Quebra de senha: Ataques ativos online

Transcrição

1 Quebra de senha: Ataques ativos online Continuando com as opções de ataques para quebra de senha, veremos o próximo tipo de ataque é o ataque online ativo. Esses ataques usam uma forma mais agressiva de invasão que é projetada para recuperar senhas. As técnicas, basicamente, são: Adivinhação de senha Trojans, Spyware e Keyloggers Injeção de Hash Adivinhação de senha A suposição da senha é um tipo de ataque muito bruto mas eficaz. Um invasor procura recuperar uma senha usando palavras do dicionário ou por força bruta. Este processo é geralmente realizado usando um software projetado para tentar centenas ou milhares de palavras a cada segundo. O aplicativo tenta todas as variações, incluindo alterações de maiúsculas e minúsculas, substituições, substituição de dígitos e caso inverso. É claro que um item a ser observado é que muitos sistemas empregam o bloqueio de conta, que bloqueia a conta quando ocorrem muitas tentativas ou falhas. Para refinar essa abordagem, um invasor pode procurar informações sobre uma vítima, com a intenção de descobrir passatempos favoritos, nomes de familiares, seu time favorito, etc. Complexidade de senha pode atrapalhar muitos desses tipos de ataques, porque torna o processo de descobrir uma senha mais lenta e muito mais difícil.

2 Trojans, Spyware e Keyloggers Malware, como Trojans, spyware e keyloggers podem ser muito úteis durante um ataque, permitindo que o invasor colete informações de todos os tipos, incluindo senhas. Uma forma é farejar o teclado ou keylogging, que intercepta uma senha quando o usuário digita ele. Esse ataque pode ser realizado quando os usuários são vítimas de software de keylogging ou se eles fazem logon em sistemas remotamente sem usar proteção. Injeção de Hash Este tipo de ataque baseia-se no conhecimento de hash e alguns truques. O ataque consiste nas seguintes etapas: Comprometa uma estação de trabalho ou área de trabalho vulnerável; Quando conectado, tente extrair os hashes do sistema de usuários de alto valor, como administradores de domínio ou de empresa; Utilize o hash extraído para iniciar sessão num servidor, tal como um controlador de domínio; Se o sistema serve como um controlador de domínio ou similar, tente extrair hashes do sistema com a intenção de explorar outras contas. Sugestões de livros:

3 Trojan brasileiro usa boleto falso de operadora para atacar internautas Os cibercriminosos brasileiros que estão sofisticando cada vez mais seus golpes para roubar dinheiro online contam, agora, com nova arma: o Windows PowerShell. Descoberto por analistas da Kaspersky Lab, um novo trojan bancário brasileiro está empregando essa tecnologia, que se trata de um recurso nativo utilizado por administradores e programadores para automatizar comandos de sistema, e está presente nas versões mais recentes do Windows (7 ao 10). Sua utilização é bastante ampla em outras famílias de malware, como os ransomware, mas esta é a primeira vez que seu uso é visto em pragas de origem brasileira. O ataque foi distribuído por meio de campanha de malicioso disfarçado de fatura de operadora de telefonia móvel, com links de download para um arquivo malicioso. Após a execução do malware, ele irá alterar as configurações de proxy do Internet Explorer para um servidor que redireciona as conexões para páginas de phishing dos principais bancos brasileiros. O malware direciona o internauta para um servidor controlado pelos criminosos. E essa mudança afeta não apenas o Internet Explorer, mas outros navegadores instalados no sistema, como Chrome ou Firefox, uma vez que eles costumam utilizar as mesmas configurações do Internet Explorer. Ao tentar acessar as páginas de bancos brasileiros, a vítima será direcionada para páginas de phishing localizadas em um servidor na Holanda. De acordo com os especialistas, é importante modificar as permissões do recurso, por meio de templates administrativos que irão permitir somente a execução de scripts assinados.

4 Estamos certos que este é o primeiro malware de muitos outros que surgirão utilizando a mesma técnica, alerta Fabio Assolini, especialista em segurança da Kaspersky Lab. O malware também possui um recurso interessante: ele verifica o idioma configurado no sistema operacional infectado e aborta sua execução, caso o idioma não seja PTBR. Este é um truque inteligente, que visa evitar infecção por pessoas que não usam o idioma em seu computador, limitando, assim, as infecções aos brasileiros. No primeiro trimestre, o Brasil foi o país mais afetado por trojans bancários no mundo. *Com informações do Kaspersky Lab Fonte: Novas falhas de segurança do Java permitem instalação de trojans em PCs O plugin do Java para navegadores web mais uma vez está sendo usado por hackers para atacar computadores desprotegidos. Os criminosos são capazes de utilizar uma falha de segurança do complemento para forçar o download de trojans a fim de estabelecer acesso remoto com as máquinas infectadas. A companhia de segurança virtual FireEye foi a responsável pela identificação da falha que, mais uma vez coloca em cheque o nome de um dos plugins mais utilizados na internet. Particularmente falando, a companhia observou a ação bem-

5 sucedida de hackers ao atacarem as versões 6 e 7 do Java. Ainda assim, o código malicioso só conseguiu funcionar quando os computadores infectados acessaram páginas da web também infestadas. Dessa forma, na maioria dos casos, a falha permite a instalação do trojan, mas ele não consegue de fato atuar no computador. Mesmo assim, a empresa aconselha a desinstalação da ferramenta até que uma atualização seja feita e resolva a situação. Esse tipo de dificuldade com o Java já rendeu problemas bem maiores que este. Empresas que fabricam computadores tiveram suas redes atacadas por hackers que conseguiram o feito a partir de problemas do plugin. Um dos casos foi o da Apple, que informou não ter perdido nenhum dado durante o ataque. Fora isso, o Facebook também experimentou os perigos do Java, passando por situação similar à da Maçã. Novas falhas de segurança do Java permitem instalação de trojans em PCs. Trojan Utiliza Google Docs para Comunicação com Servidor de Comando e Controle A empresa de segurança Symantec, descobriu a existência de um trojan chamado Backdoor.Makadocs, que se esconde em documentos Rich Text Format (RTF) e no Microsoft Word para injetar código malicioso através do Trojan.Dropper. Aparentemente, este trojan utiliza o serviço Google Docs para se comunicar com seu servidor de Comando e Controle (C & C). A Symantec,

6 atualmente, classifica o nível de ameaça desse trojan como muito baixa. Em uma mensagem postada em seu blog, a empresa diz que as investidas parecem ser direcionadas a usuários no Brasil. Aparentemente, o trojan transfere informações, como o nome do computador infectado, host e sistema operacional utilizado na referida máquina. A empresa também diz que ele já foi atualizado para o recém-lançado Windows 8 e com o Windows Server A característica incomum apresentada por este trojan é o uso do Google Docs: o serviço online oferece um visualizador, que carrega e exibe vários tipos de arquivos através de URLs. Dessa forma, a Symantec diz que Backdoor.Makadocs utiliza este artifício para entrar em contato com o seu servidor de Comando e Controle (C & C). Esse processo, de maneira aparente, impede o tráfego de dados entre o sistema infectado e o servidor C & C (em relação a uma possível descoberta). De acordo com a Symantec, as conexões do Google Docs são criptografadas utilizando HTTPS e são, portanto, difíceis de ser bloqueadas localmente. No entanto, a empresa acrescentou que o Google poderia impedir o viewer de ser utilizado, pelas implementações de um firewall. Fonte: Under-Linux Novo vírus ataca clientes do Itau e usa certificado verdadeiro Um novo ataque contra usuários de online banking ameaça correntistas do Itau, um dos maiores bancos brasileiros. De

7 acordo com a empresa de segurança Eset, os cibercriminosos desenvolveram um código malicioso identificado como um Trojan Win32/Spy.Banker.YJS que se instala na máquina do usuário e é executado assim que o computador acessa o internet banking. Caso não esteja utilizando o Internet Explorer (IE), o usuário infectado, ao acessar a página do banco, recebe uma mensagem de que ela só funciona no browser da Microsoft. Se o internauta faz o acesso, o malware inicia a captura das informações bancárias e dos dados pessoais. O Win32/Spy.Banker.YJS direciona o usuário para uma página falsa do internet banking, na qual solicita uma série de informações pessoais do usuário e do cartão de débito do cliente. Tela da página falsa gerada pelo Trojan Após o usuário digitar as informações na página falsa, o código malicioso envia um ao banker com os dados. Uma particularidade desse golpe é utilizar um certificado eletrônico roubado, da Comodo, entidade certificadora real. Isso permite que o malware se propague por servidores sem que

8 seja detectado pela maioria das ferramentas de segurança. Apesar da complexidade desse golpe, os usuários podem evitálo tomando alguns cuidados básicos. Por exemplo, ao perceber que não é comum que a página do internet banking só rode no Internet Explorer, diz Camillo Di Jorge, country manager da Eset Brasil. Além disso, todas as vezes que as pessoas vão digitar suas informações pessoais na internet devem assegurarse que as páginas são confiáveis e utilizam endereços que comecem por https, o que não acontece no caso desse golpe. Fonte: IDG Now Trojans brasileiros estão fazendo roubos automatizados de contas bancárias Especialistas da Kaspersky Labs descobriram uma nova forma de roubo de dinheiro das contas bancárias de internautas. Segundo a companhia, os criminosos estão usando o próprio computador das vítimas, de maneira automatizada, para plagiar funções do internet banking como pagamentos de contas ou transferências de dinheiro. Os hackers copiam as funções presentes em trojans bancários mais antigos e complexos, como o Zeus e o Carberp. Em 2009, algumas versões do trojan Zeus utilizava uma técnica chamada URLZone onde, após a infecção, uma transação não autorizada era feita a partir da máquina da vítima, ao invés de ser feita no computador do cibercriminoso. Para isso, o malware calculava automaticamente o saldo da vítima e quanto poderia roubar de dinheiro. O objetivo dos ladrões, ao usar essa técnica, é evitar a detecção de sistemas anti-fraudes de

9 alguns bancos. Geralmente estes trojans bancários são instalados em ataques drive-by-download (downloads encobertos de malware a partir de websites sem o conhecimento do utilizador) e se utilizando de plug-ins em navegadores infectados. Basta a vítima estar logada na página de internet banking para que o trojan ativo na máquina faça as operações de roubo em segundo-plano. Mesmo os bancos brasileiros que utilizam a função cadastramento de computadores, no qual detalhes específicos sobre a máquina do cliente são registrados pelo banco, tais como o número de série do HD ou o MAC address, estão em perigo. Além disso, até os bancos que exigem a digitação de CAPTCHAS para validar algumas operações, também estão vulneráveis, já que foram encontradas versões dos trojans com as funções para quebrar os CAPTCHAS. Para evitar a infecção destes tipos de trojans, o ideal é seguir as dicas abaixo. E para saber mais sobre a nova técnica, clique aqui. Manter todos os softwares e plug-ins atualizados (principalmente o Java) Verificar se o acesso é seguro todos os sites de autenticação de banco começam com https, que mostram a conexão segura (os endereços falsos encontrados não apresentavam este tipo de conexão) Verifique a presença do cadeado de segurança na página (os endereços falsos encontrados não apresentavam o cadeado) Nunca salve o endereço do Internet Banking nos favoritos. Há golpes que alteram os favoritos para direcionar o usuário para uma página falso Digite o endereço do banco pausadamente e com atenção para evitar cair no golpe do registro falso Dê preferência ao domínio b.br. Desde o começo de 2012, todos os bancos aderiram ao domínio banco.b.br.

10 Nunca clicar em mensagens enviadas por , as famosas mensagens de phishing. Não use o Google para procurar a página do banco, pois criminosos usam links patrocinados para aparecer no topo da página e levar o usuário para páginas falsas Fonte: Olhar Digital