Alertas CSIRT-eSIS

RANSOMWARE E VARIANTES RECENTES (A17-001)

Sistemas Afetados
Sistemas em Rede

Visão geral
No início de 2016, variantes destrutivas de ransomware como o Locky ou o Samas infetaram computadores individuais e de empresas, em estabelecimentos de saúde e hospitais em todo o mundo. O Ransomwareé um tipo de software malicioso que infecta um computador e restringe o acesso dos utilizadores até que uma quantia de dinheiro seja paga para o desbloquear.
A SPMS, está a divulgar este alerta para fornecer mais informações sobre ransomware, sobre as suas principais características em específico, a sua prevalência, variantes que podem estar a difundir-se e como é que os utilizadores se podem prevenir contra ele.

Descrição

O Ransomware é um tipo de malware que infecta os sistemas de computadores, restringindo o acesso dos utilizadores aos sistemas infetados. Ao longo de vários anos tem-se observado que diversas variantes de ransomware muitas vezes exibem um alerta no ecrã para tentar extorquir dinheiro das vítimas. Normalmente, esses alertas indicam ao utilizador que os seus sistemas foram bloqueados ou que os seus arquivos foram encriptados. Os utilizadores são informados de que, a menos que uma quantia seja paga, o acesso aos mesmos não será restabelecido. O montante exigido aos indivíduos varia muito, mas é frequentemente entre 200€ e 400€ euros e deve ser pago em moeda virtual, como o Bitcoin.
O Ransomware é frequentemente transmitido através de e-mails phishing que contêm anexos maliciosos ou através de drive-bydownload. O drive-by download ocorre quando um utilizador visita um site infetado e, em seguida, o malware é transferido e instalado sem o conhecimento do mesmo
O Ransomware Crypto, uma variante do malware que encripta ficheiros, é difundido através de métodos semelhantes aos mencionados sendo também difundido através de redes sociais, como aplicações de mensagens instantâneas. Além disso, novos métodos de infeção via ransomware têm sido observados. Por exemplo, servidores vulneráveis da Web têm sido analisados como um ponto de entrada para obter acesso à rede de uma organização.

Os autores de ransomware impregnam medo e pânico nas suas vítimas, o que faz com que estas cliquem num link ou paguem uma quantia de dinheiro, e consequentemente os sistemas podem ficar infetados com malware adicional. O ransomware exibe mensagens intimidadoras semelhantes às seguintes:

•“O seu computador foi infetado com um vírus. Clique aqui para resolver o problema. “

•“O seu computador foi usado para visitar websites com conteúdo ilegal. Para o desbloquear, deve pagar uma multa de 100€. “

•“Todos os arquivos no seu computador foram encriptados. Deve pagar este montante dentro de 72 horas para recuperar o acesso aos seus dados. “

Em 2012, a Symantec, utilizando dados de um servidor de comando e controle (C2) de 5.700 computadores comprometidos num dia, estimou que aproximadamente 2,9% dos utilizadores comprometidos pagaram a quantia requerida. Com um montante médio de 200€ os atores mal-intencionados lucraram 33.600€ por dia, ou 394.400€ por mês, a partir de um único servidor C2. Estas estimativas aproximadas demonstram como o ransomware pode ser lucrativo.
Este sucesso financeiro levou provavelmente a uma proliferação das várias variantes de ransomware. Em 2013, as variantes mais destrutivas e lucrativas foram introduzidas, incluindo Xorist, CryptorBit e CryptoLocker. Algumas variantes encriptam não só os ficheiros no dispositivo infetado, mas também o conteúdo de unidades compartilhadas ou em rede. Essas variantes são consideradas destrutivas porque encriptam documentos de utilizadores e organizações tornando-os inúteis (inacessíveis) até que os criminosos recebam o dinheiro.
No início de 2016, a variante destrutiva de ransomware – Locky, infetou computadores pertencentes a instalações de saúde e hospitais nos Estados Unidos, Nova Zelândia e Alemanha. Este tipo de ransomwarepropaga-se através de e-mails de spam que incluem documentos Microsoft Office maliciosos ou anexos comprimidos (por exemplo, ficheiros com formato .rar, .zip). Os anexos maliciosos contêm macros ou documentos JavaScript que transferem arquivos Ransomware-Locky.
O Samas é outra variante destrutiva de ransomware e foi usada para comprometer as redes de instalações de saúde em 2016. Ao contrário do Locky, o Samas propaga-se através de servidores vulneráveis da Web. Depois do servidor Web ter sido comprometido, os ficheiros Ransomware-Samas transferidos são usados para infetar as redes da organização.

Sistemas infetados com ransomware também são frequentemente infetados com outros malwares. No caso do CryptoLocker, um utilizador fica tipicamente infetado ao abrir um anexo malicioso de um e-mail. Este anexo malicioso contém Upatre, um downloader, que infecta o utilizador com o GameOver Zeus. O GameOver Zeus é uma variante do cavalo de Troia Zeus que rouba informações bancárias, sendo também utilizado para roubar outros tipos de dados. Sendo o sistema infetado com GameOver Zeus, o Upatre também irá transferir o CryptoLocker. Finalmente, o CryptoLocker encripta documentos no sistema infetado e solicita que um montante seja pago.
Os estreitos laços entre ransomware e outros tipos de malware foram demonstrados através da recente operação disruptiva de botnets* contra o GameOver Zeus, que também provou ser eficaz contra o CryptoLocker. Em junho de 2014, uma operação de aplicação da lei internacional enfraqueceu com sucesso a infraestrutura GameOver Zeus e CryptoLocker.
*botnets: Uma rede de computadores privados infetados com software malicioso e controlada por um grupo sem o conhecimento do proprietário, por exemplo, ao enviar mensagens de spam.

Impacto

Os destinatários de ransomware não são apenas utilizadores domésticos; as empresas também podem ser infetadas, levando a consequências negativas, incluindo:

•Perda temporária ou permanente de informações proprietárias ou confidenciais;

•Disrupção de operações regulares;

•Perdas financeiras para restaurar sistemas e arquivos.

•Potencial danos da reputação de uma organização.

Pagar o montante solicitado não garante que os arquivos encriptados sejam disponibilizados; apenas garante que os atores maliciosos recebem o dinheiro da vítima e, em alguns casos, as suas informações bancárias. Além disso, desencriptar ficheiros não significa que o malware em si tenha sido removido.

Solução

Estes ataques que infetam os computadores podem ser devastadores para um indivíduo ou organização, e a recuperação pode ser um processo difícil que pode exigir os serviços de um especialista em recuperação de dados.
O CSIRT-eSIS recomenda que os utilizadores e administradores tomem as seguintes medidas preventivas para proteger as suas redes de computadores de ransomware:

•Utilizar um backup de dados e um plano de recuperação para todas as informações críticas. Executar e testar backups regulares para limitar o impacto das perdas de dados ou sistemas e para acelerar o processo de recuperação. Analisar que os backups conectados em rede também podem ser afetados pelo ransomware; Backups críticos devem ser isolados da rede para uma proteção ótima.

•Utilizar a aplicação whitelisting para ajudar a prevenir que programas maliciosos e programas não aprovados sejam executados. A aplicação whitelisting é uma das melhores estratégias de segurança, pois permite que apenas os programas especificados sejam executados, bloqueando todos os outros, incluindo softwares maliciosos.

•Manter o seu sistema operacional e os softwares atualizados com os patches mais recentes. Aplicações e sistemas operacionais vulneráveis são alvos da maioria dos ataques. Assegurar que estas sejam patchedcom as atualizações mais recentes reduz bastante o número de pontos de entrada disponíveis para serem exploradas por um atacante.

•Manter o software de antivírus atualizado e que faça um scan de todo o software transferido da Internet antes da sua execução.

•Restringir a capacidade dos utilizadores (permissões) para instalar e executar aplicações de software indesejadas e aplicar o princípio de “Privilégio mínimo” a todos os sistemas e serviços. Restringir esses privilégios pode prevenir que seja executado malware ou limitar a sua capacidade de se difundir pela rede.

•Evitar a ativação de macros de anexos de e-mail. Se um utilizador abrir o anexo e permitir macros, o código incorporado executará o malware no dispositivo. Para empresas ou organizações, pode ser melhor bloquear mensagens de e-mail com anexos de fontes suspeitas.

•Não clicar em links não solicitados em e-mails.

Indivíduos ou organizações são desencorajadas a pagar as quantias requeridas, uma vez que não garantem que os documentos sejam disponibilizados.

Recursos adicionais
United States Computer Emergency Readiness Team (US-CERT):
https://www.us-cert.gov/ncas

Fonte
US-CERT:
https://www.us-cert.gov/ncas/alerts/TA16-091A

Dica de Segurança CSIRT-eSIS

PROTEGER OS SEUS DADOS (D17-001)

Porque “mais” não é melhor?

Possivelmente há um programa de software adicional incluído no programa que comprou. Ou se calhar encontrou um download gratuito online. Pode ser seduzido a instalar os programas apenas porque pode, ou porque acha que pode utilizá-los mais tarde. No entanto, podem haver riscos encobertos, mesmo sabendo a legitimidade da fonte e do software. Se outras pessoas utilizarem o seu computador, existem riscos adicionais.
Esses riscos tornam-se especialmente importantes se usar o seu computador para gerir as suas finanças pessoais (bancos, impostos, pagamento de contas online, etc.), armazenar dados pessoais sensíveis ou realizar atividades relacionadas com o trabalho fora do seu local de trabalho. No entanto, existem medidas que podem ser tomadas para se proteger.

Como é que pode proteger os seus dados pessoais e profissionais?

•Use e preserve um software de antivírus e uma firewall – Proteja-se contra vírus e cavalos de Troia que podem roubar ou modificar os dados que tem no computador e deixá-lo vulnerável usando um antivírus e uma firewall. Certifique-se que as suas definições de vírus estão atualizadas.

•Faça um scan regular ao seu computador para spyware – Spyware ou adware ocultos em programas de software podem afetar o desempenho do seu computador e dar acesso aos atacantes dos seus dados. Use um programa anti-spyware legítimo para fazer um scan do seu computador e remover qualquer um desses ficheiros. Muitos produtos de antivírus incorporaram deteção de spyware.

•Mantenha o software atualizado – Instale patches de software para que os atacantes não possam tirar proveito de problemas conhecidos ou vulnerabilidades. Muitos sistemas operacionais oferecem atualizações automáticas. Se esta opção estiver disponível, deve ativá-la.

•Avalie as configurações do seu software – As configurações default da maioria dos softwares possuem todas as funcionalidades disponíveis. No entanto, os atacantes podem tirar partido dessas funcionalidades para aceder ao seu computador. É especialmente importante verificar as configurações de conexão à Internet (browsers, e-mails, etc.). Utilize o nível mais alto de segurança disponível que lhe permita as funcionalidades que necessita.

•Evite programas de software não utilizados – Não sobrecarregue o computador com programas de software desnecessários. Considere desinstalar programas que não utilize. Além de consumir recursos do sistema, esses programas podem conter vulnerabilidades que, se não patched, podem permitir que um atacante aceda ao seu computador.

•Considere a criação de contas de utilizador separadas – Se houver outras pessoas a usar seu computador, alguém pode acidentalmente aceder, modificar e/ou excluir os seus ficheiros. A maioria dos sistemas operacionais (incluindo Windows XP e Vista, Mac OS X e Linux) tem a opção de criar uma conta de utilizador diferente para cada pessoa e assim pode definir-se o acesso e privilégios de cada conta. Também se pode optar por ter contas separadas para o trabalho e fins pessoais. Embora esta abordagem não isole completamente cada área, oferece alguma proteção adicional. No entanto, não protegerá o seu computador contra vulnerabilidades que dão privilégios administrativos a um atacante. Idealmente, deverá ter um computador para o trabalho e outro para uso pessoal; isto vai oferecer um tipo diferente de proteção.

•Estabeleça diretrizes para o uso do computador – Se houver várias pessoas a utilizar o seu computador, especialmente crianças, certifique-se de que eles entendem como usar o computador e a Internet com segurança. Definir limites e diretrizes ajudam-no a proteger seus dados.

•Utilize senhas e ficheiros confidenciais encriptados – Passwords e outros recursos de segurança adicionam níveis de proteção, se usados adequadamente. Ao encriptar documentos, garante que pessoas não autorizadas possam visualizar dados, mesmo que tenham acesso a eles fisicamente. Também pode considerar a encriptação completa do disco, o que impede que um ladrão inicie o seu computador sem umapassword. Quando usa a encriptação, é importante saber as suas passwords pois se as perder ou esquecer, poderá perder os seus dados.

•Siga as políticas corporativas para tratar e armazenar informações relacionadas com o trabalho – Se usar o seu computador para fins relacionados com trabalho, certifique-se de que segue todas as políticas corporativas para tratar e armazenar informações. Estas políticas foram estabelecidas para proteger informações privadas e dados de clientes, bem como para o proteger a si e à empresa de alguma responsabilidade. Mesmo que não esteja explicitamente indicado na sua política corporativa, deve evitar que outras pessoas, incluindo familiares, usem o computador que contenha dados corporativos.

•Elimine corretamente as informações confidenciais – Eliminar simplesmente um ficheiro não o apaga completamente. Para garantir que um atacante não possa aceder a esses arquivos, certifique-se de que apaga os ficheiros confidenciais adequadamente.

•Siga bons hábitos de segurança – Reveja outras dicas de segurança sobre como se deve proteger a si e aos seus dados.

Recursos adicionais
United States Computer Emergency Readiness Team (US-CERT):
https://www.us-cert.gov/ncas

Fonte
US-CERT:
https://www.us-cert.gov/ncas/tips/ST06-008

EVITAR OS ATAQUES DE ENGENHARIA SOCIAL E PHISHING (D17-002)

O que é um ataque de engenharia social?

Num ataque de engenharia social, um atacante usa a interação humana (habilidades sociais) para obter ou comprometer informações sobre uma organização ou sobre os seus sistemas. Um atacante pode parecer modesto e respeitável, possivelmente ao alegar ser um novo funcionário, uma pessoa da manutenção ou investigador e até mesmo ter credenciais para apoiar essa identidade. Ao fazer questões, ele/ela pode ser capaz de reunir informações suficientes para se infiltrar na rede de uma organização. Se um atacante não for capaz de reunir informações suficientes a partir de uma fonte, ele/ela pode entrar em contato com outra fonte dentro da mesma organização e contar com a informação da primeira fonte para adicionar credibilidade na sua história.

O que é um ataque phishing?

O phishing é uma forma de engenharia social. Os ataques phishing usam e-mails ou sites maliciosos para solicitar informações pessoais, posicionando-se como uma organização confiável. Por exemplo, um atacante pode enviar um e-mail que aparentemente é de uma empresa de cartão de crédito respeitável ou de uma instituição financeira que solicita informações de conta, muitas vezes sugerindo que há um problema. Quando os utilizadores respondem com as informações solicitadas, os atacantes podem usá-las para obter acesso às suas contas.
Os ataques phishing também podem possivelmente advir de outros tipos de organizações, como instituições de caridade. Os atacantes aproveitam frequentemente eventos atuais e certas épocas do ano, como:

•Catástrofes naturais (por exemplo: Furacão Katrina, Tsunami da Indonésia)

•Epidemias e ameaças à saúde (por exemplo, H1N1)

•Preocupações económicas (por exemplo, golpes no IRS)

•Principais eleições políticas

•Feriados e férias.

Como evitar ser uma vítima?

•Desconfie de chamadas telefónicas não solicitadas, visitas ou mensagens de e-mail de pessoas que perguntam sobre funcionários ou outras informações internas. Se uma pessoa desconhecida alega ser de uma organização legítima, tente verificar sua identidade diretamente com a empresa.

•Não forneça informações pessoais ou sobre a sua organização, incluindo a sua estrutura ou redes, a menos que saiba da autoridade da pessoa que solicitou essas informações.

•Não revele informações pessoais ou financeiras por e-mail e não responda a solicitações desse tipo de informações via e-mail. Isto inclui links enviados por e-mail.

•Não envie informações confidenciais pela Internet antes de verificar a segurança do site.

•Tenha atenção ao URL de um site. Os sites maliciosos podem parecer idênticos a um site legítimo, mas o URL pode ter uma variação na ortografia ou um domínio diferente (por exemplo, .com vs. .net).

•Se não tiver a certeza que um pedido de e-mail é legítimo, tente confirmá-lo entrando diretamente em contato com a empresa. Não use as informações de contato fornecidas de um site associado ao pedido; em vez disso, verifique as instruções anteriores para obter informações de contato.

•Instale e mantenha um software de antivírus, firewalls e filtros de e-mail para reduzir parte desse fluxo.

•Aproveite todos os recursos anti-phishing fornecidos pelo seu e-mail e browser da Web.

O que fazer, se achar que é uma vítima?

•Se acha que pode ter revelado informações confidenciais sobre a sua Organização, reporte-as às pessoas responsáveis dentro dela, incluindo administradores de rede. Eles podem estar atentos a qualquer atividade suspeita ou fora do comum.

•Se acredita que suas contas financeiras podem estar comprometidas, contacte imediatamente a sua instituição financeira e encerre todas as contas que possam ter sido comprometidas. Fique atento a cobranças inexplicáveis na sua conta.

•Altere imediatamente todas as passwords que possa ter revelado. Se usou a mesma password para vários recursos, certifique-se que a altera em cada conta e não a use no futuro.

•Procure outros sinais de roubo de identidade.

Recursos adicionais
United States Computer Emergency Readiness Team (US-CERT):
https://www.us-cert.gov/ncas

Fonte
US-CERT:
https://www.us-cert.gov/ncas/tips/ST04-014

RECONHECER E EVITAR FRAUDES DE E-MAIL (D17-003)

Resumo
O e-mail fornece-nos uma ferramenta de comunicação conveniente e poderosa. Infelizmente, também fornece a scammers* e outras pessoas mal-intencionadas uma forma fácil de atrair potenciais vítimas.
* O SCAM tem como objetivo obter informações pessoais da vítima enquanto o SPAM em geral anuncia/tenta vender algo.
Os golpes (esquemas) que são utilizados divergem de operações bait-and-switch antiquadas para esquemas phishing que utilizam uma combinação de e-mails e websites fictícios para enganar as vítimas e fazer com que estas divulguem informações sensíveis. Para se proteger desses golpes, deve perceber o que eles são, como se parecem, como funcionam e o que pode fazer para evitá-los. As recomendações a seguir podem minimizar as oportunidades de ser vítima de uma fraude por e-mail:

•Filtrar o spam.

•Não confiar em e-mails não solicitados.

•Tratar anexos de e-mail com cautela.

•Não clicar em links de mensagens de e-mail.

•Instalar o software de antivírus e mante-lo atualizado.

•Instalar uma firewall pessoal e mante-la atualizada.

•Configurar o seu e-mail para segurança.

Essas recomendações são explicadas na seção “O que pode fazer para evitar tornar-se uma vítima”. Ignorá-las pode torná-lo vulnerável ao roubo de identidade, roubo de informações, uso abusivo do seu computador para atividades ilegais, receção de artigos falsos ou ilegais e perdas financeiras.

Reconhecer fraudes por e-mail
O e-mail comercial não solicitado, ou “spam“, é o ponto de partida para muitos golpes por e-mail. Antes do e-mail, um scammer tinha que contatar individualmente cada potencial vítima pelo correio, fax, telefone, ou através de um contato pessoal direto. Estes métodos muitas vezes exigiam um investimento significativo de tempo e dinheiro, sendo que para melhorar as oportunidades de contato com as vítimas suscetíveis, o scammer tinha de efetuar uma pesquisa avançada sobre a mesma.
O e-mail alterou o trabalho dos scammers. A conveniência e o anonimato do e-mail, juntamente com a capacidade que apresenta para entrar em contato com milhares de pessoas de uma só vez, permite que os golpistas trabalhem em volume. Os scammers só precisam de enganar uma pequena percentagem das dezenas de milhares de pessoas que têm o e-mail malicioso para lucrar com o seu esquema.
As seções seguintes fornecem informações que o ajudam a identificar uma fraude de e-mail na sua caixa de correio. Estas descrevem alguns, mas não todos, os scams baseados em e-mail que são possíveis de encontrar. Consciente desta informação, irá reconhecer melhor os scams de e-mail, mesmo aqueles não são especificamente mencionados aqui.

1. Esquemas de fraude “antiquados”
Muitos golpes de e-mail têm existido ao longo dos anos. Na verdade, alguns deles são meramente scams “reciclados” que antecedem o uso do e-mail. Alguns dos mais comuns:

•Oportunidades de negócio falsas

•Mercadorias livres

•Correntes públicas

•Oportunidades de investimento

•Esquemas de trabalho em casa

•Esquemas de e-mail em massa

•Golpes relacionados com saúde e dietas

•Kits descodificadores de cabo

•Dinheiro fácil

•Empréstimos ou créditos “garantidos”

As seções seguintes descrevem alguns esquemas comuns de fraude iniciados por e-mail.

Esses golpes prometem a oportunidade de fazer muito dinheiro com muito pouco esforço. São normalmente muito atrativos e tentadores como “Trabalhe apenas umas horas por semana”, “Seja o seu chefe”, “Defina as suas próprias horas” e “Trabalhe em casa”. As mensagens de e-mail que oferecem essas “oportunidades” geralmente têm como assunto algo que se parece com o seguinte:

•Faça uma renda regular online

•Coloque o seu computador a trabalhar para si!

•Obtenha o clique milionário

•Use a Internet para ganhar dinheiro

•Os segredos do eBay revelados

Na maioria dos casos, o e-mail dá muito pouco detalhe sobre a natureza da oportunidade de negócio. A maioria fornece um endereço ou website do qual pode, por um dado valor, obter um “kit de informações” sobre a oportunidade. Estas, geralmente não são mais do que esquemas de pirâmide em que a “oportunidade” envolve a sua capacidade de envolver mais pessoas no esquema. Eventualmente, o golpe é descoberto ou o recrutamento de novas pessoas falha.

Os ataques relacionados com saúde e dietas recaem sobre as inseguranças que algumas pessoas têm sobre o seu bem-estar. Estas inseguranças fazem algumas pessoas particularmente suscetíveis aos golpes porque podem ser relutantes ou sentir-se embaraçadas para discutir os seus problemas com um médico, ou então não têm posses para tratamentos ou para comprar comprimidos legítimos. Os golpes tentam atrair os consumidores com promessas de soluções rápidas e resultados surpreendentes, preços com desconto, entrega rápida, dispensa de requisitos de prescrição, privacidade e embalagem discreta. O e-mailque oferece esses itens tem como assunto algo que se parece com o seguinte:

•Precisa de perder peso para o verão?

•Reduza gordura corporal e aumente a sua massa muscular sem exercício

•Aumente o seu desempenho sexual

•Jovem em qualquer idade

•Controle o seu peso!

•Deite anos fora na sua aparência

•O medicamento saudável natural que funciona!

•Dá energia e queima gordura

•Embora eles possam ser apoiados por depoimentos de clientes, cuidado!; pois os produtos não funcionam.

Esses golpes consistem frequentemente em anúncios de versões mais baratas de softwares comerciais como o Windows ou o Photoshop. Os descontos oferecidos podem ser difíceis de convencer, e com razão: os scammers ou não entregam o software prometido, ou fornecem versões ilegais ou piratas pré-carregadas com cavalos de troia de modo a que o scammer ou outros indivíduos mal-intencionados possam analisar o seu computador e ver as informações que contém.

Esses esquemas são bastante elaborados e, apesar da sua aparência um pouco absurda gerem um número surpreendente de vítimas. Esses golpes tentam atrair, essencialmente as vítimas num enredo falso para adquirir e dividir uma grande soma de dinheiro.
Muitos criminosos deste tipo de fraude foram cidadãos nigerianos. Consequentemente, o nome “esquema 419” deve-se à seção do código penal nigeriano relativamente a esta fraude.
Esquemas 419 são reconhecíveis quanto no assunto exigem uma resposta urgente ou referem-se a uma introdução pessoal e nomes de remetentes, que são frequentemente (embora nem sempre) africanos. Exemplos de remetentes e assuntos de e-mail estão incluídos na lista seguinte. Deve ter em conta, no entanto, que estes exemplos são apenas alguns dos muitos milhares de variações de nomes, assuntos ou histórias usadas nestes golpes.
Uma fraude de taxa antecipada de 419 começa com um e-mail parecido com este:

Data: quarta-feira, 24 de agosto de 2008 17:55 – 0700
De: “Sr. Henry Bassey Udoma” <henrybassey_udoma@example.com.ar>
Para: mrtarget@example.com
Assunto: De: Henry (Sobre o Dr. H. Paul Jacobi)
De: Henry (Sobre o Dr. H. Paul Jacobi)
Olá,
Envio-lhe este e-mail de modo a apelar a sua assistência. Aceite, por favor, as minhas desculpas em contactá-lo desta forma e perdoe-me se não é aceitável para si. Meu nome é Henry Bassey Udoma e sou auditor num dos bancos nigerianos. Na terça-feira, dia 19 de janeiro de 2006, um estrangeiro Dr. H. Paul Jacobi, fez um depósito bancário com juros a uma taxa fixa, avaliado em £ 10,550,000.00 (Dez milhões, quinhentos e cinquenta mil libras) por doze meses na minha Filial do Banco. No vencimento do mesmo, enviámos uma notificação de rotina para o endereço deixado, mas não obtivemos resposta. Após um mês, enviámos um lembrete e finalmente descobrimos a partir da sua empresa que o Dr. Paul A. Jacobi estava a bordo do voo 990 operado pela EgyptAir e que caiu no Oceano Atlântico em 31 de outubro de 2006. Após mais investigações, descobrimos que ele morreu sem fazer jus à sua vontade e todas as tentativas de inquirir o seu parente mais próximo provaram ser abortivas ….

Esses esquemas levam as vítimas a cair no primeiro passo da armadilha, sendo depois convencidos da legitimidade do mesmo através de uma série de documentos falsos, de comunicações cuidadosamente elaboradas e até de visitas da vítima ao país de origem para reuniões com falsos “funcionários” em falsos “gabinetes governamentais”. Em momentos-chave do esquema, os criminosos vão pedir à vítima que dê um avanço em dinheiro para pagar taxas falsas ou subornos. Além disso, eles podem extorquir um pagamento, com a contrapartida de que pagando, a vítima sai do esquema. Quando os criminosos acreditam que conseguiram extorquir tudo o que puderam da vítima, cortam a comunicação e desaparecem.
Em suma, se encontrar um e-mail na sua caixa de entrada que proponha um negócio complicado para garantir e dividir fundos no estrangeiro, pode seguramente assumir que alguém está a tentar incluí-lo num esquema 419.

2. Engenharia Social / E-mail Phishing
A engenharia social é uma estratégia para a obtenção de informações que as pessoas normalmente não divulgariam, estimulando uma ação que as pessoas normalmente não executariam, estimuladas pela sua curiosidade natural e/ou sua vontade de confiar. Os autores de fraudes e outros indivíduos mal-intencionados combinam a engenharia social com o e-mail de várias maneiras.

E-mails Phishing
Os e-mails phishing são criados para parecer que foram enviados por uma organização legítima. Esses e-mails fazem com que visite um site falso e transfira malware (vírus e outros softwares destinados a comprometer seu computador) ou revele informações pessoais confidenciais. Os autores de golpes de phishing criam cuidadosamente o site falso de modo a que se assemelhe a um real.
Por exemplo, um e-mail pode ser elaborado de modo a que se pareça proveniente de um grande banco. Poderá ter como assunto algo alarmante, como “Problema com a sua conta”. O corpo da mensagem irá alegar que há um problema com sua conta bancária e que, para a validar, deve clicar num link incluído no e-mail e que preencha um formulário online.
O e-mail é enviado como spam a dezenas de milhares de destinatários. Alguns, talvez muitos, destinatários são clientes da instituição. Ao acreditar que o e-mail é verdadeiro, alguns desses destinatários clicarão no link do e-mail sem perceber que este os leva a um endereço que apenas se assemelha ao endereço da instituição real. Se o e-mail for enviado e visualizado como HTML, o link visível pode ser o URL da instituição, mas as informações codificadas no link atual em HTML levarão o utilizador ao site falso. Por exemplo:
Link visível: http://www.yourbank.com/accounts/
Link real para o site falso: http://itcare.co.kr/data/yourbank/index.html
O site falso vai assemelhar-se a algo verdadeiro e apresentará um formulário online que vai pedir informações como seu número de conta, morada, o nome de utilizador e a password do banco online – todas as informações que um atacante precisa para roubar a sua identidade e atacar a sua conta bancária.

O que procurar?
Comunicações fictícias que dão a entender que são de bancos, empresas de cartões de crédito e outras instituições financeiras têm sido amplamente utilizadas em fraudes phishing, assim como e-mails de leilões online e serviços de retalho. Examine cuidadosamente qualquer e-mail dos seus bancos e outras instituições financeiras. A maioria instituiu políticas contra a solicitação de informações pessoais ou conta por e-mail, por isso deve considerar qualquer e-mail que faça tal pedido com extremo ceticismo. Os e-mails phishing também foram disfarçados de várias outras maneiras. Alguns dos e-mails phishing mais comuns incluem o seguinte:

•Comunicações fictícias de serviços de pagamento online e leilões, ou de fornecedores de serviços de Internet – Estes e-mails afirmam que há um “problema” com a sua conta e solicitam que aceda a uma páginaWeb (falsa) para fornecer informações pessoais e de conta.

•Comunicações fictícias de um departamento de IT – Esses e-mails tentarão roubar passwords e outras informações que os phishers podem usar para alcançar as redes e computadores da organização.

•Versões de baixa tecnologia de qualquer um dos pontos acima mencionados, solicitando que envie novamente informações através de um formulário impresso, que pode transferir de um site (falso).

3. E-mails com Cavalos de Tróia
E-mails com cavalos de troia apelam algo que lhe interesse – um anexo que contem uma piada, uma fotografia ou um patch para uma vulnerabilidade do software. Quando aberto, contudo, o anexo pode fazer um ou todos os seguintes:

•Criar uma vulnerabilidade de segurança no seu computador

•Abrir um “backdoor” secreto que permite a um atacante um acesso futuro ilícito ao seu computador

•Instalar um software que regista as suas teclas digitadas e envia esses registos a um atacante, permitindo que ele descubra as suas passwords e outras informações importantes

•Instalar um software que monitoriza as suas transações e atividades online

•Fornecer acesso aos seus arquivos

•Transformar o seu computador num “bot” que um atacante pode usar para enviar spam, lançar ataques de negação de serviço (denial-of-service), ou difundir o vírus para outros computadores.

O que procurar?

Têm surgido uma variedade de e-mails de Cavalo de Troia ao longo dos anos. Um dos mais conhecidos foi o vírus “Love Bug“, anexado a um e-mail com o assunto “Eu amo-te” e que solicitava ao destinatário para ver o anexo “Carta de amor”. Outros e-mails de cavalo de troia incluíram o seguinte:

•E-mail como um postal virtual

•E-mail mascarado de boletim de segurança de um fornecedor de software a solicitar que o destinatário descarregue um “patch” em anexo.

•E-mail cujo o assunto é “engraçado” incentivando o destinatário a ver o anexo “piada”

•E-mail que alegadamente é de um fornecedor de antivírus a incentivar o destinatário a instalar o “antivírus” de forma gratuita.

O que pode fazer para evitar tornar-se uma vítima

Como a maioria dos esquemas de e-mail começam com e-mails comerciais não solicitados, deve tomar medidas para evitar spam na sua caixa de correio. A maioria das aplicações e serviços de e-mail incluem recursos de filtragem de spam, ou formas de configurar essa mesma filtragem. Consulte o ficheiro de ajuda das suas aplicações e serviços de e-mail para saber o que deve fazer para filtrar o spam. É possível que não consiga eliminar todo o spam, mas a sua filtragem irá impedir que chegue à sua caixa de correio. Deve estar ciente de que os spammers monitorizam ferramentas e softwares de filtragem de spam e tomam medidas para os evitar. Por exemplo, os spammers podem usar erros de ortografia subtis para contornar os filtros de spam, alterando “Comprimidos para potência” para ” Comprimidos para potênsia”.

Não confie automaticamente em qualquer e-mail enviado por uma pessoa ou organização desconhecida. Nunca abra um anexo de e-mail não solicitado. É muito importante que nunca clique em links enviados para si num e-mail. Links inteligentemente criados podem levá-lo a sites falsos para o enganar e levá-lo a divulgar informações privadas ou a transferir vírus, spyware e outros softwares mal-intencionados. Os spammers podem também usar uma técnica na qual enviam links exclusivos em cada e-mail de spam individual. A Vítima 1 pode receber um e-mail com o link <http://dfnasdunf.example.org/>, e a vítima 2 pode receber o mesmo e-mail de spam com o link <http://vnbnnasd.exaple.org/>. Observando quais os links que são solicitados nos seus servidores Web, os spammers podem descobrir quais os endereços de e-mailválidos e mais concretamente as vítimas-alvo para repetir as tentativas de spam. Lembre-se que mesmo os e-mails enviados a partir de um endereço conhecido podem trazer-lhe problemas: muitos vírus difundem-se pelo computador da vítima para endereços de e-mail, sendo-lhes enviado o vírus sob a forma de um e-mail do proprietário do computador infetado.

Os anexos de e-mail são comumente usados por scammersonline para difundir um vírus no seu computador. Estes vírus podem ajudar o scammer a roubar informações importantes do seu computador, a compromete-lo para que esteja mais disponível para ataques e abusos, e a converte-lo num “bot” para uso em ataques de negação de serviço (denial-of-service) e outros crimes online. Como mencionado anteriormente, um endereço “de” familiar não é uma garantia de segurança, porque alguns vírus pesquisam primeiramente todos os endereços de e-mail do computador infetado e, em seguida, difundem-se nos mesmos. O computador de um amigo seu poderá estar infetado por esse tal vírus

Quando recebe um e-mail na sua caixa de entrada que promete muito dinheiro com pouco esforço, que o acusa de violar uma lei, ou que o convida a juntar-se a um plano de fundos não reclamados que envolvem pessoas que não conhece num país estrangeiro, atente a probabilidade da legitimidade do e-mail.

Deve instalar o software antivírus no seu computador, se ainda não o tiver feito. Se possível, deve instalar um programa antivírus que tenha uma opção de atualização automática. Isso irá ajudar a garantir que tenha sempre a proteção mais atualizada possível contra eventuais vírus. Além disso, deve verificar se o software de antivírus que escolheu inclui um recurso de verificação de e-mail. Isso ajudará a manter o seu computador livre de vírus provindos de e-mails.

Uma firewall não irá impedir que e-mails fraudulentos entrem na sua caixa de correio. No entanto, pode ajudar a protegê-lo, seguindo instruções de e-mail, no caso de inadvertidamente abrir um anexo de vírus, ou, de outra forma, introduzir malware no seu computador. A firewall, entre outras coisas, irá ajudar a evitar o tráfego de saída do seu computador para o invasor. Quando a sua firewall pessoal deteta comunicações suspeitas de saída, pode ser um sinal de que instalou inadvertidamente programas maliciosos.

A maioria das organizações que têm negócios online têm políticas claras sobre como comunicar com os seus clientes por e-mail. Muitos, por exemplo, não irão solicitar contas ou informações pessoais por e-mail. Entender as políticas das organizações com as quais faz negócio pode ajudá-lo a detetar e evitar fraudes phishing e outros. Observe, no entanto, que nunca é boa ideia enviar informações confidenciais via e-mail não encriptado.

Há muitas maneiras de configurar o seu e-mail de modo a torná-lo menos suscetível a ataques de e-mail. Por exemplo, configurar o seu programa de e-mail para ver o e-mail como “somente texto” irá protegê-lo contra ataques que fazem um uso indevido de HTML no e-mail.

Recursos adicionais
United States Computer Emergency Readiness Team (US-CERT):
https://www.us-cert.gov/ncas

Fonte
US-CERT:
https://www.us-cert.gov/sites/default/files/publications/emailscams_0905.pdf

BONS HÁBITOS DE SEGURANÇA (D17-004)

Como é que pode minimizar o acesso de outras pessoas à sua informação?
Uma pessoa pode facilmente identificar pessoas que poderiam, legitimamente ou não, ter acesso físico ao seu computador – membros da família, companheiros de quarto, colegas de trabalho, empregados de limpeza e talvez outros. Identificar as pessoas que poderiam ter acesso remoto ao seu computador, torna-se muito mais difícil. Quando se tem um computador e este está ligado a uma rede, está vulnerável a que alguém ou alguma outra coisa aceda ou corrompa suas informações; no entanto pode desenvolver hábitos que o tornam mais difícil:

•Bloqueie o computador quando estiver longe dele. Mesmo que esteja ausente do seu computador por alguns minutos, é tempo suficiente para alguém destruir ou corromper algumas das suas informações. Bloquear o computador impede que outra pessoa seja capaz aceder a todas as suas informações.

•Desconecte o computador da Internet quando não estiver a utilizá-lo. O desenvolvimento de tecnologias como DSL e modem a cabo tornaram possível para os utilizadores estar sempre online, mas com essa conveniência advêm riscos. Ao fazerem um scan da rede em computadores disponíveis a probabilidade dos atacantes ou vírus fazerem um rastreio do seu computador é muito maior se estiver sempre conectado. Dependendo do método que usa para se ligar à Internet, desconectar pode significar desativar uma conexão wireless, desligar o computador, o modem ou desconectar os cabos. Quando estiver conectado, certifique-se de que tem uma firewall ativada.

•Avalie as suas configurações de segurança. A maioria dos softwares, incluindo browsers e programas de e-mail, oferecem uma variedade de recursos que se podem adaptar para atender às suas necessidades e exigências. Ativar determinados recursos para aumentar a conveniência ou certas funcionalidades pode deixá-lo mais vulnerável a ser atacado. É importante analisar as configurações, especialmente as definições de segurança, e selecionar as opções que atendam às suas necessidades sem se colocar em riscos maiores. Se instalar um patch, uma nova versão do software ou se souber de algo que possa afetar as suas configurações, reavalie as suas configurações para garantir que elas ainda são apropriadas

Que outras medidas pode tomar?
Às vezes as ameaças à sua informação não são de outras pessoas, mas de causas naturais ou tecnológicas. Embora não haja nenhuma maneira de controlar ou evitar esses problemas, pode preparar-se para eles e tentar minimizar os danos.

•Proteja o seu computador contra surtos de energia e interrupções breves. Além de fornecerem saídas para ligar o seu computador e todos os seus periféricos, algumas extensões de terra protegem o computador contra surtos de energia. Muitas extensões alertam se não estão a proteger eficazmente o seu computador. Extensões de terra não irão protegê-lo de falhas de energia sozinhas, mas há produtos que oferecem uma fonte de alimentação ininterrupta quando há surtos de energia ou interrupções. Durante uma tempestade de relâmpagos ou trabalhos na construção, que aumentam as probabilidades de surtos de energia, considere desligar o computador e desconectá-lo de todas as fontes de energia.

•Fazer backup de todos os seus dados. Tomando ou não medidas para se proteger, haverá sempre a possibilidade de algo acontecer para destruir os seus dados. Provavelmente já sentiu isso pelo menos uma vez – perdendo um ou mais ficheiros devido a um acidente, um vírus ou worm, um evento natural ou um problema com seu equipamento. Fazer um backup regular dos seus dados num CD ou na rede reduz o stresse outras consequências negativas que resultam da perda de informações importantes. Determinar a frequência com que faz backup dos seus dados é uma decisão pessoal. Se está constantemente a adicionar ou a alterar dados, backups semanais poderão ser a melhor alternativa; se o seu conteúdo raramente mudar, pode decidir que os seus backups não precisam ser tão frequentes. Não é necessário fazer o backupdo software que possui no CD-ROM ou DVD-ROM – pode reinstalar o software a partir dos meios originais, se necessário.