Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para baixar a apresentação completa de Lenny Zeltser (é preciso preencher um formulário, mas não é necessário assinar nenhum dos serviços de mensagens oferecidos).
Para ler esse artigo, clique no botão abaixo.
Agora no fim de outubro aconteceu nos EUA o evento Information Security Decisions, no qual vários experts de segurança falaram para profissionais da área vindos do mundo inteiro.
Uma das apresentações, feita pelo consultor do SANS Lenny Zeltser, vale a pena ser comentada, pois traz informações muito úteis para o usuário doméstico. Zeltser falou sobre ameaças emergentes em 2009. Vamos ver algumas delas e tentar entender como devemos nos defender dos prejuízos potenciais que tentam nos impor.
Alguns novos ataques de engenharia social tentam pegar o usuário pela conversa, que no mais das vezes traz ares de confiança para o golpe. Por exemplo, o usuário recebe um e-mail supostamente enviado pela operadora de seu cartão de crédito. Ao invés de pedir aquela óbvia e falsa confirmação de dados de segurança, a mensagem diz algo na linha de “nós nunca pedimos confirmações de segurança por email, e requisitamos que você ligue para nossa central de atendimento no número fulano de tal”. O cliente que se sentir seguro porque o golpista confirmou que sua mensagem não é um golpe, caiu no golpe do mesmo jeito se ligou para o telefone listado no e-mail e passou seus dados. O correto nesse caso é conferir se o número apresentado bate com o número do site oficial da operadora, o com o número que o usuário já está acostumado a ligar. Uma variação do mesmo golpe vem numa mensagem com informações legítimas de agência e conta corrente do cliente, e o suposto “banco” informa que há um problema com a conta corrente, e pede que o cliente ligue para o número fulano de tal para resolver a questão. Quem ligar sem checar o número estará dando suas informações para os bandidos. Mais uma vez o truque para se defender é checar se o número de telefone apresentado é mesmo do seu banco.
Nas redes sociais um novo e criativo tipo de ataque ocorre em duas fases. Na primeira, um vírus se instala nos computadores com antivírus desatualizados e envia mensagens para os contatos do usuário. A mensagem carrega a segunda parte do ataque, e diz ao destinatário algo na linha de “Pegaram você numa câmera escondida.” A vítima é levada para uma página adulterada de um site de relacionamento, onde o suposto vídeo está armazenado. Ao clicar no vídeo, uma mensagem diz ”seu player está desatualizado. Clique aqui para fazer download da nova versão”. O usuário faz o download, instala o que pensa ser uma versão nova do player, e o que consegue é instalar um cavalo de troia que vai dar o controle de sua máquina aos bandidos. Para se livrar dessa é preciso muito cuidado e muita atenção. Não é porque uma mensagem vem de quem você conhece que é seguro clicar nos links e seguir as instruções. O mais sensato antes de clicar num link é verificar se foi mesmo mandado intencionalmente por seu amigo. Alguns usuários têm o hábito salutar de criar uma conta de e-mail apenas para as piadas dos amigos, direcionando os mais bem humorados para só enviar mensagens descontraídas e pessoais para aquele endereço. Esse hábito pode facilitar e muito a identificação de mensagens falsas, pois se alguém mandar uma dessas para seu e-mail profissional, você já pode desconfiar. Isso garante? Infelizmente não, mas já ajuda um tanto.
Um dos exemplos de ataques fornecidos por Zeltser, pasmem, é brasileiro. Trata-se de um golpe perpetrado contra clientes de banco que utilizam cartões com senhas de utilização única. Esses são aqueles cartões que o banco entrega periodicamente para o cliente, cada um com dezenas de números impressos, que são pedidos pelo caixa eletrônico ou pelo site do banco para completar transações bancárias. No ataque em questão o código malicioso instalado no computador da vítima interceptou a tentativa de acesso ao site do banco e acionou uma tela falsa de confirmação do cartão de senhas. Após o usuário digitar alguns dos números do cartão, a mensagem veio esclarecer: “Prezado cliente, no momento estamos em manutenção. Para sua segurança, acesse nosso site dentro de algumas horas”. Essas “algumas horas” servem para que os bandidos possam usar os números do cartão de senhas da vítima com tempo de folga, claro. Nesse caso, a proteção ainda é mais complicada. Depende de o cliente fazer tudo o que puder para manter seu ambiente seguro, começando por um critério adequado de navegação, passando por manter seu sistema operacional, seus aplicativos e antivírus sempre atualizados, fazer varreduras periódicas no disco com o antivírus, e tudo mais que eu vivo repetindo nesse espaço.
Esses golpes, e outros mostrados na apresentação de Zeltser dão uma pequena idéia de como a Internet anda perigosa. E infelizmente, esse é um estado que não tende a melhorar no horizonte que conseguimos enxergar.
Ajude-nos a melhorar a qualidade dos artigos desse site, deixando na seção de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Uma das apresentações, feita pelo consultor do SANS Lenny Zeltser, vale a pena ser comentada, pois traz informações muito úteis para o usuário doméstico. Zeltser falou sobre ameaças emergentes em 2009. Vamos ver algumas delas e tentar entender como devemos nos defender dos prejuízos potenciais que tentam nos impor.
Alguns novos ataques de engenharia social tentam pegar o usuário pela conversa, que no mais das vezes traz ares de confiança para o golpe. Por exemplo, o usuário recebe um e-mail supostamente enviado pela operadora de seu cartão de crédito. Ao invés de pedir aquela óbvia e falsa confirmação de dados de segurança, a mensagem diz algo na linha de “nós nunca pedimos confirmações de segurança por email, e requisitamos que você ligue para nossa central de atendimento no número fulano de tal”. O cliente que se sentir seguro porque o golpista confirmou que sua mensagem não é um golpe, caiu no golpe do mesmo jeito se ligou para o telefone listado no e-mail e passou seus dados. O correto nesse caso é conferir se o número apresentado bate com o número do site oficial da operadora, o com o número que o usuário já está acostumado a ligar. Uma variação do mesmo golpe vem numa mensagem com informações legítimas de agência e conta corrente do cliente, e o suposto “banco” informa que há um problema com a conta corrente, e pede que o cliente ligue para o número fulano de tal para resolver a questão. Quem ligar sem checar o número estará dando suas informações para os bandidos. Mais uma vez o truque para se defender é checar se o número de telefone apresentado é mesmo do seu banco.
Nas redes sociais um novo e criativo tipo de ataque ocorre em duas fases. Na primeira, um vírus se instala nos computadores com antivírus desatualizados e envia mensagens para os contatos do usuário. A mensagem carrega a segunda parte do ataque, e diz ao destinatário algo na linha de “Pegaram você numa câmera escondida.” A vítima é levada para uma página adulterada de um site de relacionamento, onde o suposto vídeo está armazenado. Ao clicar no vídeo, uma mensagem diz ”seu player está desatualizado. Clique aqui para fazer download da nova versão”. O usuário faz o download, instala o que pensa ser uma versão nova do player, e o que consegue é instalar um cavalo de troia que vai dar o controle de sua máquina aos bandidos. Para se livrar dessa é preciso muito cuidado e muita atenção. Não é porque uma mensagem vem de quem você conhece que é seguro clicar nos links e seguir as instruções. O mais sensato antes de clicar num link é verificar se foi mesmo mandado intencionalmente por seu amigo. Alguns usuários têm o hábito salutar de criar uma conta de e-mail apenas para as piadas dos amigos, direcionando os mais bem humorados para só enviar mensagens descontraídas e pessoais para aquele endereço. Esse hábito pode facilitar e muito a identificação de mensagens falsas, pois se alguém mandar uma dessas para seu e-mail profissional, você já pode desconfiar. Isso garante? Infelizmente não, mas já ajuda um tanto.
Um dos exemplos de ataques fornecidos por Zeltser, pasmem, é brasileiro. Trata-se de um golpe perpetrado contra clientes de banco que utilizam cartões com senhas de utilização única. Esses são aqueles cartões que o banco entrega periodicamente para o cliente, cada um com dezenas de números impressos, que são pedidos pelo caixa eletrônico ou pelo site do banco para completar transações bancárias. No ataque em questão o código malicioso instalado no computador da vítima interceptou a tentativa de acesso ao site do banco e acionou uma tela falsa de confirmação do cartão de senhas. Após o usuário digitar alguns dos números do cartão, a mensagem veio esclarecer: “Prezado cliente, no momento estamos em manutenção. Para sua segurança, acesse nosso site dentro de algumas horas”. Essas “algumas horas” servem para que os bandidos possam usar os números do cartão de senhas da vítima com tempo de folga, claro. Nesse caso, a proteção ainda é mais complicada. Depende de o cliente fazer tudo o que puder para manter seu ambiente seguro, começando por um critério adequado de navegação, passando por manter seu sistema operacional, seus aplicativos e antivírus sempre atualizados, fazer varreduras periódicas no disco com o antivírus, e tudo mais que eu vivo repetindo nesse espaço.
Esses golpes, e outros mostrados na apresentação de Zeltser dão uma pequena idéia de como a Internet anda perigosa. E infelizmente, esse é um estado que não tende a melhorar no horizonte que conseguimos enxergar.
Ajude-nos a melhorar a qualidade dos artigos desse site, deixando na seção de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Na próxima vou com meu guarda-costas a pé para o banco... A coisa está feia! :-(
ResponderExcluirInfelizmente concordo com você, Anônimo.
ResponderExcluirRuy, nota 1.000.000!!!!!
ResponderExcluirExtremamente útil, objetivo e didático.
Vai aí uma sugestão - vi isto num site de fotografia - o blogueiro escrevia um texto, mas dividia-o em 2 ou 3 seções. Isto tinha duas vantagens: os textos ficavam mais curtos por seção mas, para quem estava acompanhando, criava a expectativa da continuidade.
Espero que possa ser útil, talvez dividir o texto / audio em dois dias, sei lá.
Vou colocar um link do seu blog no meu site!!
Um grande abraço
Ricardo Abreu
Obrigado pelas palavras e pela dica, Ricardo!
ResponderExcluir