• Internet,  Segurança

    Trojan infecta blogs em forma de applet

    Está rolando há algumas semanas já, mas como tenho visto voltando, achei melhor alertar por aqui e pedir que espalhem o aviso. Um applet malicioso distribui trojan como se fosse atualização do plugin Flash em blogs, principalmente, mas não exclusivamente.

    Os atacantes estão usando diversas formas de fazer com que o código malicioso seja implementado nos blogs:

    1. Explorando falha em blogs com versão desatualizada do WordPress

    De tempos em tempos o WordPress, plataforma de blogs gratuita e muito utilizada em todo o mundo, disponibiliza atualizações de seus arquivos. Algumas dessas atualizações incluem correções de falhas de segurança. É sempre importante ficar atento e fazer os updates quando solicitado.

    Nas versões mais novas do WP, isso pode ser feito em apenas 2 cliques, sem qualquer dificuldade por parte de quem utiliza o WP e não possui habilidades com servidores e procedimentos técnicos. O próprio sistema faz tudo por você, mas você precisa pedir que ele se atualize.

    Na área administrativa do blog, você verá um aviso marcado em amarelo no topo da página, avisando que existe uma atualização disponí­vel e um link para atualizar. Ao clicar nesse link, uma nova tela será aberta para confirmar a atualização, basta clicar no botão “atualizar automaticamente”. Lembrando que a versão mais nova disponí­vel é a 2.9.2.

    2. Distribuindo em temas gratuitos disponí­veis para download

    Evite baixar temas de outros sites que não estejam no repositório de temas oficial do WordPress. Se fizer isso, pois existem vários temas Premium fora do repositório, principalmente os que não são gratuitos, sempre procure dentro do código fonte por chamadas estranhas.

    O que você deve procurar:

    • Chamadas externas de qualquer natureza. Se o tema pede uma inclusão de arquivo fora do seu domí­nio, desconfie e verifique do que se trata;
    • Chamadas para arquivos Flash que não deveriam estar presentes no tema. Se você não baixou um tema com Flash, uma chamada dessas pode esconder um código malicioso.
    • Chamadas para Applets. Essa praga era usada no tempo do ronca para executar coisas que hoje fazemos com Flash, CSS ou HTML5, portanto, deixe-a relegada aos bancos e suas traquitanas de segurança. Applet é um troço que roda na máquina do usuário e, se o mesmo permitir, pode fazer leitura e gravação em disco local, uma potencial falha de segurança (e a gente sabe que o usuário permite sempre né?).
    • Links estranhos escondidos com CSS. Muitos temas podem servir para referenciar sites maliciosos, fazendo com que os backlinks para esses sites os destaquem nos mecanismos de busca. Não suporte parasitas, só dê link para o autor do tema, se não for um site-armadilha.

    3. Distribuindo em plugins gratuitos disponí­veis para download

    Os plugins agem no WordPress como extensão do aplicativo. Isso faz com que o comportamento do sistema possa ser comprometido e o seu blog se tornar ví­tima de golpe ou distribuidor de arquivos maliciosos. Se você não tem habilidades técnicas para verificar o código de um plugin, baixe sempre de sites confiáveis, como o próprio repositório do WordPress. Leia os comentários dos usuários sobre o plugin, a compatibilidade e se verificar algum problema, relate, é sua ajuda que faz com que o repositório se mantenha limpo.

    Read More
  • Internet,  Segurança

    Teste agora o Orkut Ouro

    Inicialmente, o Orkut Ouro foi apenas uma brincadeira, criada pelo estudante de Engenharia da Computação Pedro Vanzella (19), em um momento de ócio criativo, para se divertir um pouco e se livrar do tédio. Ele colocou em seu perfil do Orkut um álbum de fotos com uma mensagem de bloqueio, informando que apenas veriam aquelas fotos os usuários que possuíssem uma conta “Ouro”.

    Com o sucesso rápido da brincadeira, que foi montada durante a madrugada e no decorrer do dia já tinha se espalhado tanto no Orkut quanto no Twitter, Pedro publicou um post em seu blog e Twitter, e um amigo criou o site www.orkutouro.com.br (já removido). O que Pedro não imaginava era que as pessoas iriam acreditar na brincadeira. “Tudo era piada: o álbum no Orkut, a mensagem no blog, os tweets. Todo mundo que me segue no Twitter e estava passando adiante sabia que era piada.” afirmou Pedro, por telefone, ao repórter do site de notícias G1.

    E realmente muita gente sabia que era uma piada, e colaborou para espalhá-la ainda mais. O problema é que algumas pessoas caíram na pegadinha e enviaram e-mails para o Pedro, com seus dados pessoais e senha do Orkut, tentando uma oportunidade de acessar a tal conta “Ouro”. Ficou descontrolado. O estudante pediu conselho a um advogado, que sugeriu um pedido público de desculpas e foi prontamente atendido. Toda a brincadeira que Pedro publicou também foi retirada do ar e, se a Google – detentora das marcas envolvidas – não resolver processá-lo por uso indevido de marca, vai terminar tudo bem. Ou não.

    Onde mora o perigo

    Nós bem sabemos que bandidos são oportunistas e não é muito difícil algum pilantra ter a “brilhante” ideia de pegar a brincadeira inofensiva do Pedro e enviar por e-mail, com um trojan em anexo, para enganar um monte de gente, roubar senhas e dinheiro de verdade de suas contas bancárias.

    Alguns esclarecimentos são necessários para evitar cair em um golpe como esses:

    • Não existe o tal Orkut Ouro. Acredite, foi apenas uma brincadeira.
    • Quando a Google lança novidades, você fica sabendo diretamente do site. Exemplo: o novo Orkut, você ficou sabendo um dia dentro do Orkut, quando alguém te convidou ou apareceu um botão lá pra testar, certo? O Google Buzz, lançado há 2 dias, foi a mesma coisa, apareceu dentro do Gmail e pronto. Então, desconfie de e-mails te oferecendo novas features ou serviços, da Google ou qualquer outra empresa.
    • Nenhuma empresa vai pedir sua senha em um site estranho para você entrar ou testar um novo serviço. Fuja disso.
    • Se você receber um e-mail pedindo pra “baixar” o tal Orkut Ouro, caia fora, além de mentira é roubada – literalmente. Algum trojan banker maledeto vai te tirar tudo antes que você repita “antivírus”.

    A tela falsa do Orkut Ouro

    Read More
  • 3nder aplicativo para menage
    Internet

    Veja o vídeo de sexo entre Tessália e Michel no ‘BBB 10’

    Livro disponível na Amazon, super barato, ajuda pessoas a não cair em golpes online.

    Com mais uma edição do Big Brother Brasil, fica fácil pegar uns incautos com links falsos para vídeos, fotos e fofocas, principalmente quando tem um cunho sexual e uma polêmica que acompanhe. O dia de ontem foi populado com a fofoca de que a participante Tessália (também conhecida na Internet por Twittess) fez um boquete sexo oral no participante Michel, com quem vem tendo um romance instantâneo desde que chegou na casa. Não demorou muito para surgir a mensagem abaixo, que utiliza do boato e polêmica para enganar o usuário e instalar-lhe um trojan do tipo banker.

    É sempre bom relembrar as dicas para não cair nesse tipo de golpe:

    • Nenhum site sai enviando notícias suas aleatoriamente, portanto, se você nunca assinou uma newsletter do Kibeloco, de imediato você já desconfia ou desconsidera essa mensagem. Ela veio endereçada diretamente do site, então, ou é newsletter ou é golpe.
    • O phishing é bem feito, tem o visual do site Kibeloco, até mesmo utiliza o nome do seu criador para assinar o e-mail, mas peca no texto do link com um erro de português: “Assita” ao invés de “assista”. É imperceptível, quase, mas vale como exemplo.
    • Novamente o link acusa o golpe. Além de direcionar o usuário para um site diferente – embora espertamente feito com um nome que confunde o usuário: wwwwkibeloco.com (note que não há “.” entre www e kibeloco, portanto o nome é wwwwkibeloco mesmo, um domínio diferente), direciona-o a baixar um arquivo executável pelo Windows, de nome “Sexo_Tessalia_Michel.exe”. Ao baixar e executar o arquivo malicioso, o usuário permite a instalação de um malware, segundo o site VirusTotal, classificado como banker ou downloader. O objetivo é o mesmo: roubar seus dados enquanto acessa a Internet, possivelmente de suas contas bancárias.

    Não caia nesse golpe, desconfie sempre e evite clicar em links de e-mail, não execute arquivos baixados de locais que você não tenha plena confiança e use sempre o filtro solar um bom software antivírus.

    Mensagem original “vídeo de sexo de Tessália”

    De: KibeLoco <no-reply@kibeloco.com.br>
    Assunto: Veja o vídeo de sexo entre Tessália e Michel no ‘BBB 10’
    Data: 1 de fevereiro de 2010 14:33:11 BRST

    Clima esquenta entre Tessalia e Michel sob o edredon do BBB

    Um vídeo em que Michel e Tessália supostamente fazem sexo embaixo do edredon na casa do Big Brother Brasil 10 vazou na rede nesse sábado (30). Durante uma madrugada – a data da gravação não foi divulgada -, os dois aparecem no amontoado embaixo do edredom, enquanto Michel fica ofegando. Após cinco minutos, a dupla é surpreendida por Dourado, que entra no quarto, mas não tece nenhum comentário sobre a cena. Após a saída do brother, os sussurros continuam. Oito minutos depois, Michel tira o edredom do rosto, enquanto Tessália continua embaixo.

    Dando a entender
    No último dia 25, Tessália afirmou, num jogo da verdade, que teria feito sexo dentro da casa com Michel. A cena que caiu na rede, no entanto, parece ser mais recente.

    Assita o vídeo (link removido)

    Mensagem originalmente recebida por e-mail em 1/02/2010

    Read More
  • Internet

    Ganhadores da licença do NIS 2010

    Neste final de 2009, aproveitando a renovação do layout do Balela e o compromisso de tocar o projeto com mais novidades (você já viu o widget?), fiz uma pesquisa para conhecer melhor os meu leitores e, em agradecimento, ofereci 3 licenças do Norton Internet Security versão 2010 para os participantes.

    Selecionei os participantes que preencheram os e-mails, pela ordem de participação, numerei-os em sequência começando em 1 e sorteei os 3 vencedores. O sorteio foi realizado ontem através do Random.org e os vencedores foram os seguintes números:

    As pessoas (a identificação foi pelo e-mail, então desculpem se os chamo pelo login) que levam pra casa uma licença de 1 ano do NIS 2010, gentilmente oferecida pela turma bacana da Symantec e da Edelman (valeu, gente, brigadão), são:

    • Tebenas
    • Rubens Santos
    • Thiagu Brandão

    Um e-mail será enviado na sequência para vocês e peço que retornem em até 1 semana (7 dias), para envio da licença. Caso algum dos ganhadores não se manifeste, realizo um novo sorteio.

    Grande abraço e obrigado a todos pela participação. A pesquisa ainda está aberta, caso alguém queira colaborar com o site.

    Read More
  • Internet

    [bb.com.br] – DDA – Pessoa Juridica Banco do Brasil

    Questões gabaritadas para concurseiros

    Após as tentativas de golpe usando o nome do Bradesco, os pilantras digitais se aproveitam do lançamento do DDA (Débito Direto Autorizado) do Banco do Brasil. Apesar de ser um banco com maior abrangência, talvez esse não leve muita vantagem pelo simples fato de estar limitado às contas de empresas (pessoas jurídicas).

    Apesar da diferença, o fato de oferecerem algo “simples e fácil”, bastando “instalar um módulo” e afinal de contas estar mais bem feito – graficamente falando – que o do Bradesco, merece menção e cuidados, pois incautos podem ser ludibriados por essa nova “vantagem” do Banco do Brasil e não prestar atenção nos seguintes pontos que denunciam a fraude:

    Read More