CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Hackers podem interceptar tráfego via satélite: as principais notícias da semana

A quarentena continua expandindo o escopo de ciberataques como phishing e ransomware e um grupo de hackers chineses pode tomar conta do mercado de tecnologia de Taiwan.

satélite

O que você vai ler hoje:

Ataques phishing que miram em usuários da Netflix cresce 646% durante a pandemia

O número de assinantes da Netflix aumentou em 10 milhões durante os meses de quarentena. A má notícia é que o mesmo ocorreu com as ameaças de segurança.

Pesquisadores da empresa de segurança cibernética Webroot revelaram um aumento alarmante no número de domínios da web que foram registrados explicitamente para ataques de phishing visando usuários de serviços de streaming.

O número de URLs falsas do Twitch, por exemplo, subiu 337%; HBO e Netflix testemunharam um crescimento de 525%, enquanto o YouTube viu impressionantes 3.064% URLs falsas entre março e julho deste ano.

Mais recentemente, porém, uma estatística se destaca: um aumento maciço de URLs de phishing direcionados à Netflix, correspondendo a 646% nos últimos 2 meses de pandemia.

“Invasores estão procurando capitalizar o crescimento da Netflix durante os períodos de isolamento voluntário ou forçado”, alertam os pesquisadores. E, de certa forma, esse movimento nada mais é do que uma terceira onda de campanhas de phishing que se aproveitam das vulnerabilidades trazidas à tona pela quarentena.

Como medida de segurança, vale lembrar que a Netflix nunca pedirá o número do seu cartão de crédito, detalhes da conta bancária ou senha por e-mail ou mensagem de texto. Tampouco solicitará que o pagamento seja feito por meio de terceiros.

Se você receber um e-mail ou mensagem de texto que pareça suspeito de alguma forma, não clique em nenhum link contido nele; encaminhe-o para phishing@netflix.com para investigação.

Canon sofre ataque de ransomware que compromete arquivos de foto e imagens de usuários

Um ataque de ransomware sofrido em junho pela Canon – empresa especializada em Fotografia – parece ter sido confirmado por um memorando interno, com os agentes da ameaça “Maze” assumindo o crédito.

Embora os serviços já tenham sido retomados, na última atualização de status do site a Canon revelou que um problema "envolvendo 10 GB de armazenamento de dados" estava sendo investigado, levando à suspensão temporária de aplicativos móveis e da plataforma online da empresa.

Além disso, a organização afirma que "alguns dos arquivos de foto e imagem salvos antes do ataque, na plataforma e aplicativos, foram perdidos"; por outro lado, garante que "não houve vazamento de dados de imagem".

Ciberataques em Taiwan escrevem um novo e complexo capítulo na história da cibersegurança

Ataques direcionados contra empresas taiwanesas de semicondutores (chips) podem não ser muito discutidos aqui no Brasil. Mas isso não significa que o efeito cascata de um hack bem-sucedido não possa ser sentido em todo o mundo.

Ao longo da última década, a República da China vem se estabelecendo lentamente como um laboratório para empresas de chips, tanto em termos de desenvolvimento quanto de produção. A Taiwan Semiconductor Manufacturing Company (TSMC), por exemplo, é uma das principais empresas do setor ao redor do mundo e, com o tempo, o valor de mercado do setor aumentou consideravelmente no país.

Isso faz com que a seara da tecnologia seja o principal alvo dos grupos de “ameaças persistentes avançadas”, ou advanced persistent threats (APT), em inglês, devido à propriedade intelectual valiosa e frequentemente lucrativa dessas empresas, bem como aos dados de seus clientes.

Com isso em mente, os pesquisadores Chung-Kuan Chen e Inndy Lin descreveram, em um estudo recente, um conjunto de ataques que eles acreditam ter sido conduzido pelo mesmo grupo APT chinês, em busca de designs de chips, códigos-fonte, kits de desenvolvimento de software (SDKs) e outras informações proprietárias relevantes para o setor.

Esse conjunto de ataques foi apelidado de Operação “Chimera” (quimera, em inglês), que se caracteriza pelo comprometimento de uma variedade de endpoints e contas de usuário no momento de detecção das infecções por malware.

Além disso, os ataques são bastante complexos. No primeiro case mapeado pelos pesquisadores, o acesso inicial veio de uma ID corporativa válida – potencialmente roubada em uma violação de dados separada – e uma conexão de rede privada virtual (VPN).

No estágio seguinte da cadeia de ataque, um protocolo de desktop remoto (RDP) foi usado para obter acesso aos servidores da empresa.

Contudo, o que chama a atenção é uso de uma “skeleton key” (chave-mestra) para evitar as soluções de defesa dos endpoints. A ferramenta do grupo, chamada "SkeletonKeyInjector", foi projetada para ser implantada em servidores AD e controladores de domínio (DC), permitindo que os ciberataques se movam lateralmente por uma rede e façam chamadas diretas, evitando, assim, o software de segurança existente no dispositivo.

É um passo além – e preocupante – que, embora pareça distante, do outro lado do mundo, pode representar um novo e perigoso desafio para os agentes de segurança de qualquer país.

Mais detalhes sobre a Operação Chimera estão disponíveis neste whitepaper do grupo de pesquisa CyCraft.

Google vai voltar a ouvir suas conversas – mas só se você quiser

No ano passado, alto-falantes inteligentes como o Google Home, o Apple HomePod e o Amazon Echo, sofreram retaliação quando se descobriu que fornecedores externos estavam ouvindo gravações de voz captadas pelos dispositivos.

Agora, aparentemente do nada, o Google enviou um e-mail aos usuários de seu assistente de voz para notificá-los de que pesquisadores humanos estarão mais uma vez analisando trechos de áudio anônimos.

Desta vez, porém, tomou a atitude correta, no que diz respeito à privacidade: a empresa excluiu automaticamente todos os usuários da configuração que permite à empresa armazenar seus áudios.

Obviamente, o Google não está fazendo isso porque são bonzinhos. A empresa sabe que as pessoas se preocupam cada vez mais com a privacidade e, com isso, exigem transparência sobre como e quando seus dados são coletados.

Logo, o Google deseja que você aceite seu programa de gravação de voz, mas quer que você o faça com total conhecimento de como seus dados serão utilizados – seguindo de perto os princípios descritos no que é considerado o padrão ouro da regulamentação de proteção de dados – a GDPR, na Europa, e a LGPD, no Brasil.

Hackers podem interceptar tráfego via satélite. O que isso significa para as empresas?

As vulnerabilidades de segurança nas comunicações de banda larga via satélite podem permitir que invasores cibernéticos interceptem o tráfego não-criptografado da web usando meros equipamentos domésticos de televisão.

Explorando essas vulnerabilidades, é possível que um invasor espione comunicações confidenciais a milhares de quilômetros de distância, praticamente sem risco de ser detectado.

Um pesquisador de segurança cibernética da Universidade de Oxford demonstrou como foi capaz de interceptar o tráfego real de alvos que vão de navios a escritórios de advocacia e provedores de IoT em todo o mundo – tudo de um ponto fixo no Reino Unido.

E, conforme suas descobertas, uma das razões pelas quais isso é possível é porque, quando os dados estão sendo transferidos por meio de comunicações de banda larga via satélite por ISPs, eles não são criptografados porque essa é a maneira mais rápida de transmitir os dados a grandes distâncias. Mas é, também, o que os torna vulneráveis.

O pesquisador descobriu que era capaz de interceptar o tráfego usando uma antena parabólica de 90 dólares e um sintonizador de transmissão de vídeo digital de 200 dólares – ambos disponíveis online.

Para interceptar o tráfego, bastou ser capaz de identificar por onde um satélite geo-orbital estava orbitando – informação que está disponível online para qualquer um – e apontar a antena em direção a ele, bem como configurar algum software de gravação de sinal disponível gratuitamente para registrar os dados que estão sendo transmitidos.

A partir daí, é possível examinar o tráfego da Internet pesquisando qualquer coisa usando protocolos http.

Embora seja difícil usar essa técnica para atingir uma organização específica, tampouco seria impossível, especialmente se houver informações na esfera pública sobre qual tecnologia está sendo usada pela organização.

Sendo assim, ataques bem-sucedidos podem até ser questão de sorte do invasor, mas se ele descobrir quais informações estão sendo transmitidas por uma grande organização, isso pode ser altamente lucrativo.

“Estamos em um ponto de inflexão onde podemos projetar redes de satélite para um bom desempenho e segurança. Acho que incluir conscientemente a segurança no projeto dessas redes é uma lição que a indústria de satélites pode aprender”, conclui a pesquisa.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf.

Leia outros artigos