AVISO AOS USUÁRIOS DO NAVEGADOR GOOGLE CHROME

CHI FA DA SÈ, FA PER TRE. 

Um alerta da empresa de segurança digital Malwarebytes dá conta de que um script malicioso injetado em websites pode fazer o Google Chrome congelar e exibir um aviso como o da figura que ilustra esta postagem.

Os criadores do script se valeram de uma API do próprio navegador para forçá-lo a iniciar milhares de downloads simultâneos, travando o processador em 100% de uso ― dependendo da configuração de hardware do aparelho, pode nem ser possível fechar a janela do programa da maneira convencional (ou seja, clicando no “X”, no canto superior direito da tela).

Ainda não se descobriu nada relativo a roubo de dados ou instalação de spyware, mas os usuários podem ficar apreensivos com a mensagem de que o computador está infectado e ligar para o número que aparece na tela, e é aí que mora o perigo: ao fazer a ligação, a vítima pode ser alvo de engenharia social e revelar informações confidenciais.

De acordo com a Malwarebytes, uma das formas de evitar o problema é deixar o bloqueador de anúncios ativo. Como o site não vai conseguir carregar o código, o Chrome não travará.

Caso seu navegador congele, você pode recorrer ao Gerenciador de Dispositivos do Windows (dê um clique direito num ponto vazio da Barra de Tarefas, escolha a opção correspondente e encerre os processos relacionados com o navegador). Se não funcionar, use o excelente SuperF4.

Visite minhas comunidades na Rede .Link:

http://informatica.link.blog.br/

http://cenario-politico-tupiniquim.link.blog.br/

http://acepipes-guloseimas-e-companhia.link.blog.br/

PRAGAS DIGITAIS ― COMO SE PROTEGER (Parte 8)

O AMOR É UMA DELÍCIA, COMEÇA NA PRAÇA ACABA NA POLÍCIA. 

Ninguém abre um anexo de email ou segue um link clicável se a maracutaia é evidente, mas a história é outra quando a oferta parece irrecusável. Cientes disso, os cibercriminosos se valem da engenharia social para explorar a inocência, a ingenuidade, a confiança ou a cobiça das pessoas.

Dos serviços baseados na internet, o correio eletrônico é o mais popular ― todo internauta tem, pelo menos, um endereço de email. Tome muito cuidado com mensagens que transportam anexos ou exibem links clicáveis, mesmo que o remetente lhe pareça confiável. Emails de phishing scam costumam exibir nomes de pessoas ou empresas “acima de qualquer suspeita”, ou mesmo de órgãos "intimidadores", como a Receita Federal, a Justiça Eleitoral, etc., visando ludibriar as vítimas e se locupletar através dos dados pessoais/confidenciais que elas informam inocentemente (senhas bancárias e números de documentos ou de cartões de crédito).

Desconsidere mensagens de que você ganhou na loteria, está negativado na praça, herdou uma fortuna de um parente de quem jamais ouviu falar, está sendo chifrado pelo cônjuge, precisa fazer ajustes na declaração de IR ou recadastrar seus dados bancários, por exemplo. Tenha em mente que instituições financeiras e órgãos do governo não enviam email solicitando recadastramento de senhas, nem (muito menos) anexos ou links clicáveis para solucionar supostas pendências. Em caso de dúvida, entre em contato com o suposto remetente por telefone e confira a autenticidade do comunicado.

Outro recurso largamente utilizado é o spyware ― software programado para espionar os hábitos de navegação da vítima e colher dados que ajudam os estelionatários digitais a desfechar seus golpes. É mais comum ser infectado ao abrir anexos ou clicar em links que vêm em emails de phishing, mas o programinhas espiões também são disseminados em sites contaminados e em aplicativos gratuitos descarregados de fonte não confiáveis. Muito cuidado, portanto.

Igualmente importante é não usar computadores públicos (de escolas, lanhouses etc.) para acessar webservices que exijam login (seu nome de usuário e senha). Se não houver alternativa, faça uma varredura na máquina com um antivírus online ― como o ESET Online Scanner, o House Call Free Online Virus Scan (da TrendMicro) e o Norton Security Scan (da Symantec) ―, abra o navegador no modo privado (anônimo) e nunca salve suas senhas.

Observação: Hoje em dia, quase todo mundo tem um smartphone e um plano de dados. Conectar-se através de redes Wi-Fi públicas (como de hotéis, lojas, consultórios, etc.) pode ser mais econômico, mas é bem menos seguro.

Para realizar transações bancárias (netbanking) de maneira mais segura, você pode instalar uma distribuição Linux num dispositivo de mídia removível (pendrive ou HDD externo) e acessar o site do Banco a partir dali. Como isso é trabalhoso e pouco amigável a leigos e iniciantes, a alternativa é instalar o aplicativo do Banco no smartphone ou no tablet e usá-lo sempre que for acessar sua conta.

URLs encurtadas se popularizaram devido à limitação de caracteres em postagens do Twitter, mas logo passaram a ser vistas em sites, blogs e assemelhados. Conferir o real endereço para onde elas apontam fica ainda mais difícil, mas sempre se pode recorrer ao SUCURI, por exemplo, que checa a segurança tanto em links encurtados quanto normais.

Observação: Sites como ExpandMyURL, Knowurl e LongUrl convertem links encurtados em convencionais e, em alguns casos, informam também se a página é segura. Dependendo do serviço usado no encurtamento do link, você pode obter mais informações introduzindo o URL reduzido na barra de endereços do navegador, acrescentando um sinal de adição (+) e teclando Enter.

Voltaremos a esse assunto na próxima postagem. Até lá.

Visite minhas comunidades na Rede .Link:

http://informatica.link.blog.br/

http://cenario-politico-tupiniquim.link.blog.br/

http://acepipes-guloseimas-e-companhia.link.blog.br/

DE VOLTA À ENGENHARIA SOCIAL

CHEGAMOS A TAL PONTO DE IMBECILIDADE QUE CONSIDERAMOS O TRABALHO NÃO SÓ HONROSO, MAS TAMBÉM SAGRADO, QUANDO NA VERDADE ELE NÃO PASSA DE UMA TRISTE NECESSIDADE.  

Muito já se disse aqui no Blog sobre o tema em pauta, mas, dada a sua importância e considerando que hoje é 1º de abril, resolvi revisitá-lo, até porque a audiência deste humilde espaço é rotativa, e os recém-chegados nem sempre se dão conta de que podem acessar, mediante poucos cliques do mouse, qualquer uma das mais de 2200 postagens publicadas.

Passando ao que interessa, chamamos ENGENHARIA SOCIAL a um conjunto de técnicas que exploram a ingenuidade, a confiança, ou, em certos casos, a cobiça das pessoas, visando induzi-las a cometar atos que auxiliem os cybercriminosos em seus propósitos escusos.

As táticas que a bandidagem usa variam, mas as mais comuns consistem na remessa de emails com anexos suspeitos ou links duvidosos, pretensamente oriundos de pessoas de reputação ilibada, empresas idôneas, instituições financeiras ou órgãos públicos. Afinal, pouca gente deixa de seguir as instruções de um email supostamente recebido da Microsoft ou reluta em averiguar uma pretensa pendência com a Receita Federal ou a Justiça Eleitoral, por exemplo, embora seja público e notório que tais órgãos não utilizam o correio eletrônico para convocações que tais.

Observação: É possível separar o joio do trigo (embora nem sempre) salvando os anexos de email e fiscalizando-os com o VIRUSTOTAL, buscando discrepâncias entre os links e os endereços que eles apontam, checando-os com o ONLINE LINK SCAM, e por aí vai, mas o melhor é contatar por telefone a empresa/instituição remetente e conferir a autenticidade da mensagem.

Segundo a INTEL SECURITY (McAfee) os cyberataques baseados em engenharia social se dividem em “caçada” e “cultivo”, e se dividem em quatro etapas:

1.    A pesquisa (opcional) consiste na coleta de informações sobre o alvo que forneçam ao atacante elementos para a construção do anzol, tais como hobbies, endereços de casa e do local de trabalho, Banco em que a vítima mantém conta, e por aí vai.

2.   O anzol tem como objetivo encenar um “enredo” bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação. O psicólogo Robert Cialdini cita seis alavancas de influência que permitem tirar proveito do subconsciente do alvo:

a)   Reciprocidade: as pessoas ganham alguma coisa, ficam agradecidas e sentem-se na obrigação de retribuir o favor.

b)  Escassez: as pessoas tendem a obedecer quando acreditam que algo está em falta.

c)   Consistência: uma vez que os alvos tenham prometido fazer algo, eles cumprem suas promessas por receio de parecerem pouco confiáveis.

d)  Propensão: é mais provável que os alvos obedeçam quando o engenheiro social é alguém de quem eles gostam.

e)   Autoridade: explora a tendência humana de obedecer quando a solicitação vem de alguma autoridade.

f)   Validação social: a tendência de obedecer quando outras pessoas estão fazendo o mesmo.

3.   Enredo: execução da parte principal do ataque, que pode envolver a divulgação de informações, um clique em um link, a transferência de fundos, etc.

4.   Saída: a interação é encerrada. Note que, dependendo do fruto do golpe, pode ser uma vantagem sair antes de despertar suspeitas ou prolongar o ataque para obter vantagens adicionais.

A melhor arma contra a engenharia social é a informação. Mesmo tendo um arsenal de segurança responsável e mantendo o sistema e os programas atualizados, as brechas humanas continuam a existir ─ e como muitos internautas não têm noção do perigo que correm, maravilham-se com a Web e passam a acreditar em tudo aquilo que leem nesse meio.

Barbas de molho, minha gente.

ELEIÇÕES – PERÍODO PROPÍCIO PARA A AÇÃO DE CIBERCRIMINOSOS

MAIS DO QUE DE BONS POLÍTICOS, O BRASIL PRECISA DE BONS ELEITORES.

A ENGENHARIA SOCIAL é um estratagema que a bandidagem digital utiliza para levar os incautos a abrir as portas de seus sistemas a programinhas que capturam senhas bancárias, números de cartões de crédito e informações afins.

Para tanto, os crackers costumam inserir anexos ou links maliciosos com mensagens atraentes em emails – afinal, você pega mais moscas com mel do que com vinagre – ou se valer de redes sociais, banners, janelas pop-up e até mesmo webpages maliciosas para ilaquear a boa fé dos desavisados.

Como cautela e canja de galinha não fazem mal a ninguém, é fundamental dispor de um sólido arsenal de defesa (com antivírus, antispyware, firewall, etc.) e manter o sistema operacional e demais aplicativos devidamente atualizados (para mais detalhes, insira “segurança” ou outros termos-chave adequados na caixa de buscas, no canto superior esquerdo da página).

Vale lembrar que o perigo aumenta em determinadas épocas do ano – tais como a Páscoa, o Dia dos Namorados, as Festas Natalinas, etc. – ou por ocasião de eventos chamativos – como o acidente que causou a morte do político pernambucano Eduardo Campos, sem mencionar o próprio período eleitoral, quando são comuns mensagens falsas de cancelamentos de título, convocação para mesário, recadastramento de dados, e por aí vai. E como teremos segundo turno (felizmente!), é bom por as barbichas de molho.

Não deixe de assistir ao clipe abaixo. Muito divertido, para variar.
Abraços e até a próxima.

TV A CABO - O GOLPE

Antes de qualquer outra coisa, Habemus Papam. 
No final da tarde de ontem, subiu a fumacinha branca e, como num milagre do Espírito Santo, temos um novo Papa. Jesuíta (contrariando as expectativas), e Argentino... Ainda bem que eu não sou fã de futebol. Enfim, dizem que DEUS é brasileiro, de maneira que...  

Lá pela década de 80, quando os fumantes podiam dar suas baforadas sem que ninguém lhes enchesse o saco, o (então famoso) jogador Gérson protagonizou um comercial do cigarro Vila Rica com o bordão “o importante é levar vantagem”, aludindo à boa qualidade aliada ao baixo preço dessa marca. No entanto, não demorou para que a assim chamada “Lei de Gérson” passasse a ser vista como algo nocivo, onde levar vantagem implicava ignorar os princípios da ética e da moral – como é no caso de quem faz “gato” na rede elétrica ou de TV a cabo, apenas para citar uma prática largamente utilizada – não só, mas principalmente – por moradores de “comunidades” (hoje é politicamente incorreto falar em “favelas”).

Falando em TV a cabo, há diversas maneiras de surrupiar o sinal. O método varia conforme a tecnologia utilizada pela operadora; às vezes, basta instalar um splitter (conector “em T” que funciona como um benjamim) para compartilhar o serviço pago pelo vizinho, mas maracutaias mais sofisticadas contam geralmente com a participação dos instaladores, que oferecem um decodificadores capazes de acessar todos os canais sem a incomodativa contrapartida da fatura mensal.

Observação: No meu caso específico, o cara era realmente funcionário da TVA – hoje VIVO TV – e o desbloqueio, que custaria R$ 600, seria feito mediante a substituição do cartão convencional (aquele que a gente precisa remover e reinserir para restabelecer o sinal após um apagão, por exemplo) por um “módulo” usado pelos técnicos para destravar e testar os canais. Todavia, há escroques que se passam por prepostos da empresa e tomam o dinheiro dos incautos em troca de um cartão grosseiramente falsificado e um número de telefone “frio” (qualquer coisa, doutor, liga direto pra mim). Valendo-se de técnicas de engenharia social, eles convencem o "cliente" a aguardar uma ou duas horas até que “o sinal seja liberado” e, com a grana no bolso, saem em busca da próxima vítima.

Num mundo perfeito, qualquer cidadão de bem denunciaria um funcionário desonesto a seu empregador, mas como não vivemos num mundo perfeito, cautela e canja de galinha...

Um ótimo dia a todos.

Engenharia social...

Os adwares tornam-se perigosos quando, promovidos a SPYWARES, propiciam furtos de identidades, senhas e números de cartões de crédito, ou quando seqüestram seu PC para usá-lo em ataques de negação de serviço e envio de SPAM.
Conforme dissemos, essas pragas costumam vir embutidas em softwares úteis que baixamos da Web, mas também são distribuídas em sites de conteúdo hacker ou de pornografia – onde é comum clicarmos numa imagem para vê-la ampliada, por exemplo, e em vez disso aparecer uma telinha dizendo que é necessário instalar um plug-in para visualizar as fotos. E mesmo que cliquemos em Não, a instalação pode ser iniciada.
Os spywares também podem vir de carona em anexos de e-mails (tome muito cuidado) ou em páginas para as quais você é direcionado ao clicar em links exibidos em salas de chat, programas de troca de mensagens instantâneas, e por aí vai. Em certos casos (exploits), eles simplesmente se aproveitam de uma brecha de segurança qualquer (especialmente no navegador, daí a importância de manter o sistema e demais programas devidamente atualizados), quando então nem é preciso clicar em nada.
Alguns spywares agem silenciosamente, enquanto outros dão sinais claros de sua presença. Se a página inicial do seu navegador for alterada, se propagandas forem exibidas constantemente, se barras com funções extras surgirem “do nada” ou se sites abrirem sozinhos, convém por as barbas de molho, pois é bem provável que haja algum spyware por trás dessas “anormalidades”.
Para concluir, não custa lembrar a importância da ENGENHARIA SOCIAL (conjunto de técnicas que exploram a inocência, ingenuidade ou confiança das pessoas) na disseminação de pragas e outros perigos pela Web. As táticas variam, mas os objetivos são sempre escusos, sendo importante ficar de olho em e-mails pretensamente oriundos de empresas idôneas oferecendo produtos ou serviços “irrecusáveis”, pois a idéia é levar os destinatários a “atualizar” seus dados – seja através de supostos formulários que vêm em anexo, seja mediante links que remetem a páginas maliciosas. Os mais comuns se fazem passar por Bancos, empresas de software (Microsoft, Symantec etc.), programas de TV (como o Big Brother Brasil), órgãos governamentais (Receita Federal, Justiça Eleitoral) e entidades que tais.

Observação: Qualquer um fica preocupado ao receber uma notificação de dívidas pendentes ou de problemas com seu CPF ou Título de Eleitor, por exemplo, e mesmo sabendo que esse tipo de golpe costuma ser aplicado via e-mail, pode acabar acreditando na mensagem e clicando no link que a acompanha, visando obter detalhes sobre o suposto problema.

Ainda que seja possível identificar as maracutaias (nem todas, infelizmente) checando os remetentes das mensagens ou buscando discrepâncias entre os links e os endereços verdadeiros para onde eles apontam, a melhor maneira de evitar ser pego no contrapé é acessar o website da empresa/instituição em questão e conferir a autenticidade da mensagem; ser for possível entrar em contato por telefone, tanto melhor.
A engenharia social é amplamente utilizada na obtenção de informações financeiras porque explora as “falhas de segurança humanas”. Os sistemas dos Bancos são bem protegidos, de modo que é mais fácil tentar levar os próprios correntistas a fornecer suas informações confidenciais. Como as instituições escolhidas são geralmente muito conhecidas (Bradesco, Itaú, Banco do Brasil, etc.), são grandes as possibilidades de as vítimas serem clientes e digitarem inocentemente seus dados (e dias depois constatarem o “rombo” em suas contas).
A melhor arma contra a engenharia social é a informação. Mesmo tendo um arsenal de segurança responsável e mantendo o sistema e os programas atualizados, as brechas humanas continuam a existir – e como muitos internautas não têm noção dos perigos que correm, acabam maravilhados com a Web e tendem a acreditar em tudo aquilo que lêem nesse meio.
Barbas de molho, minha gente.