• Token Dourado
    Segurança

    O golpe do token dourado

    Durante o dia de hoje, você provavelmente recebeu e apagou alguns e-mails fraudulentos que simulavam avisos vindos de diversos bancos, estou certo? Apesar de perigosos e de enganar muita gente todos os dias, esses e-mails são frágeis em um ponto importante: eles não apresentam seus dados pessoais, dessa forma, levantam a dúvida se realmente foi enviado por seu banco. Infelizmente esse não é o que me levou a escrever essa matéria hoje.

    Um novo golpe anda ocorrendo nas últimas semanas e o foco são os correntistas do Banco Itau. A mecânica, apurada com algumas vítimas, é bem similar e a execução é impressionantemente crível. O que é bastante perigoso pois muita gente provavelmente caiu nessa.

    Read More
  • Segurança

    Seu CPF apresenta novas pendências

    Uma das estratégias mais utilizadas por golpistas para convencer suas vítimas a acreditar na mensagem e clicar no link malicioso, é ameaçar sua integridade financeira. Logo, emitir um aviso de problemas no SERASA ou SPC, é algo que tem grandes chances de convencimento.

    As dicas para identificar a balela são muito simples e funcionam na grande maioria dos casos, perceba:

    • Verifique que no e-mail em questão, não há nenhum dado pessoal listado. Não há como garantir, com propriedade, que o e-mail tenha sido enviado para você diretamente, e não para uma lista enorme de pessoas com o mesmíssimo conteúdo;
    • Sequer o conteúdo do e-mail é editável, com possibilidade de enviar dados diferentes. Se trata de uma imagem só. Note que existe um “número de autenticação”, para dar mais credibilidade, mas é o mesmo, para todos os recipientes;
    • Dados mais sutis, como o e-mail estar sendo enviado de um domínio genérico da Experian e estar apontando o link para outro domínio, também são muito importantes. Aliás, o link é sempre o mais importante de um e-mail como esse;
    • Por fim, o resultado, ao clicar no link. O endereço final é o download de um arquivo chamado “pendencias-serasa.com” (o mesmo nome do domínio) e não faz nenhum sentido com a mensagem, que diz para clicar e consultar os tais débitos, mas no final faz download de um arquivo executável pelo Windows.
    • É sempre importante lembrar que não se deve clicar em e-mails duvidosos como esse, e principalmente, não se deve executar arquivos baixados aleatoriamente. Sempre confirme antes o remetente e a veracidade das informações nos sites ou órgãos oficiais.

    O site VirusTotal identificou esse arquivo como um Cavalo de Tróia (Trojan) – Trojan-Downloader.Autoit.gen.

    Abaixo a mensagem original, recebida por e-mail em 22 de maio de 2013.

    Mensagem Original de “Seu CPF apresenta novas pendências”

    Seu CPF apresenta novas pendências
    Read More
  • Segurança

    Engenharia Social (Social Engineering)

    A melhor ferramenta para que o golpista se dê bem não é a tecnologia e sim as pessoas. O usuário é a única falha de segurança que não pode ser coberta por ferramentas, apenas procedimentos.

    Engenharia Social é a arte de enganar. Fazer com que pessoas forneçam os dados necessários, informações preciosas que os levem a outras informações e até mesmo acesso ao que os golpistas pretendem de verdade.

    Bons engenheiros sociais podem levar pessoas a acreditarem que estão falando com seus chefes, donos da empresa, um funcionário que perdeu sua própria senha do e-mail, policiais, etc. A principal arma é se fazer passar por outra pessoa ou representante de um serviço qualquer, e arrancar-lhe informações vitais, que podem passar desapercebidas.

    Você fornece dados pelo telefone? Seu nome, data de nascimento, grau de instrução (usado para encobrir que o golpista quer saber onde você estudou), podem ser para você irrelevantes, mas o criminoso sabe bem como usar esses dados em outros momentos e quem sabe, fazer uma transferência bancária pelo telefone de sua conta corrente.

    Read More
  • Eventos

    Kevin Mitnick : O elo fraco são as pessoas

    Uma das atrações mais esperadas da Campus Party 2010 aconteceu no iní­cio da tarde de ontem, segundo dia do evento (primeiro, contando que na segunda não houve palestras). Acompanhado por blogueiros, hackers, profissionais de informática e principalmente curiosos, Kevin deu um show falando e fazendo coisas que para ele são corriqueiras.

    De modo muito tranquilo, a lição do autonomeado maior ex-hacker do mundo é de que não importa o quanto você invista em tecnologia, a falha de segurança maior é a humana.

    Read More
  • Segurança

    Como evitar um golpe apenas não sendo ambicioso

    Recebi nos últimos dias de 2009 um e-mail que considerei SPAM na primeira olhada. Era um anúncio de venda de notebooks baratos. Até aí­, tudo bem, recebo destes diariamente, tanto SPAM mesmo como e-mails de locais que eu assinei e autorizei o recebimento. Depois de ter que marcar o e-mail pela terceira vez (não sei como ele escapa do filtro anti-spam), resolvi ler e constatei que se tratava de um golpe. Resolvi então dar corda e ver onde daria, para poder compartilhar no blog.

    Abaixo o primeiro e-mail recebido, que imaginei ser apenas um SPAM no primeiro momento, todo escrito com letras enormes e palavras-chave (como o preço) em letras vermelhas.

    Read More