CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Bug no banco Santander e campanhas de phishing para todo lado: as principais notícias da semana

Phishing continua se destacando como um dos ataques favoritos de cibercriminosos. Banco Santander e Google são vítimas de suas próprias vulnerabilidades – mas apenas um deles contou com a ajuda de hackers white hats.

Bug no banco Santander

O Brasil está entre os países mais afetados por campanhas envolvendo a COVID-19, em grande parte por falta de atenção dos usuários.

O que você vai ler hoje:

Golpes de vishing (voice phishing) ameaçam empresas do setor privado

De forma conjunta, o FBI e a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) emitiram, este mês, um comunicado de segurança alertando para uma onda de ataques de vishing visando corporações do setor privado.

Vishing, ou phishing de voz, é uma forma de engenharia social em que os criminosos ligam para as vítimas para obter as informações desejadas para efetivação de um ataque, geralmente se passando por pessoas conhecidas.

De acordo com os órgãos de segurança, em meados de julho de 2020, os cibercriminosos começaram uma campanha de vishing visando colaboradores que trabalham em casa. Eles coletaram credenciais de login de redes corporativas e então fizeram dinheiro com a venda desse acesso para outras gangues criminosas.

As páginas de phishing utilizadas para os ataques foram criadas para se parecerem com a página de login do VPN interno de uma empresa-alvo, e os sites também eram capazes de capturar autenticação de dois fatores (2FA) ou senhas de uso único (OTP), se necessário.

Os grupos criminosos, então, compilaram dossiês sobre os funcionários que trabalhavam para as empresas que queriam atingir, geralmente por coleta massiva de perfis públicos em plataformas de mídia social, ferramentas de recrutamento e marketing, serviços de verificação de histórico disponíveis ao público e pesquisa de código aberto.

As informações coletadas incluíam nome, endereço residencial, celular/telefone pessoal, cargo na empresa e tempo de permanência na empresa, de acordo com as duas agências.

Em seguida, os invasores ligaram para os funcionários usando números de telefone aleatórios de Voice-over-IP (VoIP) ou falsificando os números de telefone de outros funcionários da empresa.

"Os atores usaram técnicas de engenharia social e, em alguns casos, se fizeram passar por membros do help desk de TI da empresa vítima, usando seu conhecimento das informações de identificação pessoal do funcionário – incluindo nome, cargo, tempo de serviço na empresa e endereço residencial – para obter o confiança do funcionário visado ", diz o alerta conjunto.

"Os atores então convenciam os colaboradores de que um novo link VPN seria enviado e exigia seu login, incluindo qualquer 2FA ou OTP."

As duas agências de segurança cibernética estão agora alertando as empresas para que fiquem atentas aos agentes de ameaças e treinem seus colaboradores a respeito das melhores práticas de segurança para evitar os golpes de phishing.

Experian sofre violação de dados que afetou 24 milhões de clientes

A fornecedora de crédito Experian divulgou, recentemente, uma violação de dados sofrida este mês. A agência admitiu ter cedido os dados pessoais de seus clientes sul-africanos a um fraudador que se fazia passar por cliente.

Embora a Experian não tenha divulgado o número de usuários afetados, um relatório do South African Banking Risk Center (SABRIC), uma organização bancária antifraude e sem fins lucrativos, afirmou que a violação afetou 24 milhões de sul-africanos e 793.749 empresas locais.

A Experian disse que relatou o incidente às autoridades locais, que conseguiram rastrear o indivíduo por trás do golpe. Desde então, a Experian disse que obteve uma ordem judicial "que resultou na apreensão do hardware do indivíduo e na proteção e exclusão dos dados desviados".

Vulnerabilidade do Gmail permitiria que e-mails falsos fossem enviados por meio de contas legítimas

Um bug perigoso, descoberto no começo de 2020 por uma pesquisadora de segurança, pode ter permitido que invasores explorassem vulnerabilidades do Gmail, o serviço de e-mail do Google.

Basicamente, a vulnerabilidade, possibilita que e-mails falsos sejam enviados de endereços reais do Gmail.

Esses chamados “ataques de falsificação” permitem que os cibercriminosos entrem em contato com vítimas em potencial a partir de endereços de e-mail legítimos e ainda fornecem uma forma de encobrir seus rastros.

O bug, descoberto por Allison Hussain, ainda teria permitido que um invasor contornasse o SPF e o DMARC (as verificações principais de um provedor de e-mail) para enviar e-mails falsos.

A vulnerabilidade foi detectada uma vez que a pesquisadora conseguiu burlar as verificações de e-mail do Google usando recursos disponíveis para administradores do G Suite. Hussain criou regras de processamento de e-mail que pegavam mensagens de entrada falsas e as transformava em mensagens legítimas do Gmail, que poderiam ser enviadas às vítimas.

Hussain revelou o bug ao Google no início de abril. Mas, quando chegou primeiro de agosto e ela ainda não havia recebido nenhuma resposta sobre sua correção, a pesquisadora enviou um aviso de que pretendia publicar suas descobertas em seu blog pessoal.

Quando o Google respondeu que as mitigações não estariam em vigor até meados de setembro, Hussain esperou mais alguns dias e postou a descoberta em seu blog. Poucas horas após a publicação da postagem, o Google acelerou a correção.

Bug nos caixas eletrônicos do banco Santander permite saque de valores maiores do que os armazenados em cartões de débito

Gangues criminosas parecem ter encontrado um bug no software dos caixas eletrônicos do banco Santander.

O bug permitia que hackers usassem cartões de débito falsos ou cartões de débito pré-carregados válidos para retirar mais fundos de caixas eletrônicos do que os armazenados nos cartões.

Fontes da comunidade da inteligência de ameaças disseram que os detalhes sobre essa falha de software, em particular, foram inicialmente mantidos em sigilo e compartilhados ou vendidos entre membros de ATMs e grupos de fraude bancária por dias.

Os detalhes da falha, no entanto, não permaneceram secretos por muito tempo e, eventualmente, vazaram esta semana, sendo amplamente compartilhados nas salas de chat do Telegram, Instagram e outras redes sociais.

Como resultado do vazamento descontrolado de detalhes, vários grupos criminosos começaram a explorar o bug do software, resultando em um aumento repentino de saques em caixas eletrônicos do Santander e levando os funcionários do banco a investigarem.

Para evitar mais perdas, o Santander fechou todos os caixas eletrônicos na terça-feira (18/08).

Em comunicado oficial, o Santander diz que “os clientes devem saber que não houve impacto em suas contas, dados ou fundos, e continuamos a cooperar com as autoridades policiais enquanto investigam a situação”.

Brasil está entre os países mais afetados por phishing relacionado ao COVID-19

A disseminação de fake news relacionadas a iniciativas governamentais em torno do COVID-19 colocou o Brasil na lista dos países mais afetados por ataques de phishing, de acordo com uma nova pesquisa sobre spam e phishing publicada pela Kaspersky.

Segundo o relatório, cerca de 1 em cada 8 internautas no Brasil (12,9%) acessou, entre abril e junho de 2020, pelo menos um link que levava a sites com conteúdo malicioso. Isso está bem acima da média global, de 8,26% no mesmo período.

O grande aumento nas campanhas de desinformação em torno de supostas iniciativas do governo são o principal fator por trás do aumento. Um exemplo dos golpes enviados aos usuários nos últimos meses, mencionados no relatório, é um e-mail com a informação falsa de que o governo havia suspendido o pagamento das contas de energia durante a pandemia, que incluía um link convidando os usuários a se cadastrarem no benefício.

As tendências recentes colocam o Brasil como o quinto país mais afetado por phishing em uma lista compilada pela Kaspersky como parte do relatório. A Venezuela está no topo da lista, onde 17,56% dos usuários clicaram em um link que leva a conteúdo malicioso, seguida por Portugal (13,51%), Tunísia (13,51%) e França (13,08%).

Um estudo separado da mesma empresa, lançado em julho, sugere que os brasileiros estão mais cientes dos riscos à segurança da Internet, mas ainda precisam evoluir seu comportamento online.

Realizada em maio, a pesquisa, que considerou usuários com pelo menos dois dispositivos conectados, constatou que 48% não melhoraram seus hábitos de segurança na Internet.

Essa atitude relaxada em relação à segurança online tem três motivos principais: cerca de 45% dos brasileiros não priorizam sua segurança na Internet devido às pressões do dia a dia, apesar de reconhecerem que devem prestar mais atenção a isso; cerca de 36% dizem que se sentem mais seguros ao realizar transações financeiras e comerciais online, enquanto 33% dos brasileiros entrevistados relataram que não têm nada de valor a oferecer aos cibercriminosos.

Porém, essa é uma falsa crença que pode colocar seus bens em risco.

Mantenha sua empresa e seus colaboradores seguros. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções.

Leia outros artigos