISM – Certified Information Security Manager, mantidas pela associação internacional ISACA – Information Systems Audit and Control Association, com presença no Brasil.

A própria brasileira Módulo também possui sua própria certificação MCSO – Modulo Certified Security Officer, para a qual oferece treinamentos divididos em dois módulos, MCSO I mais geral e conceitual, e MCSO II mais técnico abordando as ferramentas de segurança de TIC.

Veja também o artigo Certificação anticracker, por Viviane Zandonadi, fevereiro 2005, em INFO Online.

Trend Micro Internet Security grátis 1 ano

by Márcio

1 de março de 2010

2:26

Leave a comment on Trend Micro Internet Security grátis 1 ano

Notícias, Segurança

Trend Micro Internet Security GRÁTIS por 1 ano!

Confira no artigo de Jhonny Costa, postado no blog Guia do Windows em 2010-02-27, como conseguir o programa gratuitamente.

Fraude Surpreendo – Proteja seus dados pessoais

by Márcio

19 de fevereiro de 2010

18:01

6 comentários em Fraude Surpreendo – Proteja seus dados pessoais

Internet, Pragas virtuais, Segurança

fraude, phishing scam

As fraudes, às vezes, tem aparência realista. Esta que recebi recentemente manteve texto e formatação verossímeis tanto no e-mail quanto na página web apontada pelo link da mensagem. Além disso, ainda conseguiram registrar um domínio com nome convincente. A fraude usa como tema a promoção Surpreenda MasterCard, e para a fraude registraram o domínio supreendo.com.

Conforme lembrou minha amiga e tuiteira Maria Inês, o domínio fraudulento, surpreendo.com, é perigosamente muito parecido com o legítimo, que é surpreendamc.com.br.

Então, qual indício deve deixar o usuário recebedor desconfiado e alerta, a ponto de reconhecer a fraude e não seguir em frente? O excesso de informações pessoais sigilosas solicitadas. Neste caso: nome completo, CPF, e todos os dados do cartão de crédito (número, validade e código de segurança).

Basta raciocinar o seguinte: só com estes três dados do cartão, alguém consegue hoje em dia fazer qualquer compra on-line ou por telefone. E ainda com seu nome completo e — principalmente — CPF, pode criar um cadastro falso (e válido!) em lojas (físicas e virtuais), financeiras e sabe-se lá onde e para que mais.

De fato, todas vez que lhe solicitarem este tipo de informações pessoais sigilosas, seja em que situação for (inclusive fora da internet, pessoalmente ou em um telefonema), pense e confirme cuidadosamente se você confia, acredita e tem segurança integral em quem está solicitando e para que está solicitando, pois são informações das mais valiosas e sensíveis que uma pessoa pode possuir nos dias atuais.

Minha recomendação permance: na Internet, desconfie e tenha cuidado sempre! Infelizmente, pode existir maldade e más intenções em todo lugar.

Veja as imagens (inócuas, são meras reproduções visuais da fraude, sem os links maliciosos) da mensagem de e-mail e da página web:

[photopress:scam_surpreendo.png,full,centered]

[photopress:scam_surpreendo_web.png,full,centered]

Os serviços colaborativos de segurança web no combate à fraude PhishTank e WOT classificaram esta página como fraude, de acordo com a avaliação de vários usuários.

A seguir, dados técnicos e administrativos publicados no registro do domínio. Note que mensagem foi enviada em 16 de fevereiro, e o domínio criado poucos dias antes, dia 10. [Os dados do contato de registro foram mascarados aqui porque foram roubados de uma pessoa e utilizados de forma fraudulenta e ilegítima pelo(s) fraudador(es).]

WHOIS information for surpreendo.com :

[Querying whois.verisign-grs.com]
[whois.verisign-grs.com]

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: SURPREENDO.COM
   Registrar: UNIVERSO ONLINE LTDA
   Whois Server: whois.host.uol.com.br
   Referral URL: http://registrar.host.uol.com.br
   Name Server: NS1.DOMINIOS.UOL.COM.BR
   Name Server: NS2.DOMINIOS.UOL.COM.BR
   Name Server: NS3.DOMINIOS.UOL.COM.BR
   Status: clientTransferProhibited
   Updated Date: 10-feb-2010
   Creation Date: 10-feb-2010
   Expiration Date: 10-feb-2011

Registrant/Administrative Contact/Technical Contact:
   Name:                ********************************
   Organization:        ********************************
   E-mail:              [email protected]
   Address:             *** ****** *** ****
   Address:             ********
   Address:             RIO DE JANEIRO - RJ
   Phone:               55 21 ********
   Country:             BRASIL
   Created:             2010-02-10
   Updated:             2010-02-10

Há pouco mais de um mês, outra fraude usando a marca MasterCard como tema também circulou na internet. A fraude alegava um recadastramento e levava a um site que também foi registrado com um domínio convincente: mastercardbrasil.com.

Até o momento deste artigo, o endereço continuava ativo, embora felizmente os serviços de combate a fraudes já o tem cadastrado, de forma que tanto o recurso de proteção/notificação contra fraudes nativo do Firefox quanto o serviço WOT alertam para o endereço fraudulento.

Veja a seguir as imagens da fraude.

[photopress:scam_mc_recadastro.png,full,centered]

Observe, no texto da mensagem, certo descuido com a redação, indício comum a muitas fraudes. Vários erros de pontuação, acentuação (fráude, indesejaveis, usuarios), uso de maiúscula no meio da frase (… combate Contra qualquer …) etc. Dificilmente uma mensagem legítima, elaborada por profissionais de marketing, deixaria passar esse tipo de descuido, pois isso poderia prejudicar a boa imagem da marca.

[photopress:scam_mc_recadastro_web.png,full,centered]

No endereço web de destino, observe que são exibidos apenas os alertas sobrepostos do Firefox e do WOT, em lugar da página fraudulenta.

Por fim, apresento a imagem de uma mensagem legítima da promoção “Programa Surpreenda Mastercard”, para que o leitor compare as semelhanças e diferenças com as fraudes anteriormente apresentadas aqui.

[photopress:legitima_surpreenda.png,full,centered]

Para saber mais:

Artigo com centenas de exemplos e informações: Phishing Scam – A fraude inunda o correio eletrônico.
Referências sobre o assunto, em Márcio’s Hyperlink: Segurança – Malware – Fraude.

Ameaças e ataques cibernéticos no mundo real

by Márcio

14 de novembro de 2009

14:51

2 comentários em Ameaças e ataques cibernéticos no mundo real

Cotidiano, Ensaios, Internet, Pragas virtuais, Segurança, Software, Tecnologia

O programa de TV 60 Minutes da rede americana CBS que foi ao ar em 8 de novembro passado apresentou a reportagem “Guerra Cibernética: Sabotando o Sistema”, em que sugere que apagões no Brasil podem ter sido causados por ataques hacker.

Tudo começou com a seguinte declaração recente do presidente dos EUA Barack Obama, que disse (tradução livre minha):

“Nós sabemos que intrusos cibernéticos sondaram nossa rede elétrica, e em outros países ataques cibernéticos fizeram cidades inteiras mergulhar na escuridão.”

Segundo a CBS, fontes militares dizem que ele se referia ao Brasil, aludindo que ataques de hackers teriam sido causa dos apagões ocorridos no país em 2005 e 2007. O jornalista afirma que os dados foram retirados de uma investigação específica sobre casos de ataques e crimes virtuais contra a infraestrutura de diversos governos. Os ataques seriam semelhantes aos sofridos nos Estados Unidos em 2009. (fonte: INFO Online).

A reportagem da CBS é cheia de sensacionalismo e tem pouco enfoque no embasamento e comprovação técnicos. Mas a notícia vem espalhando temores e sucitando teorias da conspiração, impulsionada pela esteira de sensibilização da população pelo blecaute que atingiu dez estados brasileiros — além do Paraguai — na noite de 10 de novembro.

Teoria da conspiração

Um exemplo do alarde provocado é o artigo A verdade sobre o apagão, por Maycon Maia Vitali, no Blog Hack’n Roll. Nele o rapaz de 23 anos, motivado pelo assunto, fez uma sondagem superficial na internet e encontrou uma vulnerabilidade de segurança em um sistema do Operador Nacional do Sistema Elétrico (ONS) do Brasil.

A falha no site apontada por Vitali foi corrigida na sexta-feira, três dias após o apagão que afetou 18 Estados brasileiros, conforme afirmou o diretor-geral do ONS, Hermes Chipp.

Como bem destaca o blogueiro Jomar Silva, não é porque um sistema de administração de contratos de transmissão da ONS está online que outros sistemas críticos de operação da rede elétrica estarão abertos na internet, nem tampouco supor que a falha simples encontrada pelo rapaz corrobore para comprovar que o sistema de energia elétrica do Brasil em si esteja comprometido e vulnerável a ataque de crackers.

A incursão de Vitali apenas reforça o que todo especialista em segurança da informação diz: não há segurança absoluta, não há sistema 100% seguro.

Autoridades brasileiras da ONS, Aneel (Agência Nacional de Energia Elétrica), Min. Minas e Energia e Presidência já afirmaram categoricamente que os sistemas críticos de operação e controle da rede de energia elétrica do Brasil não estão acessíveis através da Internet e descartam a possibilidade de sabotagem virtual.

Portanto, o post pode ser caracterizado como FUD — acrônimo do inglês Fear, Uncertainty and Doubt, para designar a tática de desinformação que visa desacreditar uma entidade ou fonte, incitando medo, incerteza e dúvida nas pessoas. Mas é um exemplo de como o efeito de histeria se espalha.

Relatórios de tendências

Bem mais concreto é o recente relatório de Tendências na Segurança de Aplicações Web para os dois primeiros trimestres de 2009, divulgado pela empresa Cenzic, especializada em segurança: Web Application Security Trends Report, Q1-Q2 2009, divulgado em 2009-11-09.

Publicado periodicamente desde 2007, o relatório revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008. Desse total, 78% são em aplicativos web. 87% das aplicações analisadas tinham falhas sérias que poderiam expor informações críticas ou confidenciais dos usuários durante transações (fonte: IT Web).

De acordo com a Cenzic, as vulnerabilidades SQL Injection — como a identificada por Maycon Maia Vitali na aplicação web do ONS — e Cross Site Scripting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.

Outro documento, o “Top Cyber Security Risks”, do SANS Institute, publicado em setembro, revela que mais de 60% dos ataques na internet focaram aplicativos web. Isto porque nos últimos anos a quantidade de vulnerabilidades identificadas em aplicações tem sido muito superior àquelas em sistemas operacionais e redes.

No mínimo, todo esse assunto é um alerta sobre como as ameças em um mundo tecnológico e conectado vão saindo da ficção científica futurística e galgando a realidade dos dias de hoje.

Mas se há ameaças mil à solta, há também informação, produtos e serviços de sobra para as instituições, governos, empresas e pessoas poderem se instruir, preparar, prevenir, mitigar e reagir às possibilidades e incidências de vulnerabilidades e falhas de segurança em sistemas.

Para se ter uma simples ideia, já existe, há um bom tempo:

Normas, em especial a família de normas NBR ISO/IEC 27000 sobre gestão e melhores práticas em segurança da informação e gestão de riscos, e a norma (disponível gratuitamente) ISO/IEC 15408 – Common Criteria (CC) de critérios para avaliação de segurança de sistemas de tecnologia da informação (TI).
Manuais de metodologia para testes e análises de segurança, como o Open Source Security Testing Methodology Manual (OSSTMM), criado por Pete Herzog e provido pelo ISECOM, o Instituto para Segurança e Metodologias Abertas, sem fins lucrativos.
Cursos, como o brasileiro Hackers Expostos: Técnicas de intrusão em redes corporativas, ministrado por Filipe Balestra na empresa 4Linux.
Serviços, como os de análise de segurança e testes de invasão oferecidos pela empresa brasileira Módulo Security.
Informação e ferramentas aos montes, em maior parte disponível de forma pública e aberta na Internet. Um exemplo: Vinte Controles Críticos para Efetiva Cyber Defesa: Consenso de Auditoria e Guidelines, trabalho desenvolvido pela colaboração de diversos experts em segurança, atualizado pelo Center for Strategic and International Studies em 2009-08-10.

O mal existe, mas o bem também. Para dissipar presságios do caos, basta que não apenas os crackers (hackers do mal), mas principalmente as instituições e pessoas de bem se preocupem, envolvam, invistam e ajam seriamente em segurança.

Quadrante Mágico de Enterprise GRC 2009

by Márcio

8 de outubro de 2009

12:13

3 comentários em Quadrante Mágico de Enterprise GRC 2009

Documento e Informação, Gestão, Segurança

O Gartner publicou em 12 de agosto de 2009 o relatório de análise Quadrante Mágico para Plataformas de Governança Corporativa, Risco e Conformidade (E-GRC), por French Caldwell, Tom Eid e Carsten Casper.

Os fornecedores OpenPages, BWise e Thomson Reuters se destacam no quadrante líder, onde também está a Oracle, com mais completude de visão porém menos habilidade de executar que os outros três. A MetricStream aparece no limiar de entrada no quadrante líder.

[photopress:egrc_gartner_magicq_2009.png,full,centered]

Fonte: Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms, redistribuído por Oracle.

Para contextualizar e compreender este Quadrante Mágico, é Importante ressaltar os aspectos abordados nas seções iniciais do relatório — de introdução e de visão geral e definição/descrição do mercado:

Os líderes provaram funcionalidades em GRC nas quatro funções primárias do GRCM (GRC management: gerenciamento de GRC) — gerenciamento de auditoria, gerenciamento de conformidade, gerenciamento de riscos e gerenciamento de políticas (policy).

GRCM é definido como a automação do gerenciamento, medição, resolução e relatório de controles e riscos em relação ao objetivos, de acordo com regras, regulamentação, padrões e políticas.

Muitas corporações tipicamente consideram uma aplicação de GRCM para satisfazer um requerimento específico, como conformidade com Sarbanes-Oxley, uma regulamentação específica de seu segmento ou o gerenciamento do risco operacional para um processo de negócio. Entretanto, instituições frequentemente tem outras atividades de GRCM em mente, como gerenciamento de auditoria, regulamentação adicional, governança de TI, gerenciamento de resolução (remediation) e gerenciamento de políticas/normas (policy), o que eventualmente pode ser integrado a uma abordagem mais consolidada de EGRC.

“Governança”, “gerenciamento de riscos” e “conformidade” são termos gerais que podem ser aplicados a uma vasta faixa de produtos, iniciativas de TI e requisitos de negócio. Estes três termos tem muitos definições válidas entre a base de clientes do Gartner. As definições a seguir ilustram o relacionamento entre os três termos:

Governança — O processo pelo qual políticas/normas (policies) são definidas e a tomada de decisão é executada.

Gerenciamento de Riscos — O processo para tratar riscos com um balanceamento de mitigação através da aplicação de controles, transferência através de seguro e aceitação através de mecanismos de governança.

Conformidade — O processo de aderência às políticas/normas e decisões. Políticas/normas podem ser derivadas de diretivas internas, procedimentos e requisitos, ou de leis, regulamentação, padrões e acordos externos.

Para uma caracterização mais abrangente desse mercado, o relatório recomenda os artigos: “A Comparison Model for the GRC Marketplace, 2008 to 2010” (2008-07-01) e “The Enterprise Governance , Risk and Compliance Platform Defined” (2008-02-19).

Também aguardo pelo Quadrante Mágico do Gartner para 2009 atualizando o mercado de Gestão de Conteúdo Corporativo (ECM), que deve ser publicado a qualquer momento neste terceiro trimestre. O relatório anterior foi lançado em 23 de setembro de 2008.

Notificação do Office Genuíno (OGA) chega ao Brasil

by Márcio

13 de setembro de 2009

14:44

25 comentários em Notificação do Office Genuíno (OGA) chega ao Brasil

Notícias, Segurança, Software, Windows

Depois do WGA – Windows Genuine Advantage, o esforço da Microsoft para reduzir a pirataria do Windows, chega agora ao Brasil o OGA, Office Genuine Advantage para combater a pirataria do Microsoft Office.

Como sempre, sutilmente introduzido através das Atualizações Automáticas do Windows (Windows Update), o Notificador do Programa de Vantagens do Office Original da Microsoft é um utilitário que, se o usuário aceita instalar, não oferece recurso para ser desinstalado ou desativado posteriormente.

Se detecta uma cópia não original de um programa do Office (XP, 2003 ou 2007), o Notificador OGA passa a gerar uma série insistente de notificações com mensagens de programa não original:

Na inicialização de uma cópia do Office não original, exibe uma janela de mensagem e mantém um ícone na área de notificação do Windows;
Adiciona uma barra de ferramentas aos programas do Office não original, que exibe mensagem de notificação;
Para programas do Office 2007 pirata, adiciona também uma faixa (ribbon) com mensagem de notificação.

[photopress:oga.png,full,centered]

Imagem: Reprodução do Windows Update para Notificador OGA.

Veja transcrição dos termos de uso do Notificador OGA [TXT]. Você aceita?

Expansão

Conforme anúncio do Gerente Geral Microsoft para a Iniciativa de Software Genuíno (o programa anti-pirataria da Microsoft) em final de agosto, as Notificações OGA foram primeiro veiculadas como a atualização KB949810 para usuários do Office em quatro países — Itália, Espanha, Turquia e Chile — como um pequeno programa piloto, e não trouxe muitas reclamações, exceto quando o serviço de administração corporativa do Windows WSUS (Windows Server Update Services) acidentalmente publicou o notificador como atualização crítica durante 24 horas.

Assim, a Microsoft está gradativamente expandindo o OGA para mais países. A validação e notificações de Office Genuíno está sendo agora expandida para mais 13 países, que incluem Estados Unidos, Reino Unido, Peru, Porto Rico, Brasil, Austrália, Grécia, Irlanda, Países Baixos, Finlândia, Suíça, Índia, Taiwan e outros, chegando a um total de 41 países ainda este mês.

Com a expansão do programa, já há relatos de casos de incômodos ou problemas, principalmente em redes corporativas, de usuários legítimos de cópias originais do Office. Por isso, alguns especialistas recomendam que a instalação não seja feita e/ou que administradores de redes corporativas desabilitem a distribuição e instalação do OGA através do WSUS.

OpenOffice / BrOffice.org

Quem tiver uma cópia ilegítima (não original, pirata) do Microsoft Office, e quiser evitar todo esse incômodo, não perca mais tempo e faça como eu já fiz há muito tempo: adote o BrOffice.org (OpenOffice em português do Brasil) 3.1.1.

Gratuito, livre (software de código aberto e de livre distribuição) e cada vez mais completo e bem acabado, o OpenOffice/BrOffice.org inclui editores de documentos texto, planilhas, apresentações e bases de dados, e ainda um bom programa editor de desenhos e ilustrações (estilo CorelDraw) e um editor de fórmulas matemáticas e científicas.

O OpenOffice é totalmente compatível com os formatos de documento do Microsoft Office (Word, Excel, PowerPoint), inclusive os novos formatos do Office 2007. Mas oferece seu próprio formato nativo de documentos OpenDocument (ODF) que é completo e compacto, além de ser um padrão conciso e realmente aberto, norma internacional ISO. O OpenOffice ainda exporta nativamente documentos para o formato PDF.

O editor de textos (Writer) e de planilhas (Calc) do BrOffice são muito completos e robustos, oferecendo todos os recursos dos simples aos mais avançados encontrados no Word e no Excel.

O editor de apresentações (Impress) ainda não é tão inteligente como as facilidades de formatação automática do PowerPoint, mas atende bem e, espero, tende a melhorar ainda mais no futuro. Quanto ao banco de dados (Base), confesso que ainda não utilizo e por isso não tenho como opinar.

O único recurso que, creio, ainda pode melhorar compatibilidade é a linguagem de macros. O OpenOffice/BrOffice.org possui o recurso de macros, que podem ser programadas em BROffice Basic, Python, JavaScript ou BeanShell, mas a compatibilidade com o VBA (Visual Basic for Applications) do Microsoft Office ainda não é plena, principalmente porque esta última está intimamente integrada à própria API do Windows, o que obviamente traz dificuldades para programas independentes e multiplataforma como o OpenOffice.

Para quem não abre mão do Microsoft Office de jeito nenhum, saiba que você consegue comprar o Office Home and Student 2007 (Word, Excel, PowerPoint) com licença para instalar em três computadores por aproximadamente 150 reais. Nos Estados Unidos essa edição custa perto de 88 dólares.

Convenhamos, 50 reais por cópia doméstica instalada não serve mais de desculpa para pirataria, para aqueles radicais que ainda se remetem aos tempos em que ter um Microsoft Office original em casa custava quase mil reais. Já nas empresas, onde a licença Home Student não serve, o caminho econômico viável é o BrOffice.org mesmo.

Para saber mais

Artigo da Base de Conhecimento Microsoft nº KB949810: Descrição do aplicativo Office Genuine Advantage Notifications (tradução automática, original em inglês).
Office Team Steps Up Efforts to Protect Customers from Pirated Software (em inglês), por Keith Beeman, General Manager, Microsoft Genuine Software Initiative, 2009-08-25, no blog Microsoft On The Issues.
Disable “Get Genuine Office”, Microsoft Nagging OGA (KB949810) (em inglês), em Squidoo.
Office Genuine Advantage Notifications (OGA KB949810) v2.0.48.0 Released To More Markets (em inglês), no blog My Digital Life, 2009-08-27.
Office Genuine Advantage, verbete na Wikipedia em inglês.

Segurança das aplicações web

by Márcio

10 de setembro de 2009

19:46

1 comentário em Segurança das aplicações web

Arquitetura TI, Ensaios, FAQ, Segurança, Software, Tecnologia

[Atualizado em 2011-08-21, com referências do OWASP.]

Depois do incidente de segurança envolvendo o portal da operadora Vivo que abordei ontem, um artigo de hoje da IT Web tem tudo a ver: 5 lições de segurança, por Greg Shipley, Tyler Allison e Tom Wabiszczewicz, da empresa Neohapsis especializada em GRC (GRC em inglês), para InformationWeek EUA, 10/09/2009.

No artigo, os especialistas quebram o silêncio típico do mundo corporativo sobre segurança e trazem uma síntese de sua experiência em observação direta das brechas de segurança do mundo real onde realizaram investigações forenses, para ajudar as empresas a entender como essas brechas acontecem e o que se pode fazer sobre elas.

Eles ressaltam: “Após centenas de casos, podemos afirmar, sem sombra de dúvidas, que os ataques estão mais sofisticados do que nunca. Com agilidade, eles exploram controles de segurança falhos e práticas operacionais negligentes e, munidos com ferramentas comuns para gerenciamento de rede, adaptam malwares. Táticas e tecnologias de segurança da informação também progrediram, mas não no mesmo ritmo.”

O mais admirável é que os recursos para mitigar as brechas de segurança são métodos razoáveis e bem conhecidos. O que é preciso é um esforço para que esses métodos sejam implementados e continuamente praticados de forma mais ampla e efetiva pelas corporações.

Problema – vulnerabilidades e ameaças nas aplicações

O Website de uma empresa geralmente serve como porta de entrada para os ataques. Aplicativos web são a porta preferida dos invasores.

Isso porque equipes de TI em geral investem apenas em segurança do perímetro e do tráfego da rede, incluindo proteções clássicas como firewall, antivírus, antispam, IDS/IPS, SSH, HTTPS e VPN. E mesmo nestes casos, não fazem um monitoramento proativo e contínuo, nem tem um plano de resposta a incidentes consistente e efetivo. Por outro lado, mantém sistemas desatualizados e ignoram aplicativos falhos que podem, facilmente, ser explorados.

Códigos de software com pouca ou nenhuma preocupação com segurança desde sua concepção — o que passa inclusive pela escolha de tecnologias que já englobem conceitos e mecanismos nativos de segurança, robustez e proteção — escancaram brechas de segurança por todos os pontos das aplicações.

Nas aplicações corporativas internas, as maiores preocupações costumam ser com vazamento de informações e com uso e permissões indevidos — até mesmo maliciosos, no caso de colaboradores insatisfeitos ou despreparados, negligentes, imprudentes.

Mas quando as aplicações são externas, especialmente em portais, sítios e serviços web abertos à Internet, o universo de ameaças subitamente se expande para o mundo todo, para qualquer pessoa no planeta com acesso internet, algum tempo disponível e intenções que podem ir da curiosidade inconsequente ao crime.

Aplicações sem segurança tipicamente expõem vulnerabilidades amplamente conhecidas — do conhecimento de qualquer hacker de plantão — e graves como:

Autenticação vulnerável, com usuários e senhas fracas, pouco ou nenhum controle a tentativas de acesso “força bruta” etc.
Baixa granularidade de permissões, de forma que um vez acessado com usuário legítimo muitas vezes se permite acessar alguns serviços ou situações que não seriam efetivamente necessárias ou mesmo devidos àquele usuário.
Ausência de validação, consistência e crítica de dados no lado servidor, quando um usuário está com JavaScript desativado ou defeituoso no lado cliente.
Ausência de validação de condições limite nos tipos, formatos, valores e tamanhos recebidos em dados ou parâmetros fornecidos pelo usuário, permitindo ataques como Estouro de buffer e de pilha, Corrupção de memória, Negação de serviço (DoS).
Ausência ou insuficiência de tratamento robusto, inteligente e proativo de exceções na aplicação. Muitas vezes a maior parte das inúmeras situações de erro ou exceção possíveis são esquecidas, descartadas ou subestimadas pelos programadores.
Ausência de mecanismos de rastreabilidade e auditoria, como gravação de registros de log/históricos de acessos e ações do usuário e do próprio sistema.
Mecanismos de proteção (integridade e privacidade) de dados com criptografia ausentes, simplórios/precários, ou mal implementados.
Não evitar Injeção de código, Injeção de SQL, Injeção de HTML e Cross site scripting (XSS) nas entradas de dados e parâmetros fornecidos pelo cliente/usuário.
Utilizar ou permitir a Inclusão de arquivos locais (ou remotos).

A lista de possibilidades comuns poderia se estender. Mas por aí já se percebe que boa parte das aplicações na web são “queijos suíços” em potencial, em se tratando de abundância de furos de segurança.

Solução – informação e ferramentas desde o início

Ao abordarem que se deve levar segurança de TI a sério, os peritos apontam o caminho: “A melhor defesa de uma empresa é a integração da segurança no ciclo de vida de desenvolvimento de aplicativos. A criação de códigos com poucas falhas de segurança oferece um retorno maior do que se tentar reparar aplicativos em uso.”

A organização internacional Web Application Security Consortium (WASC) reúne um grupo de especialistas e praticantes de segurança e representantes de comunidades de código aberto, voltada para intercâmbio de idéias e organização e promoção de melhores práticas, em segurança de aplicação na World Wide Web. WASC consistentemente lança informação técnica, artigos, guidelines de segurança e outras documentações úteis sobre segurança de aplicações web.

Entre o material da WASC, destaco uma compilação com descrição de mais de 50 ameaças e vulnerabilidades em aplicações web, o Glossário de Segurança Web e o padrão de referência para avaliação de vulnerabilidades de aplicações web, Web Application Security Scanner Evaluation Criteria (WASSEC). O material é aberto, público e gratuito (em inglês).

Outra entidade dedicada a promover a melhoria da segurança em aplicações de software é a comunidade internacional Open Web Application Security Project (OWASP). Todas as ferramentas, documentação, fóruns e capítulos criados e mantidos pelo OWASP são livres, abertos e isentos.

Entre os projetos e material de referência mantidos pelo OWASP, destacam-se: Enterprise Security API (ESAPI), Development Guide, Ruby on Rails Security Guide, Secure Coding Practices – Quick Reference Guide, Application Security Verification Standard (ASVS), Code Review Guide, Testing Guide, OWASP Top Ten, AppSec FAQ Project, How To’s and Cheat Sheets, Software Assurance Maturity Model (SAMM), Comprehensive, Lightweight Application Security Process (CLASP).

Para a varredura e análise de vulnerabilidades em aplicações existem ferramentas para auxiliar e prover alguma automação e agilidade nos trabalhos. Há desde softwares livres como o Wapiti – Web application vulnerability scanner / security auditor e o OWASP Zed Attack Proxy, até produtos comerciais como IBM Rational AppScan e HP WebInspect / Application Security (veja também Web Application Scanners Comparison).

Também o padrão internacional ISO/IEC 15408: Information technology — Security techniques — Evaluation criteria for IT security é um conjunto de normas disponíveis gratuitamente.

O padrão ISO 15408 é baseado no Common Criteria for Information Technology Security Evaluation / Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (abreviado como Common Criteria ou CC). Este, por sua vez, é originado dos padrões para critérios de avaliação de segurança do Departamento de Defesa dos Estados Unidos (TSEC), Canadá (CTCSEC) e Europa (ITSEC, França, Alemanha, Países Baixos e Reino Unido).

CC é um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em sistemas de informação e produtos de TI. O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level, EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de segurança, denominados Security Assurance Requirements (SARs).

Até eu dou modestas contribuições de informação sobre boas práticas que podem garantir um código de aplicação mais segura, nos artigos: Eficiência e segurança com SQL parametrizado e Senhas armazenadas com segurança.

Não faltam informação e recursos livremente disponíveis, em abundância e muitas delas de alta qualidade e fácil utilização, para que as empresas e instituições comecem a praticar e adotar a construção de aplicações seguras.

Essa preocupação é especialmente crítica na web, que cada vez mais se apresenta como um veículo de serviços e aplicações em larga escala e abrangência.

Empresas do meu Brasil (e do mundo!), cuidem seriamente da segurança de suas aplicações e serviços, especialmente na internet!

Para saber mais:

Referências sobre Segurança Digital e Privacidade, incluindo Informação sobre segurança, Entidades e centros, Criptografia, Infraestrutura de chaves públicas (ICP), Malware, Segurança de e-mail, Firewall, Prevenção e detecção de intrusos, Padrões, Protocolos e aplicações, Privacidade, Bibliografia e outros tópicos relacionados.

Portal da Vivo comprometido prolifera fraude

by Márcio

9 de setembro de 2009

22:36

10 comentários em Portal da Vivo comprometido prolifera fraude

Internet, Notícias, Pragas virtuais, Segurança

Ontem (dia 8), foi descoberto um incidente de segurança que comprometeu o portal da operadora de telefonia Vivo e pode ter afetado milhares de usuários.

Explorando alguma vulnerabilidade de segurança no portal da Vivo, um atacante conseguiu injetar no portal um código malicioso. Quem acessou a página principal ( http://www.vivo.com.br/portal/home.php ) infectada recebia a solicitação para que fosse instalado um applet (miniaplicativo Java), que era na verdade um código malicioso.

Crédito da imagem: Victor Santos, blog The Hackerbuster.

O arquivo injetado por atacantes no portal da operadora foi “disfarçado” como se fosse uma imagem JPEG, quando na verdade era um pacote executável Java (formato JAR) do applet malicioso, conforme se pode ver pelo trecho de código a seguir:

A análise de segurança do código descompilado do miniaplicativo malicioso evidencia dois aspectos principais: o objetivo da fraude e a exploração de mais vulnerabilidades — no portal da Vivo e em um portal colaborativo da Universidade de São Paulo – USP ( goos.io.usp.br ).

A vulnerabilidade no portal da Vivo expôs gravemente o site e foi divulgada em muitos blogs e sites na internet. Permitia a qualquer pessoa com algum conhecimento técnico obter dados sensíveis do computador onde o site está hospedado e até executar comandos. A falha ficou válida até a tarde de hoje, quando a página vulnerável foi removida do site.

A fraude

O objetivo da fraude é, como em quase todos os casos brasileiros de phishing scam, roubar dados bancários.

Como se percebe pela análise técnica do código do applet malicioso, seu propósito era comprometer o computador do usuário, de modo que a tentativa de acesso aos sites de alguns bancos brasileiros levasse à réplicas fraudulentas destes. As réplicas solicitam do usuário todos os dados bancários que dão ao criminoso o acesso eletrônico à conta de banco.

O applet malicioso tenta gravar no arquivo \WINDOWS\system32\drivers\etc\host endereços IP falsos dos sites dos bancos Santander, Itaú, Bradesco e Nossa Caixa. O sistema operacional Windows normalmente consulta este arquivo local antes de procurar resolver via serviço Internet DNS o endereço físico (número IP) que leva a um site (nome de domínio) fornecido ou acessado pelo usuário. Os endereços IP fraudulentos levavam a réplicas maliciosas dos sites desses quatro bancos.

Assim, se o usuário acessou o site da Vivo comprometido, executou o applet, utiliza o Windows em seu computador e depois tentou acessar os endereços adulterados de um dos bancos, chegaria a réplicas fraudulentas destes, conforme ilustrações a seguir:

[photopress:Itau.png,full,centered]
[photopress:Santander.jpg,full,centered]
[photopress:Nossa_Caixa_01.png,full,centered]

A fraude do Bradesco não estava sendo exibida corretamente quando acessei, por isso não foi reproduzida aqui.

Fraude Nossa Caixa – Passo a passo

Experimentei prosseguir (com dados fictícios, claro!) na fraude da Nossa Caixa, para ver o que ela faz. Basicamente, ela solicita, do incauto usuário, todos os dados de sua conta bancária: agência e conta, senha, assinatura eletrônica e todos os dados do cartão de segurança do banco. Veja o passo a passo.

1) O usuário clica em “Acesse sua conta” (veja imagem acima).

2) A tela seguinte (bemvindo.php) solicita usuário e senha. O site fraudulento não tem “cadeado” do HTTPS.

[photopress:Nossa_Caixa_02.png,full,centered]
Para o preenchimento da senha, há inclusive a opção de usar um Teclado Virtual.

[photopress:Nossa_Caixa_02B.png,full,centered]
3) A título de “checagem de conta para sua segurança”, a próxima tela (checalogin.php) solicita os números da agência e da conta.

[photopress:Nossa_Caixa_03.png,full,centered]
4) A próxima tela (CarregaConta.php) exibe uma tela de entrada, saudando o usuário pelo login fornecido. Todas as opções da barra de menu na parte superior levam para a mesma tela seguinte.

[photopress:Nossa_Caixa_04.png,full,centered]
5) Escolhendo qualquer das opções do menu superior, chega-se à próxima tela (ChecarConta.php). Agora é solicitada a assinatura eletrônica.

[photopress:Nossa_Caixa_05.png,full,centered]

[photopress:Nossa_Caixa_05B.png,full,centered]

Nesta tela, é inclusive obrigatório o uso do Teclado Virtual.

[photopress:Nossa_Caixa_05C.png,full,centered]

Se o usuário fornecer uma assinatura com poucos dígitos, o sistema informa que está inválida.

6) Assinatura validada, chega-se à próxima tela (ChecarConta2.php). Agora, o usuário tem que transcrever tudo que aparece no “Nossa Chave de Segurança”.

[photopress:Nossa_Caixa_06.png,full,centered]
7) E por fim, o usuário vai ter mais trabalho agora: tem que transcrever todos os dados do seu “Nossa Chave de Segurança”, uma grande tabela de dados na tela ChecarConta3.php.

[photopress:Nossa_Caixa_07.png,full,centered]
8) Depois disso, a última tela tem um nome descarado: salvadados.php. Pronto! Todos os dados do usuário foram salvos na base de dados do ladrão. Essa tela então exibe um texto dando a indicar que as configurações do navegador não estão adequadas. O link existente ao final, “Página Principal”, leva para a tela de entrada do home banking verdadeiro do banco Nossa Caixa.

[photopress:Nossa_Caixa_08.png,full,centered]

Aí já é tarde demais, se o usuário digitou seus dados bancários corretos em todas as telas anteriores, eles já estão nas mãos de bandidos.

Fraude Itaú – Passo a passo

A fraude do Itaú é mais simples, solicita apenas agência, conta e senha.

1) Primeiro, o usuário deve digital agência e conta na tela inicial (veja na ilustração no início do artigo).

2) Na tela seguinte (bklcgi.php), é solicitada a senha eletrônica do Itaú Bankline. Tudo sem “cadeado” do HTTPS.

[photopress:Itau_02.png,full,centered]

Ao invés do nome da pessoa, é exibida a palavra “Entrar” no botão que abre o teclado virtual (o site real exibiria o nome do correntista).

[photopress:Itau_02B.png,full,centered]

[photopress:Itau_02C.png,full,centered]

Ao fornecer a senha uma vez, é exibido um aviso “Senha incorreta, restam agora duas tentativas.”

[photopress:Itau_02E.png,full,centered]

Solicitada a senha novamente, nova mensagem informa “Sua senha está inválida, favor efetue o login novamente!”

Em seguida, o usuário é conduzido à página real do Itaú Bankline.

Usuários atentos poderão perceber sutis diferenças. Usuários desatentos podem ser levados a informar os dados sigilosos que darão a um criminoso o acesso eletrônico à sua conta bancária!

Comunicado oficial da Vivo

Transcrevo a seguir o Comunicado da operadora Vivo à imprensa sobre o ocorrido, divulgado em seu portal (A Vivo – Comunicados) em 2009-09-09:

Ataque de hackers ao site da Vivo

Um dos servidores de acesso de usuários ao Portal da Vivo na Internet foi vítima de um ataque de hackers nesta terça-feira, dia 08 de setembro. A partir da detecção do ataque, as equipes de segurança da informação da Vivo entraram em ação e solucionaram o problema às 00h50 desta quarta-feira.

A Vivo informa que os usuários que clicaram numa falsa janela de “warning security” para execução de arquivo, é que podem ter tido o seu computador infectado. Portanto, a recomendação da Empresa é que usuários que tenham acessado o portal www.vivo.com.br no período de 16h07 de 08/09/2009 até as 00h50 de 09.09.2009, e que tenham executado o falso arquivo, evitem acessar sites de bancos até que façam uma verificação de segurança em seu computador.

A Vivo informa que os serviços disponíveis no seu portal não foram afetados e continuam disponíveis e seguros aos seus clientes.

Minhas recomendações

Quem acessou o portal da Vivo nos dois últimos dias (8 e 9 de setembro), usa sistema operacional Windows e clicou o botão “Run” na janela de aviso de segurança do portal (ilustração no início do artigo) — que executa o código malicioso — provavelmente está com seu computador comprometido (infectado).

Deve inicialmente evitar acessar sites bancários neste computador, e fazer verificações de segurança no computador, com o auxílio antivírus e outros utilitários de inspeção de segurança atualizados e, se for o caso, ajuda técnica profissional. Em especial, deve-se rastrear a adulteração do arquivo de sistema \WINDOWS\system32\drivers\etc\host, onde o código malicioso adiciona os IPs fraudulentos.

Quem está nessa situação de risco e acessou site do banco deve também entrar em contato — por telefone ou pessoalmente — com o banco e se informar sobre a possibilidade de ter sido vítima de fraude bancária.

Conclusões

Alguns aspectos que se pode concluir dessa fraude:

Como quase sempre, o grande objetivo do ataque envolve roubar dados bancários. Os usuários devem ter muito cuidado, precauções e uma boa dose de desconfiança ao acessar o banco pela internet ou informar dados bancários — ou outros dados pessoais e sigilosos — em qualquer site que seja.
A atenção na internet deve ser constante. Principalmente aos detalhes. Um importantíssimo: Nas fraudes bancárias acima, o criminoso não conseguiu fraudar uma conexão segura HTTPS, que faz o navegador exibir o famoso “cadeado”. Quem acessa o site do seu banco deve prestar atenção a cada detalhe. Qualquer diferença sutil que seja (e nestas fraudes existem algumas em relação aos sites verdadeiros) deve ser motivo para o usuário não prosseguir e, de preferência, entrar imediatamente em contato com o seu banco (por telefone ou pessoalmente).
Enquanto a maioria das fraudes de falsificação de site (phishing scam) na internet tenta se proliferar através de mensagens de spam por correio eletrônico, esta fraude bancária conseguiu explorar uma vulnerabilidade de um reconhecido portal de serviços, no caso o da operadora de telefonia Vivo, fazendo o portal hospedeiro e difusor do código malicioso. Neste caso, o perigo é muito maior, pois quando o site real da Vivo solicita a execução de algum complemento, mesmo o usuário cauteloso (que já deve desconfiar de e-mails suspeitos) tende a confirar no site. Ponto negativo para a Vivo, que ao deixar um grande portal vulnerável por um dia inteiro, pôs em grave ameaça milhões de usuários que confiaram na empresa.
A Internet é uma maravilha espetacular da informação, dos serviços on-line, do comércio eletrônico. Com certeza. Mas está cada vez mais e mais perigosa!

Para saber mais

Análises técnicas da falha explorada:

Análise um pouco mais detalhada do problema com a Vivo, por Filipe Balestra, 2009-09-09, em Linux Magazine Online.
Site da Vivo infectado, por Victor Santos, Diretor de Serviços e Redes da Clavis Segurança da Informação, 2009-09-09, em seu blog “The Hackerbuster”.
Falhas grotescas no portal da Vivo – Insegurança total, por Rafael Santos, 2009-09-09.

Notícias sobre este incidente de segurança [Atualizado em 2009-09-10]:

Infectado, site da operadora Vivo ajuda a roubar senhas bancárias, por Diógenes Muniz, editor de Multimídia da Folha Online, 2009-09-09 às h.
Vírus instalado por hackers em site da Vivo roubava senhas bancárias, da Redação Portal IMPRENSA, 2009-09-09 às 17h08.
Portal da Vivo é atacado por piratas, por Marlos Mendes, Rio de Janeiro, 2009-09-09 às 20h09, atualizado em 2009-09-10 às 12h11, em O Dia Online, seção Digital&Tal; inclui a íntegra do comunicado da Vivo à imprensa.
Site da Vivo sofre ataque e deixa usuários infectados, da Redação, 2009-09-09 às 19h52, no portal eBand, seção Jornalismo – Tecnologia.
Depois de ter site invadido, Vivo diz que canal pode ser usado com segurança, da Redação do IDG Now!, 2009-09-09 às 19h45, atualizada às 19h57, em IDG Now! – Telecom e Redes – Celulares.
Invasão a site da Vivo pode ter infectado PC de usuário que clicou em arquivo falso, da Redação, 2009-09-10 às 10h30, em W News.
Site da Vivo é invadido por hackers e usuários podem ter PCs infectados, do Plantão, 2009-09-10 às 11h05, em O Globo Digital – Tecnologia.

Artigo sobre phishing scam atualizado

by Márcio

9 de setembro de 2009

18:12

Leave a comment on Artigo sobre phishing scam atualizado

Notícias, Pragas virtuais, Segurança

Um dos artigos mais populares e citados do meu site, Phishing Scam – A fraude inunda o correio eletrônico é fruto de um trabalho pessoal de coleta de exemplos de fraude ao longo de quase três anos, entre 2004 e 2007.

Resultou na coleta de mais de 360 amostras de fraude, ilustradas (apenas como imagem inofensiva reproduzida da tela), que foram cuidadosamente classificadas e organizadas em categorias.

A amostragem é mais do que suficiente para o efeito didático e informativo desejado de caracterizar e exemplificar os mais diversos temas de fraude a que os usuários de internet estão sujeitos a todo momento.

De 2007 em diante, o artigo tem recebido apenas pequenos retoques de conteúdo, como atualizações de informação e links ou algum novo exemplo de fraude relevante.

Intacto desde a revisão nº 40 em 2 de maio de 2008, o artigo recebeu hoje uma nova seção, com uma coletânea (não exaustiva) de alertas e informações sobre fraude e segurança disponibilizados por empresas e instituições que são usados com frequência como tema em golpes na internet.

O artigo também recebeu um sumário (índice) no início, para facilitar o acesso aos tópicos e ao texto, que já está bem amplo.

Este artigo é voltado para qualquer usuário de internet, sem a necessidade de conhecimentos técnicos. Meu esforço pessoal de anos em sua elaboração e atualização tem sentido unicamente para produzir um instrumento de informação, orientação e referência sobre um dos temas de segurança mais preocupantes para os usuários de internet: as fraudes e golpes por e-mail.

Leiam. Divulguem. Citem. Espero que esse artigo continue útil e ajude a formar conscientização para uma Internet mais segura.

Abraços!