Dois-em-um fantástico para investigar suspeita de novo malware

Quando eu estou investigando a suspeita da presença de um novo malware (código malicioso), não detectado pelo antivírus instalado, em um computador com Windows, em geral eu costumo utilizar duas ferramentas muito simples e extremamente úteis, explicadas a seguir.

Sysinternals – Autoruns e Process Explorer

Windows Sysinternals é um conjunto de utilitários de sistema avançados para Windows, criados e evoluídos desde 1996 por Mark Russinovich, co-fundador da empresa Winternals Software. Em 2006, a Microsoft adquiriu a Winternals e desde então os utilitários Sysnternals estão integrados no portal Microsoft TechNet, e continuam disponibilizados gratuitamente.

Dois destes utilitários são muito úteis para auxiliar na busca de malware presente no computador:

  • Autoruns: Este programa exibe todas as entradas existentes de executáveis instalados para iniciar automaticamente no Windows, durante o Logon e nos muitos outros meios que o sistema operacional permite para isso. Uma característica típica de vírus, vermes e outros malwares que se instalam no computador é registrar-se para ser executado automaticamente sempre que o sistema é iniciado. Portanto, é muito provável que se existe um malware instalado, que ele apareceça na listagem do Autoruns. A forma mais comum dos malwares se registrarem é em uma entrada de Logon no Registro do Windows, tipicamente em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Autoruns lista informações básicas listadas de cada entrada, como nome registrado, descrição, fornecedor, caminho do executável, data. Você pode se assustar com quanta coisa existe em execução automática no seu Windows. Contudo, identificar uma entrada suspeita em meio à listagem do Autoruns não é trivial, em geral requer experiência em reconhecer o que é típico e legítimo, como utilitários de drivers, utilitários de atualização automática de softwares idôneos (exemplos: atualizador do Adobe Reader ou do Java) e outros programas desejados em execução constante em segundo plano (exemplo: Google Chrome), configurados para executar assim que o Windows iniciar (muitas vezes são programas que tem um ícone na bandeja do sistema perto do relógio, na parte direita da barra de tarefas).
  • Process Explorer (procexp): Este utilitário exibe informações detalhadas sobre todos os programas/processos em execução, em tempo real. O Gerenciador de Tarefas nativo do Windows (acionado pela combinação de teclas Ctrl+Shift+Esc) exibe informações similares, mas de forma muito resumida. No Windows 8 o Gerenciador evoluiu muito em informações exibidas, mas ainda assim o Process Explorer é uma ferramenta bem mais poderosa e com muitos recursos exploratórios exclusivos, como busca por Handle/DLL, identificar um processo a partir de uma janela aberta, e exibição de todos os recursos criados ou abertos por um processo (arquivos, chaves de registro, eventos do sistema, threads etc.). Se um malware estiver em execução, ele aparecerá na lista do procexp. Contudo, assim como no Autoruns, identificar um processo suspeito dentre os programas em execução não é nada trivial.

Autoruns: Screnshot (origem: Microsoft TechNet).

Os utilitários Sysinternals são fornecidos na forma de executáveis simples (em geral, acompanhados de arquivos de ajuda e licença de uso), distribuídos em arquivos ZIP. Você pode baixar o Autoruns e o Process Explorer, ou o Sysinternals Suite contendo todos os utilitários disponíveis de uma vez só.

Sugiro descompactar em uma pasta como C:\sysinternals e adicioná-la ao Path de execução do Windows (Propriedades Avançadas do Computador > Variáveis de Ambiente) para manter estes utilitários prontos para uso no computador, e andar com eles atualizados em um pendrive para poder executar em um computador qualquer.

VirusTotal.com

O segundo passo uma vez identificado um executável suspeito ou provável malware é utilizar o serviço web gratuito VirusTotal.com. No uso mais básico, você pode enviar um arquivo para o VirusTotal e ele o analisa executando 57 (quantitativo no momento em que escrevo este artigo) programas antivírus e antimalware, atualizados e configurados em suas opções de busca mais amplas (inclusive técnicas heurísticas) mostrando quais deles detecta algo. O VirusTotal mantém uma base histórica das assinaturas hash de todos os arquivos já analisados pelo serviço, de forma que se você submete um arquivo já analisado ou uma assinatura, o VirusTotal oferece para exibir a análise mais recente disponível ou (em caso do arquivo) re-analisar.

Ou seja, praticamente se algum programa antivírus atualmente reconhece um executável suspeito que você tem como malware, o VirusTotal lhe traz essa informação. Espetacular!

Os dois juntos – Perfeito!

Agora vem o melhor. Desde janeiro de 2014 no Process Explorer e de janeiro de 2015 no Autoruns, existe integração destes programas com o serviço VirusTotal.com!

No Autoruns, por exemplo, você pode ir na opção de menu Options > Scan Options e marcar Check VirusTotal.com, para que o Autoruns automaticamente submete a assinatura hash de cada entrada listada ao serviço VirusTotal, e exiba os resultados em uma coluna da listagem, colorindo de vermelho se alguma entrada tiver detecção positiva para malware. A opção Submit Unknown Images, embora mais demorada, ainda permite enviar o arquivo ao VirusTotal caso a sua assinatura ainda não exista na base histórica de análises do serviço. Para facilitar ainda mais a busca apenas pelos suspeitos, a opção Options > Hide VirusTotal Clean Entries permite ocultar da listagem do Autoruns todos os executáveis que foram identificados como limpos no VirusTotal.com, exibindo apenas os que tiveram alguma detecção positiva e os desconhecidos (ainda não analisados pelo VirusTotal).

No Procexp, a integração com o VirusTotal se dá pela opção Options > VirusTotal.com > Check VirusTotal.com (e Submit Unknown Executables).

Com ferramentas simples e integradas assim, fica bem prático, fácil e rápido tentar detectar um malware em um computador, mesmo se não houver um bom antivírus instalado, bastando ter em mãos o Autoruns e o Procexp, e acesso internet para o VirusTotal.

Tchau McAfee, bem vindo de volta, Kaspersky!

Quem acompanha meu blog em postagens relativas a softwares antivírus e de proteção internet, sabe que desde os idos de 2006 eu passei a ter preferência pessoal pelo Kaspersky Internet Security, pelos seguintes motivos principais:

  • Em meus próprios testes e em testes de sites e revistas especializadas, o Kaspersky sempre apresenta um dos mais altos índices (muitas vezes é o maior) de detecção de malware. E quando se trata de cavalos de tróia específicos de fraudes bancárias brasileiras, Kaspersky mostra larga superioridade na rápida e precisa detecção destes.
  • Desde a versão 5 até hoje, a interface com o usuário ficou muito mais fácil, intuitiva e atrativa.
  • O desempenho, em termos de consumo de CPU e memória, sempre foi para mim suficiente em sua configuração padrão, nunca me incomodou ao ponto de culpá-lo por qualquer lentidão anormal na máquina.
  • Sua atualização de dados há muito tempo é de três em três horas, quando ainda haviam antivírus que só tinham opção de uma atualização diária ou até em intervalos maiores.

Até agora me bastou. Ainda assim, quando comprei um novo computador que veio com o McAfee Internet Security preinstalado, meu espírito nerd me fez experimentar outro antivírus, para efeito de comparação. A interface e os recursos não me pareceram tão fáceis como do Kaspersky, mas talvez eu poderia estar influenciado por anos de costume com o outro. O desempenho também não me incomodava, mas a detecção de novos malwares às vezes falhava (como eu conseguia facilmente comprovar utilizando as comparações pelo VirusTotal.com). Como não sou nenhum usuário leigo, estava aceitável até que a licença acabasse.

Porém, um fato precipitou tudo. Fiquei três dias sem acesso a internet em meu computador de casa. Não era a banda larga nem os equipamentos, pois outro computador navegava normalmente.

A última coisa que aconteceu com meu computador antes da internet “subir no telhado” foi o seguinte: o McAfee Internet Security de repente abriu um tela de erro e solicitou a instalação de um tal de “McAfee Virtual Technician”. Logo depois que a instalação via web desse utilitário tentou baixar algo, o computador parou de acessar a internet.

Poderia ser coincidência. Mas os diagnósticos de rede do Windows solicitavam “liberar o firewall”; os detalhes exibiam instruções para configurar o Firewall do McAfee, mas já estava tudo conforme solicitado. Mesmo desligando o Firewall totalmente pela interface do McAfee, nem um ping para o roteador dava certo.

Então apelei e mandei desintalar o McAfee Internet Security. A desintalação nem tinha completado e minha internet voltou à vida! Bingo!

Logo em seguida, o que fiz? Instalei o Kaspersky Internet Security 2012, para o qual eu já tinha até uma licença multiusuário à espera. Em poucos minutos instalado, o Kaspersky detectou e eliminou um malware de teste que estava arquivado no computador, saneou três cavalos de tróia HTML em mensagens de spam em meu e-mail, e ainda detectou vulnerabilidades em quatro programas desatualizados, que tratei de atualizar para a versão mais nova conforme orientações das respectivas páginas de advisory do securelist.com, para o qual o Kaspersky direcionava em “Exibir descrição” de cada vulnerabilidade.

Por isso, agora, tchau McAfee, bem vindo de volta Kaspersky!

Anatomia de uma fraude: CitiBank

Dia 24, recebi mais uma fraude tipo phishing scam (pesacaria de otários), dessa vez fingindo ser do banco CitiBank. Vamos à análise e comentários das características de mais essa fraude.

A isca: o e-mail fraudulento

Como toda fraude, a isca básica é enviar uma mensagem fraudulenta de spam (envio em massa) para uma lista não autorizada de milhões de e-mails, com um tema de mentira chamativo, que possa ser inadvertidamente tomado como legítimo e verdadeiro por uma parcela de destinatários incautos.

O princípio de proliferação dessa isca é simples: tentativa em larga escala. Ao enviar uma fraude para, digamos, um milhão de endereços de e-mail, se apenas 0,1% destas mensagens chegarem a alguém desavisado e inocente que acredite na fraude, o fraudador já conseguirá pescar 1.000 (1 mil) otários!

— PERGUNTA: Onde o fraudador consegue essa lista de e-mails? — RESPOSTA: Na internet ou até mesmo em um camelô. Pessoas mal intencionadas podem construir mecanismos de busca especializados em varrer a internet em busca de endereços de e-mail válidos. Essas buscas podem até ter inteligência de categorizar cada e-mail encontrado por temas (através de expressões ou palavras chave existentes no local onde o endereço de e-mail foi encontrado), país ou idioma (do site ou serviço), e até buscar também o nome do indivíduo associado ao endereço de e-mail.

— PERGUNTA: Como posso me proteger, impedindo meu endereço de e-mail ser roubado? — RESPOSTA: Impedir completamente é difícil, mas alguns cuidados básicos podem reduzir imensamente as chances de seu e-mail ser obtido indevidamente. Cito dois:

  1. Antes de fornecer seu e-mail (e nome!) em sites e serviços interativos na internet, como fóruns, blogs, redes sociais, comércio eletrônico etc., procure se informar sobre a idoneidade, seriedade, segurança e proteção de privacidade deste. É um local confiável? O endereço de e-mail seu (ou de qualquer participante/usuário do serviço) fica visível publicamente ou para pessoas desconhecidas? A política de privacidade do serviço garante que seu e-mail não pode ser fornecido a terceiros? Ao se cadastrar, você concordou com a divulgação de seu e-mail a “parceiros” ou qualquer outro terceiro?
  2. Evite reenviar mensagens de e-mail a diversos contatos seus, e se o fizer, coloque o nome dos diversos destinatários no campo cópia-carbono-oculta (CCO ou BCC). Ao reenviar mensagens a outras pessoas, procure apagar do cabeçalho e texto da mensagem original transcrita endereços de e-mail de terceiros. Assim você zela em não revelar indevidamente e-mail dos outros. Oriente seus amigos igualmente a zelar pela privacidade dos outros, pois um dos “outros” pode ser você.

O tema, neste caso, foi o de “Informações financeiras e cadastrais”, um dos seis temas comuns que cito em meu artigo Phishing Scam – A fraude inunda o correio eletrônico.

A fraude finge ser uma “solicitação de atualização de segurança do banco CitiBank Online”. Veja uma imagem reproduzindo a aparência da mensagem fraudulenta:

[photopress:fraude_citibank_spam.png,full,centered]

Agora vamos avaliar os cinco Indícios de phishing scam que também cito no meu referido artigo:

Apresentação descuidada: NÃO. Essa fraude tem uma aparência visual verossímil e um texto sem erros grosseiros de português. Esse indício a fraude evitou.

Link destino não confiável: SIM, mas pode gerar dúvida. Há um link clicável no e-mail, prática que praticamente todos os bancos estão evitando, aponta para um endereço sem segurança (é http comum, e não https, o HTTP-Seguro) e o nome do domínio citibank.acessocliente.com não é no Brasil (não é .com.br, mas sim .com internacional) nem é, como se deveria esperar, o domínio principal do banco no país, como www.citibank.com.br. Contudo, a fraude ainda conseguiu usar um um domínio com um nome genérico que pode parecer com algo bancário — “acesso cliente” — e ainda precedido por um subdomínio com o nome do banco. Ou seja, nesse quesito a fraude pode gerar suspeita, mas também não é tão grosseira.

Informação improvável: SIM. Os mais inocentes e desavisados podem achar que um banco oferecer atualização de segurança por e-mail seja plausível, mas nenhum banco faz isso porque é algo muito inseguro e tema recorrente de fraudes. E se você tem dúvida, ligue para o banco antes de clicar em qualquer coisa.

Impessoalidade: SIM. O seu nome real aparece no cabeçalho ou no texto da mensagem? Não. Então provavelmente quem fraudou não sabia o seu nome, como o banco (se você for cliente) deveria saber. Como boa prática, mensagens desse tipo deveriam ser enviadas de forma personalizada, citando o seu nome completo. Infelizmente, essa boa prática nem sempre é seguida nas mensagens legítimas, e também as listas de spam mais “sofisticadas”, como já mencionei, podem obter e utilizar também o seu nome real, junto com seu endereço de e-mail. Veja meu artigo Cuidado – A fraude evoluiu.

Remetente suspeito: NÃO. Esse é o erro mais fácil de um fraudador evitar, porque o endereço do remetente, infelizmente, pode ser facilmente forjado.

Ou seja, vários indícios de fraude, mesmo que alguns deles sutis.

O golpe

Espero que, com tantos avisos, orientações e exemplos que posto, você meu leitor nunca seja um desses inocentes e desavisados incautos que clicam em um link duvidoso em uma mensagem de e-mail. Nunca clique!

Para analisar também o ataque, investiguei também o que havia no link destino, em um ambiente controlado e com cuidado e cautela extremos. Não faça isso em casa, nem muito menos no trabalho nem lugar nenhum.

O link leva diretamente ao download de um arquivo executável chamado Cadastro_CitiBank.exe para sistema operacional Windows. Trata-se de um programa espião roubador de senhas bancárias. Se executado, o programa silenciosamente se instala para ficar em execução contínua e reativado automaticamente toda vez que o sistema operacional for iniciado. Fica monitorando permanentemente o uso do computador e, se você digitar dados bancários, ele os captura e tenta enviar ao fraudador via internet.

Utilizando o serviço VirusTotal.com, enviei o arquivo para análise pelos 43 mecanismos antivírus disponíveis no serviço. No dia do envio, nenhum antivírus em VirusTotal detectou o executável como malicioso. Pelo menos três dias depois da fraude ativa, apenas o antivírus Kaspersky 9.0.0.837 (com atualização de 2011.07.26) passou a detectar como o malware Trojan-Banker.Win32.Banker.skab. E decorrido mais um dia, ainda eram apenas seis os antivírus que detectavam o perigo: AntiVir (TR/Banker.Banker.skab), Antiy-AVL (Trojan/Win32.Banker), eTrust-Vet (Win32/Banker.GPF), Kaspersky, TrendMicro-HouseCall (TROJ_BANKER.FGR) e ViRobot (Trojan.Win32.Banker.1064448.A).

O que quero mostrar com isso é que a proteção dos antivírus nem sempre é efetiva e imediata na detecção de novos códigos maliciosos, pois a notificação/descoberta e análise toma algum tempo. Dessa forma, os usuários ficam ainda mais vulneráveis nos primeiros dias de existência de toda nova fraude, pois provavelmente as ferramentas de antivírus/proteção ainda não a reconhecem e, portanto, não nos protegem de imediato.

É importante lembrar que os antivírus basicamente trabalham com o princípio de um “policial com uma lista de procurados e suspeitos”. Quando surge um novo “criminoso” (código malicioso), se ele não tiver um padrão previamente identificado como suspeito, precisará ser “denunciado” (detectado e analisado) pela empresa de antivírus até que entre na “lista de procurados”.

É uma guerra de “polícia e ladrão” onde as únicas armas realmente efetivas para todos sempre são a atenção, o cuidado e a precaução. Fique alerta, cuide-se! Evite as fraudes.

Assim como no trânsito existe a máxima de “Na dúvida, não ultrapasse.“, na internet você pode seguir a precaução “Na dúvida, não clique.

Anatomia de mais uma fraude: Santander

Veja a mensagem de e-mail spam que tenta “pescar” usuários otários para a fraude de formulário, caso ele clique no link contido na mensagem.

[photopress:fraude_santander_spam.png,full,centered]

Indícios típicos de fraude: Além dos mesmos indícios que apontei no artigo de ontem — impessoalidade (não cita o nome do cliente), tema suspeito (atualização ou recadastramento de segurança feito pela internet), link destino suspeito (não aponta para o site principal do banco) — vou comentar uma prática de segurança que tem sido adodata pelos bancos. Como um link em uma mesagem de spam — como este — tem sido o gatilho mais comum para levar a fraudes, os bancos que enviam e-mails legítimos ao cliente tem evitado incluir links na mensagem. Às vezes informam o endereço que deve ser acessado, mas instruem o próprio usuário a digitar o endereço no navegador. Eliminam a praticidade do link em prol da segurança.

O endereço contido no link fraudulento da mensagem de e-mail — clcmaquinaria.es — não tem absolutamente nada a ver com a instituição bancária usada como tema da fraude. Este endereço apenas leva a um redirecionamento para outro endereço, onde a fraude está efetivamente hospedada.


Nota técnica: Eis o trecho de resposta HTTP de redirecionamento (código 302) para o endereço onde a fraude está hospedada.

GET /datos/folletos/Atualizacao-Unificacao.php?ID=6235 HTTP/1.1
Host: www.clcmaquinaria.es

HTTP/1.1 302 OK
Location: http://www.aparecida.go.gov.br/site/Uploads/Galeria/595/InternetBanking/
Server: Microsoft-IIS/6.0
X-Powered-By: PHP/4.4.7, PleskWin, ASP.NET

Observe o endereço: Para hospedar a fraude, invadiram o portal da Prefeitura Municipal de Aparecida, em Goiás — www.aparecida.go.gov.br.

Dados confidenciais solicitados na primeira tela: Agência, conta e senha de internet.

[photopress:fraude_santander_web.png,full,centered]

A fraude se dá ao luxo de validações em JavaScript, para evitar que o usuário forneça informações inválidas ou incorretas ao fraudador. Na primeira tela, verifica se a senha de internet e sua confirmação digitadas são iguais, conforme mensagem de erro a seguir.

[photopress:fraude_santander_web_valida.png,full,centered]

Dados confidenciais solicitados na segunda página: CPF, RG (identidade), nome do pai, senha de Disk Real, assinatura eletrônica.

[photopress:fraude_santander_web_02.png,full,centered]

Novamente, a página inclui diversas validações dos dados fornecidos, conforme duas ilustrações a seguir.

[photopress:fraude_santander_web_02_valida.png,full,centered][photopress:fraude_santander_web_02_valida2.png,full,centered]

Na última tela da fraude, solicita todos os códigos do cartão e o número de série deste.

[photopress:fraude_santander_web_03.png,full,centered]

Indício claro de fraude: Os bancos possuem o número de série de todos os códigos dos cartões de segurança enviados aos clientes. O banco sempre solicita apenas o código de uma posição por vez (em uma tela ou transação bancária), para confirmar que o cliente possui o cartão e conhece o código na posição solicitada. Se uma página solicitar todos os códigos do cartão de segurança assim, é fraude!

Anatomia de fraude: MasterCard

Vou exibir e analisar em detalhes mais uma fraude que permanece ativa até o momento em que escrevi este artigo. É uma fraude do tipo phishing scam (pesca-otários) que leva o usuário a relevar dados sigilosos. Previna-se!

Spam prolifera a fraude

Primeiro, você recebe uma mensagem de e-mail fraudulenta, enviada a uma lista de spam para milhares de potenciais destinatários. Veja a seguir uma imagem de reprodução da mensagem de correio eletrônico:

[photopress:fraude_mc_email.png,full,centered]

Primeiro indício de fraude: Impessoalidade. A mensagem, nem no campo de destinatário nem no corpo da mensagem, citou o seu nome completo, apenas seu e-mail. Empresas sérias, em suas comunicações, das quais você é cliente e que, portanto, possuem cadastro com seu nome, em geral referenciam o nome do cliente.

Esta comunicação personalizada, além de ser mais atrativa em termos de marketing, ainda agregaria mais segurança e confiabilidade para quem recebe. Nem todas as empresas legítimas seguem a boa prática de citar o nome do cliente nas comunicações por e-mail, mas um spam não costuma citar seu nome, ou porque o fraudador em geral utiliza apenas uma lista de e-mails de spam que não possui o nome associado a cada e-mail, ou porque sequer se dá ao trabalho de personalizar as mensagens enviada em massa.

Mas cuidado: fraudes mais sofisticadas já utilizam listas de spam “completas” que contém o nome do destinatário dententor do e-mail! Neste caso, podem burlar o indício da impessoalidade e conter o seu nome! Abordei esse problema em meu artigo Cuidado – A fraude evoluiu, em 2009.

Segundo indício de fraude: O tema da mensagem é altamente suspeito, típico de fraudes. Alega recadastramento de segurança de alguma instituição financeira popular. Nenhuma empresa séria utiliza e-mail para recadastramento seguro e, no mínimo, sem prévia orientação por carta ou outro meio confiável de divulgação.

A fraude ficará mais óbvia se você sequer for cliente da instituição em questão. Esse tipo de fraude tira proveito da estatística. Manda milhares ou milhões de mensagens de spam usando como tema de fraude alguma instituição popular, na esperança de que provavelmente um percentual razoável dos destinatários tenha relacionamento (seja cliente) ou conheça a instituição em questão.

Remetente: [email protected]
Endereço web de destino do link: http://www.colegiosaopaulobh.com.br/site/imagens/red.html

Terceiro indício de fraude: Link de destino suspeito. O endereço de e-mail do remetente parece ser relacionado à empresa tema da fraude, mas isso não é nenhum indício de confiabilidade, porque infelizmente este campo pode ser facilmente forjado. Mas o domínio do link de destino deve levantar suspeita imediata: ColegioSaoPauloBh certamente é um domínio que não tem nada a ver com o tema ou a empresa citada na fraude.

Só por estes indícios, a pessoa que recebeu a mensagem já deveria suspeitar prontamente de fraude e tomar a medida mais segura: jamais clicar no link e excluir a mensagem imediatamente.

Caminho do mal: Formulários web solicitam e roubam dados sigilosos

Se o usuário apesar de tudo é ingênuo e inconsequente, não reconhece se tratar de uma fraude, pode correr o enorme risco de clicar no link.

Para exemplificar em detalhes esta fraude, tomamos precauções de segurança em um ambiente muito bem controlado e monitorado e seguimos o link, com o único propósito de mostrar a você os perigos que esperam neste caminho do mal.

Em geral, os links de mensagens de fraude tem um dos destinos igualmente perigosos: ou levam a um endereço web de download de um programa malicioso — em geral um programa espião que visa roubar dados pessoais/sigilosos mantidos ou digitados em seu computador, e posteriormente enviar pela internet ao fraudador — ou levam a uma página falsa de formulário que solicita dados pessoais/sigilosos. Esta fraude é o segundo caso.

O endereço web destino leva a uma página que apenas leva a uma página em outro site, onde está hospedada a fraude efetiva. utilizando o código HTML seguinte:

<META http-equiv="refresh" content="0;URL=http://www.locaville.ind.br/admin/_notes/Promocao2011/">

Quarto indício de fraude: O novo domínio de destino (locaville.ind.br) não tem, igualmente, nada a ver com a instituição financeira utilizada como tema da fraude.

Quinto indício de fraude: Páginas de formulário solicitando dados de segurança, pessoais e/ou sigilosos, devem sempre utilizar uma conexão segura HTTPS (aquela em que o navegador exibe um cadeado e o endereço é precedido por https://). Esta é uma conexão HTTP comum sem segurança (endereço precedido por http://, sem S). Nunca digite dados sigilosos em páginas sem conexão HTTP segura, nem em conexões HTTPS em que o navegador informe que o certificado de segurança não é confiável ou não é válido!

Sexto indício de fraude: O utilitário WOT, extensão gratuita e livre que instalei no navegador web, avisou que a página em questão não era confiável e pdoe ser perigosa para a segurança e privacidade do usuário. Para saber mais sobre esse tipo de ferramenta simples e extremamente útil, leia o artigo Quem avisa amigo é – Classificação de sites.

Veja a seguir as telas (páginas) de formulário e os dados solicitados:

[photopress:fraude_mc_web_01.png,full,centered]
[photopress:fraude_mc_web_02.png,full,centered]
[photopress:fraude_mc_web_03.png,full,centered]
[photopress:fraude_mc_web_04.png,full,centered]

Número, data de validade e código de segurança de seu cartão de crédito.
Nome, CPF, data de nascimento e data de vencimento da fatura do titular do cartão.

De posse de todos estes dados, um fraudador consegue facilmente fazer compras pela internet ou telefone utilizando este cartão como meio de pagamento. Com o nome, CPF e data de nascimento de uma pessoa, consegue ainda fraudar cadastros diversos e obter informações dessa pessoa nas mais diversas situações e finalidades, não só no comércio, mas também junto a órgãos e serviços públicos!

A fraude de phishing scam baseada em formulários, como esta aqui mostrada, é uma das mais revoltantes. Ao invés de levar o usuário a instalar um programa espião que rouba às escondidas dados pessoais/sigilosos gravados ou digitados no computador, leva o próprio usuário ingênuo e discplicente a fornecer voluntariamente seus dados. É muito grave e perigoso!

Espero que este artigo, mostrando e explicando os perigos em detalhe, tenha sido instrutivo; e tenha alertado e orientado você sobre os riscos, indícios e cuidados para que você se previna de fraudes como esta na internet.

Para saber mais:

Fraude em nome de Diners

Relato aqui mais uma fraude eletrônica que observei hoje, e destaco os pontos importantes.

A mensagem de fraude é esta:

[photopress:fraude_diners.png,full,centered]

Assunto: Parabéns! Seu Diners foi sorteado para participar da promoção Presente Toda Hora.
Remetente (alegado): [email protected]
Imagem da mensagem hospedada em: http://lh3.ggpht.com/…/dinersdef32x.jpg
Link de destino apontado pela mensagem: http://www.redirecionadiners.com/www.diners.com.br.php
Link leva ao download de um executável Windows: Diners.exe

Como reconhecer que se trata de uma fraude do tipo “pesca trouxas” (phishing scam):

  • Tema suspeito. Faça a si mesmo perguntas como as seguintes: Você possui esse cartão? Inscreveu-se em alguma promoção? Forneceu e autorizou este endereço de e-mail a receber notificações? Existe mesmo essa promoção, e consta divulgada no site oficial do cartão? Fui sorteado, não está fácil demais? Lembre-se do ditado: “Quando a esmola é grande, o santo desconfia.”
  • Remetente suspeito (embora isso pudesse ser forjado). Por que o domínio “open.art.br”? Por que não um endereço do domínio do site oficial do cartão?
  • Link de destino suspeito, embora pareça verossímil a um leigo.
  • E o principal: Ao invés de levar a uma página de informações, ou cadastro, leva ao download de um executável. Desde quando uma promoção via internet vai exigir instalar e/ou executar um programa em seu computador, para o cadastro? Por que não apenas levar a uma página web de adesão, de preferência no site oficial do cartão? Downloads, ainda mais de arquivos executáveis (programas), são SEMPRE suspeitos até que se prove em contrário.

Aí o preguiçoso e crédulo pode pensar: Se é um arquivo executável, então o antivírus deve detectar vírus ou outro código malicioso.

Não é bem assim. Lembre-se que o antivírus em geral é como um “agente de polícia que procura bandidos baseado exclusivamente em uma lista de procurados; se o sujeito não está na lista, não é considerado bandido ou suspeito”. A “lista de procurados” são os dados recebidos nas atualizações do antivírus.

Se o antivírus não estiver recentemente atualizado, ou se o código malicioso ainda é muito recente e “o bandido não foi denunciado, descoberto e fichado pela polícia”, ou seja, ainda não foi detectado e analisado pelo fabricante do antivírus, o malware não constará na lista e o antivírus não detecta!

Esse é exatamente o caso. A fraude é muito recente, e analisei o arquivo executável nos 43 utilitários antivírus do site VirusTotal.com e nenhum deles ainda reconhece como malicioso no momento em que escrevo este artigo.

Veja reprodução do resultado atual da análise:

[photopress:malware_diners_virustotal.png,full,centered]
(PDF do resultado)

A conclusão é a mesma de sempre: Na internet, desconfie sempre, tenha muito cuidado!

Boletim de Segurança da Kaspersky para 2009

A equipe de analistas de segurança da empresa russa Kaspersky, fornecedora de um dos mais eficientes e conceituados antivírus do mercado e outros produtos para segurança de computadores e redes, divulgou em 17 de fevereiro deste ano o boletim anual de segurança relativo a 2009.

O Kaspersky Security Bulletin 2009 é dividido em três partes:

  1. Malware Evolution 2009, por Eugene Aseev, Alexander Gostev e Denis Maslennikov. Analisa tendências dos últimos anos, análise de 2009 (aumento da sofisticação, epidemias, fraudes, malware para plataformas e dispositivos não usuais), previsões.
  2. Statistics, 2009, por Eugene Aseev e Alexander Gostev. As estatísticas abordam programas maliciosos na Internet (ataques via Web), e os Top 20 em 2009 para códigos maliciosos na Internet, países hospedando malware e países atacados.
  3. Spam Evolution 2009, por Elena Bondarenko, Darya Gudkova e Maria Namestnikova. Aborda uma visão geral do ano, spam no tráfego de correio, fontes de spam, categorias, fraudes (phishing, scam), tipos e tamanhos, métodos e truques dos spammers, spam nos sites de redes sociais, malware em email, e conclusões.

Os dados e informações, como sempre infelizmente, assustam.

Novos malwares por ano

Além do boom de novos malwares observados em 2008 — devido a fatores como rápida evolução da criação de virus na China, evolução das tecnologias de infecção de arquivos, e solidificação de vetores de ataque –, 2009 manteve taxa de surgimento de malware próxima a 2008 e ainda os programas maliciosos se tornaram significativamente mais complexos e sofisticados.

Com a evolução e popularização dos smartphones, observa-se um razoável movimento de surgimento de malware para dispositivos móveis. Embora o número absoluto de novos malwares em 2009 não pareça grande, 257, representa um aumento próximo a 80% em relação a 2008.

China aparece como hospedeiro de mais da metada de todo malware mundial (52,7%), seguida por Estados Unidos (19,02%). Em terceiro e quarto no ranking vem Países Baixos (5,86%) e Alemanha (5,07%). Brasil aparece em décimo-terceiro da lista, responsável por apenas 0,44%.

A China também é o maior alvo de ataques, 46,75% deles. EUA também são segundo como alvo, mas em apenas 6,64% do total. Rússia em terceiro (5,83%), Índia quarto (4,54%), seguidos por Alemanha (2,53%), Reino Unido (2,25%), Arábia Saudita (1,81%) e, em oitavo, Brasil (1,78%).

Softwares populares têm suas vulnerabilidades mais exploradas. Não por acaso, Microsoft (Office, serviços XML), Apple (QuickTime + iTunes), Adobe (Flash Player) e Sun (Java) fecham o ranking das 20 vulnerabilidades mais críticas que responderam por 90% dos arquivos/aplicações vulneráveis no ano.

Ranking de vulnerabilidades

Considerando a base instalada de programas, os aplicativos mais perigosos de 2009 foram, nessa ordem:

  1. Apple QuickTime
  2. Microsoft Office
  3. Adobe Flash Player

Percentual de spam no tráfego de email

Quantos aos insuportáveis spams, é muito triste constatar que mais de 80% de todo o tráfego de correio eletrônico no mundo é de lixo.

Países origem de spam

Tipos de spam

Estados Unidos (16%), Rússia (8,5%) e Brasil (7,6%) são as maiores origens de spam, proliferando a divulgação de medicamentos (“viagra” e afins), diplomas e outros lixos.

Fraudes em spam

No segundo semestre de 2009, quase 10% do spam envolveu mensagens fraudulentas, em phishing e scam. Eu apostaria que especificamente no Brasil, esse percentual deve ser bem maior, pela quantidade enorme de fraudes que vejo circular por aqui.

Fraude “Bradesco” – cara de pau passo a passo

Exibo neste artigo o passo a passo de uma fraude do tipo phishing scam (pesca-bobos) que chega por e-mail, para alertar a todos de o que é e como pode aparentar um dos muitos tipos de fraude bancária existentes na Internet.

A mensagem de e-mail

Chega por e-mail um spam, enviados a milhões de pessoas, a seguinte mensagem fraudulenta.

[photopress:fraude_bradesco_email.png,full,centered]

Uma parcela dos destinatários será realmente usuário do banco em questão (Bradesco). Destes, alguns serão ingênuos e desprevenidos o bastante para cair na farsa.

A página web

Quem clica no link da mensagem de correio eletrônico, cujo domínio é muito duvidoso (Pense: por que o banco legítimo usaria um desconhecido atendimento-v6.com e não o domínio do próprio banco bradesco.com.br? Indício claro de fraude) é direcionado para uma página web onde o Passo 1 é escolher o tipo de cliente.

A página web exibe inicialmente uma janela de diálogo para tentar “tranquilizar” o cliente otário…

[photopress:fraude_bradesco_web_01.png,full,centered]

[photopress:fraude_bradesco_web_01_dlg.png,full,centered]

“FIQUE TRANQUILO – Você está operando em um ambiente seguro e criptografado, apartir (sic) de agora somente o seu computador e os nossos servidores centrais entendem as informações digitadas.”

Ambiente seguro??? Não existe ambiente seguro se não há o protocolo HTTPS (observe nesta página de fraude o http comum, sem s, na barra de endereço), quando aparece o famoso cadeado exibido pelo próprio navegador. O cadeado vermelho exibido é uma mera imagem fajuta na página, não significa nada.

Veja a seguir imagens no Firefox (3.6) e Internet Explorer (8) exibindo uma conexão segura real. O endereço começa sempre com https (S de seguro) e o navegador exibe um cadeado. O do Firefox é no canto inferior direito da janela, na barra de estado; o do Internet Explorer 8 passou a ser exibido no final da barra de endereço.

[photopress:https_firefox.png,full,centered]

[photopress:https_ie8.png,full,centered]

Pessoa física – passo a passo

Os passos para pessoa física, ou clientes Prime e Private são praticamente idênticas. Veja a seguir os passos exibidos quando se escolhe Pessoa Física.

[photopress:fraude_bradesco_web_pf_02.png,full,centered]
[photopress:fraude_bradesco_web_pf_02_dlg.png,full,centered]

A digitação da conta inclui o requinte de efetivamente validar o dígito verificador. Se digitado incorreto, a janela de diálogo acima é exibida e não se pode prosseguir.

Na tela de digitação da senha de quatro dígitos, uma mensagem ameaçadora incentiva o usuário a continuar:

“Não cancele a atualização do Plugin de Segurança, pois ocorrerá o bloqueio imediato de sua conta por medidas de segurança.”

[photopress:fraude_bradesco_web_pf_03.png,full,centered]
[photopress:fraude_bradesco_web_pf_03_dlg.png,full,centered]

O script de digitação pelo telcado virtual não funciona no Firefox. No Internet Explorer a digitação funcionou, embora a diagramação da tela é que ficou incorreta, por causa de um número de controle exibido no alto. Veja a seguir.

[photopress:fraude_bradesco_web_pf_03_ie.png,full,centered]

No Passo 4 seguinte, o auge do indício total de fraude: Todos os 70 códigos do cartão de segurança emitido pelo banco são solicitados, e não apenas um como é a medida de segurança nas transações legítimas. Só o fraudador é que precisa de todos os códigos, para usar um deles que for solicitado pelo banco quando ele for utilizar os dados que está roubando aqui.

[photopress:fraude_bradesco_web_pf_04.png,full,centered]
[photopress:fraude_bradesco_web_pf_04_dlg.png,full,centered]

Mais uma vez, a validação. Nenhum código pode ser deixado em branco, senão uma mensagem é exibida e a fraude não prossegue.

O toque final, a senha de seis dígitos do cartão magnético. Novamente, a digitação só funciona no IE.

[photopress:fraude_bradesco_web_pf_05.png,full,centered]
[photopress:fraude_bradesco_web_pf_05_dlg.png,full,centered]

[photopress:fraude_bradesco_web_pf_06.png,full,centered]
[photopress:fraude_bradesco_web_pf_07.png,full,centered]

Pronto, fraude completa! Para quem digitou direitinho e pacientemente tudo, agora o fraudador tem todos os dados secretos da sua conta bancária e está apto a fazer qualquer transação eletrônica nesta conta.

Em um requinte de sofisticação, mais uma validação feita na fraude. Ela salva na sessão do navegador que a fraude foi concluída. Se você fizer tentativa de iniciá-la novamente, é exibida a mensagem a seguir, informando que “sua conta já foi cadastrada (isto é, roubada) com sucesso” pelo programa do fraudador.

[photopress:fraude_bradesco_web_01_again.png,full,centered]

Pessoa Jurídica

Na opção para pessoa jurídica, o Passo 2, em duas etapas, é ligeiramente diferente.

[photopress:fraude_bradesco_web_pj_02A.png,full,centered]
[photopress:fraude_bradesco_web_pj_02B.png,full,centered]

Conclusão

Banco nenhum faz recadastramento ou validação desta forma, muito menos solicitando todos os seus dados sigilosos!

Este tipo de fraude é por formulário, induzindo o próprio usuário a informar docilmente todos os seus dados em uma página de fraude que será enviada ao ladrão.

Outra técnica de fraude existente, quase sempre iniciada por uma mensagem de spam por e-mail, apresenta algum pretexto impactante/alarmante que o faça clicar em um link, baixar e instalar um programa. Este programa tipicamente é um cavalo-de-tróia (trojan) espião, que fica em execução para tentar capturar em seu computador dados bancários ou outras informações sigilosas, para enviá-las ao fraudador via internet.

Para ver mais exemplos de fraude de todos os tipos e organizadas por temas dos pretextos, veja meu artigo: Phishing Scam – A fraude inunda o correio eletrônico.

Nota: os avisos de página falsa e de classificação ruim exibidos no alto de algumas imagens são exibidos pelo Antiphishing nativo do Firefox e pelo plugin WOT, respectivamente. Para saber mais, consulte o artigo Quem avisa amigo é – Classificação de sites.

Fraude Surpreendo – Proteja seus dados pessoais

As fraudes, às vezes, tem aparência realista. Esta que recebi recentemente manteve texto e formatação verossímeis tanto no e-mail quanto na página web apontada pelo link da mensagem. Além disso, ainda conseguiram registrar um domínio com nome convincente. A fraude usa como tema a promoção Surpreenda MasterCard, e para a fraude registraram o domínio supreendo.com.

Conforme lembrou minha amiga e tuiteira Maria Inês, o domínio fraudulento, surpreendo.com, é perigosamente muito parecido com o legítimo, que é surpreendamc.com.br.

Então, qual indício deve deixar o usuário recebedor desconfiado e alerta, a ponto de reconhecer a fraude e não seguir em frente? O excesso de informações pessoais sigilosas solicitadas. Neste caso: nome completo, CPF, e todos os dados do cartão de crédito (número, validade e código de segurança).

Basta raciocinar o seguinte: só com estes três dados do cartão, alguém consegue hoje em dia fazer qualquer compra on-line ou por telefone. E ainda com seu nome completo e — principalmente — CPF, pode criar um cadastro falso (e válido!) em lojas (físicas e virtuais), financeiras e sabe-se lá onde e para que mais.

De fato, todas vez que lhe solicitarem este tipo de informações pessoais sigilosas, seja em que situação for (inclusive fora da internet, pessoalmente ou em um telefonema), pense e confirme cuidadosamente se você confia, acredita e tem segurança integral em quem está solicitando e para que está solicitando, pois são informações das mais valiosas e sensíveis que uma pessoa pode possuir nos dias atuais.

Minha recomendação permance: na Internet, desconfie e tenha cuidado sempre! Infelizmente, pode existir maldade e más intenções em todo lugar.

Veja as imagens (inócuas, são meras reproduções visuais da fraude, sem os links maliciosos) da mensagem de e-mail e da página web:

[photopress:scam_surpreendo.png,full,centered]

[photopress:scam_surpreendo_web.png,full,centered]

Os serviços colaborativos de segurança web no combate à fraude PhishTank e WOT classificaram esta página como fraude, de acordo com a avaliação de vários usuários.

A seguir, dados técnicos e administrativos publicados no registro do domínio. Note que mensagem foi enviada em 16 de fevereiro, e o domínio criado poucos dias antes, dia 10. [Os dados do contato de registro foram mascarados aqui porque foram roubados de uma pessoa e utilizados de forma fraudulenta e ilegítima pelo(s) fraudador(es).]

WHOIS information for surpreendo.com :

[Querying whois.verisign-grs.com]
[whois.verisign-grs.com]

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: SURPREENDO.COM
   Registrar: UNIVERSO ONLINE LTDA
   Whois Server: whois.host.uol.com.br
   Referral URL: http://registrar.host.uol.com.br
   Name Server: NS1.DOMINIOS.UOL.COM.BR
   Name Server: NS2.DOMINIOS.UOL.COM.BR
   Name Server: NS3.DOMINIOS.UOL.COM.BR
   Status: clientTransferProhibited
   Updated Date: 10-feb-2010
   Creation Date: 10-feb-2010
   Expiration Date: 10-feb-2011

Registrant/Administrative Contact/Technical Contact:
   Name:                ********************************
   Organization:        ********************************
   E-mail:              [email protected]
   Address:             *** ****** *** ****
   Address:             ********
   Address:             RIO DE JANEIRO - RJ
   Phone:               55 21 ********
   Country:             BRASIL
   Created:             2010-02-10
   Updated:             2010-02-10

Há pouco mais de um mês, outra fraude usando a marca MasterCard como tema também circulou na internet. A fraude alegava um recadastramento e levava a um site que também foi registrado com um domínio convincente: mastercardbrasil.com.

Até o momento deste artigo, o endereço continuava ativo, embora felizmente os serviços de combate a fraudes já o tem cadastrado, de forma que tanto o recurso de proteção/notificação contra fraudes nativo do Firefox quanto o serviço WOT alertam para o endereço fraudulento.

Veja a seguir as imagens da fraude.

[photopress:scam_mc_recadastro.png,full,centered]

Observe, no texto da mensagem, certo descuido com a redação, indício comum a muitas fraudes. Vários erros de pontuação, acentuação (fráude, indesejaveis, usuarios), uso de maiúscula no meio da frase (… combate Contra qualquer …) etc. Dificilmente uma mensagem legítima, elaborada por profissionais de marketing, deixaria passar esse tipo de descuido, pois isso poderia prejudicar a boa imagem da marca.

[photopress:scam_mc_recadastro_web.png,full,centered]

No endereço web de destino, observe que são exibidos apenas os alertas sobrepostos do Firefox e do WOT, em lugar da página fraudulenta.

Por fim, apresento a imagem de uma mensagem legítima da promoção “Programa Surpreenda Mastercard”, para que o leitor compare as semelhanças e diferenças com as fraudes anteriormente apresentadas aqui.

[photopress:legitima_surpreenda.png,full,centered]

Para saber mais:

Ameaças e ataques cibernéticos no mundo real

O programa de TV 60 Minutes da rede americana CBS que foi ao ar em 8 de novembro passado apresentou a reportagem “Guerra Cibernética: Sabotando o Sistema”, em que sugere que apagões no Brasil podem ter sido causados por ataques hacker.

Tudo começou com a seguinte declaração recente do presidente dos EUA Barack Obama, que disse (tradução livre minha):

“Nós sabemos que intrusos cibernéticos sondaram nossa rede elétrica, e em outros países ataques cibernéticos fizeram cidades inteiras mergulhar na escuridão.”

Segundo a CBS, fontes militares dizem que ele se referia ao Brasil, aludindo que ataques de hackers teriam sido causa dos apagões ocorridos no país em 2005 e 2007. O jornalista afirma que os dados foram retirados de uma investigação específica sobre casos de ataques e crimes virtuais contra a infraestrutura de diversos governos. Os ataques seriam semelhantes aos sofridos nos Estados Unidos em 2009. (fonte: INFO Online).

A reportagem da CBS é cheia de sensacionalismo e tem pouco enfoque no embasamento e comprovação técnicos. Mas a notícia vem espalhando temores e sucitando teorias da conspiração, impulsionada pela esteira de sensibilização da população pelo blecaute que atingiu dez estados brasileiros — além do Paraguai — na noite de 10 de novembro.

Teoria da conspiração

Um exemplo do alarde provocado é o artigo A verdade sobre o apagão, por Maycon Maia Vitali, no Blog Hack’n Roll. Nele o rapaz de 23 anos, motivado pelo assunto, fez uma sondagem superficial na internet e encontrou uma vulnerabilidade de segurança em um sistema do Operador Nacional do Sistema Elétrico (ONS) do Brasil.

A falha no site apontada por Vitali foi corrigida na sexta-feira, três dias após o apagão que afetou 18 Estados brasileiros, conforme afirmou o diretor-geral do ONS, Hermes Chipp.

Como bem destaca o blogueiro Jomar Silva, não é porque um sistema de administração de contratos de transmissão da ONS está online que outros sistemas críticos de operação da rede elétrica estarão abertos na internet, nem tampouco supor que a falha simples encontrada pelo rapaz corrobore para comprovar que o sistema de energia elétrica do Brasil em si esteja comprometido e vulnerável a ataque de crackers.

A incursão de Vitali apenas reforça o que todo especialista em segurança da informação diz: não há segurança absoluta, não há sistema 100% seguro.

Autoridades brasileiras da ONS, Aneel (Agência Nacional de Energia Elétrica), Min. Minas e Energia e Presidência já afirmaram categoricamente que os sistemas críticos de operação e controle da rede de energia elétrica do Brasil não estão acessíveis através da Internet e descartam a possibilidade de sabotagem virtual.

Portanto, o post pode ser caracterizado como FUD — acrônimo do inglês Fear, Uncertainty and Doubt, para designar a tática de desinformação que visa desacreditar uma entidade ou fonte, incitando medo, incerteza e dúvida nas pessoas. Mas é um exemplo de como o efeito de histeria se espalha.

Relatórios de tendências

Bem mais concreto é o recente relatório de Tendências na Segurança de Aplicações Web para os dois primeiros trimestres de 2009, divulgado pela empresa Cenzic, especializada em segurança: Web Application Security Trends Report, Q1-Q2 2009, divulgado em 2009-11-09.

Publicado periodicamente desde 2007, o relatório revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008. Desse total, 78% são em aplicativos web. 87% das aplicações analisadas tinham falhas sérias que poderiam expor informações críticas ou confidenciais dos usuários durante transações (fonte: IT Web).

De acordo com a Cenzic, as vulnerabilidades SQL Injection — como a identificada por Maycon Maia Vitali na aplicação web do ONS — e Cross Site Scripting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.

Outro documento, o “Top Cyber Security Risks”, do SANS Institute, publicado em setembro, revela que mais de 60% dos ataques na internet focaram aplicativos web. Isto porque nos últimos anos a quantidade de vulnerabilidades identificadas em aplicações tem sido muito superior àquelas em sistemas operacionais e redes.

Segurança

No mínimo, todo esse assunto é um alerta sobre como as ameças em um mundo tecnológico e conectado vão saindo da ficção científica futurística e galgando a realidade dos dias de hoje.

Mas se há ameaças mil à solta, há também informação, produtos e serviços de sobra para as instituições, governos, empresas e pessoas poderem se instruir, preparar, prevenir, mitigar e reagir às possibilidades e incidências de vulnerabilidades e falhas de segurança em sistemas.

Para se ter uma simples ideia, já existe, há um bom tempo:

O mal existe, mas o bem também. Para dissipar presságios do caos, basta que não apenas os crackers (hackers do mal), mas principalmente as instituições e pessoas de bem se preocupem, envolvam, invistam e ajam seriamente em segurança.