Blog do Márcio d’Ávila

A empresa de segurança Symantec divulgou em setembro seu XII Relatório de Ameaças à Segurança na Internet, publicação semestral que fornece uma atualização do cenário mundial de ameaças virtuais. Ele inclui a análise de ataques em redes, um resumo das vulnerabilidades conhecidas e de códigos maliciosos. Também avalia tendências nas atividades de phishing scam (fraudes “pega-bobos”) e spam (mala-direta/lixo em massa por e-mail).

Informações e resumos sobre o relatório estão disponíveis em Inglês, Português e Espanhol, mas o relatório completo é só em inglês. Essa é a décima-segunda edição semestral do relatório, publicado pela Symantec desde 2002. Na página Internet Security Threat Report (em inglês) estão disponíveis mais informações e todas as edições anteriores do relatório.

Eis os pontos de destaque do XII Relatório Symantec, disponíveis em documentos de resumo em português:

• Introdução
• Dados mundiais:
  • Crescente profissionalização e comercialização de atividades maliciosas
  • Ameaças cada vez mais feitas sob medida para certas regiões
  • Número crescente de ataques em múltiplos estágios
  • Criminosos exploram sites confiáveis para atingir vítimas
  • Convergência dos métodos de ataque
• América Latina:
  • Principais ataques
  • Principais países-fonte
  • Número de computadores infectados por Bot em cada país
  • As 10 principais amostras de códigos maliciosos
  • Spam

Outra empresa de segurança que divulga relatórios periódicos similares é a Modulo Security, principal empresa brasileira especializada em gestão de riscos e segurança da informação. Desde 1994, a Modulo realiza anualmente Pesquisas Nacionais sobre Segurança da Informação, focadas no Brasil.

Para saber mais:

• Referências em Informação sobre Segurança, por Márcio d’Ávila.

O meu xará e leitor assíduo Márcio Rodrigues se sensibilizou pelo artigo que postei em 24 de novembro de 2006 sobre o boato envolvendo o “Criança Esperança”, e continuou interessado pelo assunto. Em uma postagem de 25 de março passado no seu blog, ele chamou a atenção para o comunicado que a UNESCO fez com esclarecimentos sobre a campanha Criança Esperança e as calúnias contidas no boato.

É triste ver que boatos como este, que agora se propagam com a velocidade e a abrangência da Internet, possam existir. Criado aparentemente para atingir a Rede Globo, o boato afirma que a emissora teria vantagens no Imposto de Renda com o Criança Esperança, uma mentira que pode acabar prejudicando o apoio e a confiança em uma campanha tão séria e positiva!

Como eu sempre digo, o boato e a fofoca são uma praga, seja ao vivo ou via Internet.

Kaspersky Lab — renomada empresa russa especializada em ferramentas de segurança digital, como o excelente Kaspersky Antivírus, para proteção contra a pragas virtuais ou software malicioso (malware) — publicou hoje um artigo esclarecedor sobre os keyloggers. Keylogger é um programa gravador de digitação/mouse, usado para capturar dados introduzidos pelo usuário de um computador. Este tipo de programa pode ser usado para fins legítimos como monitoramento de segurança, mas na maioria das vezes é utilizado de forma maliciosa e mesmo criminosa.

Keyloggers representam grande ameaça aos usuários de Internet, sendo em geral proliferados por spam com mensagens fraudulentas (phishing scam). O objetivo dessas fraudes é instalar furtivamente programas keylogger, para capturar dados pessoais digitados pelos usuários, que são enviados para malfeitores pela Internet. No Brasil, fraudes utilizando keyloggers, visando roubar contas e senhas de bancos brasileiros daqueles que acessam bancos pela Internet, têm sido largamente aplicadas.

Em linguagem clara voltada ao entendimento do público geral, o texto apresenta os keyloggers, explica porque eles são uma ameaça, como os criminosos cibernéticos os utilizam, como eles se proliferam e como se proteger contra keyloggers.

O artigo conclui (tradução livre):

Atualmente, keyloggers — junto com técnicas de phishing e engenharia social — são um dos métodos de fraude cibernética mais utilizados. Empresas de segurança de TI têm registrado um firme crescimento no número de programas maliciosos que têm funcionalidade de gravação de digitação/mouse.

• Keyloggers: How they work and how to detect them (Part 1) (em inglês), por Nikolay Grebennikov, Kaspersky Labs, 29 de março de 2007.

Ano novo, fraude nova, usando como tema notícia bombástica recente: a execução de Saddam Hussein, ocorrida no final de 2006.

Chamo a atenção nesta fraude para a técnica usada no link malicioso: ao invés de apontar diretamente para o arquivo executável a ser baixado, o link na mensagem de fraude aponta para uma página web que tenta explorar uma velha vulnerabilidade do Internet Explorer — já corrigida por atualização crítica de 02 de julho de 2004 — classificada pelos antivírus como Exploit.JS.ADODB.Stream.e ou ainda Troj/Psyme-CY.

A vulnerabilidade visa fazer com que o programa seja baixado e executado automaticamente pelo navegador. Outros navegadores, bem como o próprio Internet Explorer com a atualização crítica aplicada, não são atingidos por esta técnica. Antivírus que reconhecem essa ameaça também podem bloquear o acesso à página perigosa (em qualquer navegador), como na ilustração a seguir.

Se a vulnerabilidade for ignorada, caso um ingênuo clique no link da mensagem para abrir a página, o navegador web pode acabar solicitando o download do arquivo executável malicioso apontado pela página. O programa malware neste caso é mais um roubador de dados bancários do Brasil, identificado pelo Kaspersky antivírus como Trojan-Downloader.Win32.Banload.bej.

Como sempre, a proteção mais efetiva é simples: você não clicar no link, e com isso não abrir a página, não baixar o arquivo nem executar o programa.

• Scam - A fraude inunda o correio eletrônico, por Márcio d’Ávila, centenas de exemplos de fraudes, freqüentemente atualizado.
• US-CERT Technical Cyber Security Alert TA04-184A: Internet Explorer Update to Disable ADODB.Stream ActiveX Control, National Cyber Alert System, EUA, 2 de julho de 2004.
• Atualização crítica para Componentes do Microsoft Data Access - Desabilitar o objeto ADODB.Stream do Internet Explorer (KB870669), Base de Conhecimento do Suporte Microsoft, incluindo download da atualização crítica.
• Exploit.ADODB.Stream e Exploit.JS.ADODB.Stream.e, Counter Spy Research Center, Sun Belt.
• Trojan Exploit.JS.ADODB.Stream.e, Cyberoam Tech Updates.
• ADODB.Stream, F-Secure Trojan Information.
• Troj/Psyme-CY, Trojan - Sophos threat analysis.

Mais uma fraude, para fechar o ano. Não, não estou falando de “maracutaias” políticas ou de empresários inescrupulosos. Assim como no mundo concreto, a Internet brasileira está cheia de fraudes e é de mais uma dessas que estou falando.

O tema da vez nesta fraude é a Companhia Vale do Rio Doce (CVRD). Fingindo oferecer um formulário de cadastro de fornecedor, a fraude leva ao download de um programa malicioso, mais um “pegador de senhas” bancárias.

Milhares de variantes de fraudes do tipo phishing scam se proliferaram por e-mail este ano, praticamente todas objetivando fazer com que o usuário baixe e instale um programa malicioso que visa capturar dados bancários no computador infestado.

A técnica é manjada: Uma mentira qualquer tenta convencer você a clicar em um link para baixar um arquivo executável. A extensão do arquivo varia — EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, LNK, SHS e outras — mas todas têm o mesmo efeito. São interpretadas como um tipo de programa, de forma que se o arquivo é aberto, o Windows executa e ativa o programa malicioso.

Aparentemente, o programa se executado não faz nada, mas na verdade se instala para iniciar sua execução junto com o Windows, vigiando permanentemente se o usuário acessar o home banking de algum banco (em geral os brasileiros), para capturar os dados (conta e senha) e enviá-los pela Internet ao fraudador.

A fraude exemplificada aqui tenta dissimular o link para o destino (clique na imagem para ampliar e observe o endereço na parte inferior), que é o arquivo fornecedor.exe, adicionando ao final do endereço uma âncora chamada #fornecedor.pdf, que nada afeta o download, mas pode confundir o usuário desavisado, que olhando rapidamente o endereço pode achar que realmente se trata de um arquivo PDF. Não se engane: se fosse um arquivo PDF, o navegador normalmente exibiria o documento na tela (usando o plug-in Adobe Reader/Acrobat, que a maioria das pessoas possui instalado). Mas neste caso, como na verdade é um arquivo executável, o navegador deve informar e alertar sobre a real operação de download.

A proteção contra essas fraudes são medidas simples e efetivas:

1. Não acredite em mensagens não solicitadas que você receber, seja qual for o tema da fraude. Veja neste artigo os muitos temas diferentes que têm aparecido na Internet, para se prevenir: Scam - A fraude inunda o correio eletrônico.
2. Nunca clique em links de mensagens suspeitas. Se possível, nunca clique em link de mensagem de e-mail nenhuma.
3. E, principalmente, nunca nunca em hipótese nenhuma faça download nem abra/execute arquivos oferecidos a partir de um link em uma mensagem de correio eletrônico.

Pode ter certeza: seguindo estes passos simples, você não vai perder nenhuma oportunidade fantástica senão a de se meter em confusão à toa. O bom senso e a cautela ainda são um dos melhores e mais eficazes antivírus que você pode ter.

Fique esperto, evite as fraudes na Internet e Feliz Ano Novo!