*Marisa Viana
Os golpes virtuais se tornaram uma constante realidade em todo o mundo. Estima-se que os ataques online causem um prejuízo de cerca de US$ 10 bilhões por ano, formando assim uma verdadeira indústria criminosa que se esconde por trás de uma tela de computador. Para realizar os crimes, os cibercriminosos inovam todos os dias.
Desta vez a novidade está nos chamados phishing, aqueles e-mails maliciosos de falsas propagandas que todos os dias chegam às caixas de correio eletrônico. Ao clicar no link da mensagem, o usuário permite a instalação de um malware em sua máquina, um tipo de vírus que tem o objetivo de enviar para um e-mail do golpista todas as informações digitadas no computador, incluindo senhas de banco e dados pessoais.
No entanto, essa forma de ataque já é conhecida pelos antivírus, tanto que muitos softwares de proteção conseguem evitar esse tipo de golpe. Diante disso, os atacantes inovaram na metodologia da prática criminosa. Eles estão unindo esforços para invadir os servidores de empresas que oferecem vendas eletrônicas. O objetivo é criar um e-mail com o domínio oficial da empresa, garantindo a confiabilidade da mensagem.
Ao clicar no e-mail enviado pelos golpistas, o usuário permite que seu navegador seja rastreado em tempo real enquanto é direcionado automaticamente para um arquivo malicioso que, utilizando-se de vulnerabilidades existentes no navegador, faz o download e em seguida a execução de um pequeno agente que modifica a configuração padrão do navegador do usuário.
Feito isto, todo o tráfego acessado pelo usuário é direcionado através de um serviço chamado Proxy. O proxy funciona como um filtro de conteúdo web utilizado como mecanismo de proteção em redes corporativas, impedindo que funcionários acessem material inapropriado como sites pornográficos, chats entre outros. Porém este serviço pode ser utilizado também pelos criminosos para tirar proveito dos acessos válidos.
Navegação rastreada
Quando o usuário inicia a navegação, o tráfego é direcionado através do servidor proxy hospedado em algum servidor cujo atacante já tenha acessado anteriormente. A partir disso, o criminoso analisa os sites que o usuário procura na internet até detectar um domínio que esteja em sua lista, por exemplo www.bancoxy.com.br. O proxy passa então a direcionar o acesso do navegador para um espelhamento do site do banco que fica hospedado diretamente no servidor onde o proxy está sendo executado.
Em seguida, o navegador exibe ao usuário a tela clonada do site do banco, induzindo a pessoa a colocar seus dados bancários para consolidar o golpe. Esse tipo de ataque começa a ganhar espaço no Brasil, o que obriga empresas a reforçarem o sistema de segurança para preservar a informação do consumidor.
Mas cabe também ao usuário de internet se proteger, evitando a abertura de e-mails desconhecidos, bem como a execução de arquivos suspeitos. Somente dessa forma a navegação estará livre do ataque dos cibercriminosos.
——————————-
*Marisa Viana é gerente comercial da TrustSign, empresa especializada em segurança da informação.
Mais uma grande profissional integra o quadro de colaboradores da TrustSign no departamento de auditoria e controles. É a Thais Soffner; Seja bem vinda!
Confira abaixo o depoimento da Thais.
“Olá pessoal,
Sou a mais nova integrante da TrustSign, comecei dia 19/07 e vim para acrescentar.
Quero dizer que podem contar comigo, assim como pude contar com vocês desde o começo.
Busco minha realização pessoal e profissional e vejo-me trabalhando aqui por uns 10 anos á frente. Acredito que nada é por acaso. Não conhecemos as pessoas porque temos que conhecer, mas porque era o momento de nos encontrarmos e fazermos algo juntos, pois todos temos algo de bom a passar.
Eu sei que estou no lugar certo e na hora certa.
Acredito muito no meu potencial e isso é o que me estimula a cada dia!
A consolidação do comércio eletrônico no mundo está ameaçada. Tudo por conta dos sucessivos prejuízos causados pelas fraudes cometidas no ambiente virtual, como mostrou um estudo recente divulgado pela empresa CyberSource, especializada em soluções de segurança. De acordo com o levantamento, o valor dos golpes em transações on-line gira em torno de US$ 10 bilhões ao ano, sendo que no mercado brasileiro o total supera US$ 500 milhões.
Esse resultado reforça a necessidade de haver uma conscientização maior por parte dos brasileiros na hora de realizar uma compra on-line. Para isso, é fundamental que o consumidor saiba identificar se um site é realmente verdadeiro, evitando assim dores de cabeça no futuro. A seguir, 10 dicas essenciais para o consumidor não cair nos golpes.
1. Tenha a certeza de que o site que você está é aquele que você digitou na barra de endereços do navegador, não clique em links.
2. Leia a política de privacidade, entrega e troca e devolução. Veja se você concorda com elas; se não concordar, não navegue no site.
3. Verifique antes de comprar se o site oferece dados de contato legítimos, entre eles CNPJ, telefone e e-mail corporativo (por exemplo, se a empresa chama-se XYZ, eles têm que fornecer um e-mail nome@XYZ.com.br e não xyz@yahoo, hotmail etc.). Caso a empresa não forneça o CNPJ e o domínio do site seja dominio.com.br é possível obter informações através do www.registro.br.
4. Faça pesquisas sobre o site e procure identificar pessoas que já compraram e estão dispostas a ajudar. Lembre-se: É muito fácil criar um e-mail falso e dizer que já comprou ou usou disso para qualificar a loja.
5. Pesquise no site da Receita Federal o CNPJ da empresa conferindo razão social, endereço, atividade da empresa, validade do CNPJ (situação cadastral) e data de abertura (data de abertura recente não significa que a empresa foi criada para fraudar, mas datas de aberturas próximas a datas especiais como fim de ano, por exemplo, devem chamar sua atenção).
6. Verifique os meios de pagamento disponíveis no site. Sites sérios geralmente apresentam transações com cartão de crédito (Visa, MasterCard e outras) além de boleto eletrônico e transferência eletrônica.
7. Ao efetuar a compra, antes de digitar seus dados pessoais e de pagamento tenha a certeza de que a área que você está é restrita e segura. Isso é possível identificando a barra de endereços do navegador utilizado que muda de http:// para https://. Isso aparecendo observe no lado direito inferior da tela a imagem de um cadeado de segurança, clique sobre ele duas vezes e será aberta uma tela, onde você deve conferir o nome da empresa (que deve ser o mesmo do website) e a validade do certificado (deve ser válido). Lembre-se: certificados de segurança não garantem que o site é seguro, mas sim que o site é autêntico.
8. Desconfie de empresas que oferecem atendimento exclusivamente por MSN e outros e que oferecem preços “milagrosos”.
9. Identifique se existem selos na página com descrições do tipo “site seguro”, “internet segura” e outros. Esses selos são muito fáceis de serem clonados. Uma forma fácil de saber se é um selo clonado é clicar sobre ele. Se nenhuma janela de validação aparecer, o selo pode ser clonado. Caso apareça a janela de validação, confirme as informações indo até o site que gerencia esse selo e verificando mais itens.
10. Esclareça todas as suas dúvidas diretamente com serviço de atendimento ao consumidor da empresa.
*Marisa Viana é gerente comercial da TrustSign, empresa especializada em segurança da informação.
Este mês recebemos mais um colega para integrar o departamento comercial. É o Adonias Ferreira, que depois de 17 meses retorna a TrustSign.
“Este mês é especial ! Retorno ao lugar onde foi possível idealizar grandes e bons sonhos profissionais.
Depois de 17 meses longe do departamento comercial da Trustsign, é com grande emoção e muita garra que retorno à essa equipe, agora muito mais completa e com excelentes profissionais.
O Departamento Comercial de Tecnologia, me fascina! Tenho uma pequena bagagem de 5 anos só nesta área. Trabalhar onde você quer trabalhar e com uma das melhores equipes com quem eu já estive é grande conquista profissional mas, muito mais pessoal.” - Adonias Ferreira
Mais uma vez, seja muito bem vindo à equipe TrustSign!
É assim que muitas empresas vêem a segurança na internet hoje, algumas realmente se preocupam, outras nem tanto, outras ainda nem um pouco, mas será que isso importa?
Segurança no comércio eletrônico hoje é um item fundamental a todos, empresas, mercado e consumidores. Estamos passando por uma fase onde muito se fala de segurança, mas poucos discutem seu aspecto real ou sabem o que realmente é segurança e a importância dela para todos. Ter segurança em um website não é simplesmente apresentar um certificado digital com a mensagem SITE SEGURO, o que por si só já está errado, visto que certificados digitais garantem a AUTENTICIDADE e a CRIPTOGRAFIA DE DADOS em áreas restritas do site, nada mais.
Imaginemos os cenários abaixo:
1 – O site que possui um certificado digital, mas está hospedado em um servidor vulnerável a ataques, logo o site não é seguro. Aqui a primeira preocupação: das empresas.
2 – Se a empresa não se preocupa com a segurança de seu website, muito possivelmente não se preocupa com a segurança dos dados de seus clientes. Aqui temos uma segunda preocupação: a dos clientes.
3 – Se o ambiente está vulnerável, assim como muitos fatos já ocorridos, existe a possibilidade do vazamento de informações, o que pode expor dados da empresa e de seus clientes. Aqui outra preocupação: a das empresas, clientes e mercado.
Todos sabem o quão é difícil fortalecer uma marca e fazer com que ela seja reconhecida no mercado, assim como o fato de que informações devem ser classificadas e tratadas adequadamente. Então porque não se preocupar com a segurança?
Segundo a eBit, empresa especializada em informações de e-commerce, o comércio eletrônico em 2009 movimentou R$10,6 bilhões, um crescimento de 30% ante os R$8,2 bilhões de 2008 e a tendência é continuar crescendo, da mesma forma que as ameaças virtuais, e junto delas o número de fraudes. Certamente a segurança será um dos fatores que distinguirá as lojas de comércio eletrônico perante os consumidores.
Não conheço ninguém que gostaria de ter seus dados pessoais e bancários nas mãos de fraudadores, então porque eu faria uma compra em um lugar de origem ou ações duvidosas que permitem em maior nível a exposição de meus dados?
A fase em que consumidores vêem um selo de certificado digital em um site e se sentem seguros está passando. Consumidores passam a exigir mais garantias, a preocupação torna-se maior e isso acarreta em um novo e promissor cenário: o de oferecer aos consumidores algo além da qualidade, garantia de entrega e melhores preços. A garantia de seu direito à privacidade.
O ataque HTTP Request Smuggling explora uma análise incompleta dos dados apresentados feito por um sistema intermediário HTTP trabalhando como um proxy. HTTP Request Smuggling consiste no envio de uma solicitação HTTP especialmente formatada que será analisada de forma diferente pelo sistema de proxy e pelo sistema final, então o atacante poderia roubar uma solicitação para um sistema sem o outro estar ciente disto. Este ataque faz com que seja possível explorar outros ataques, como cache poisoning, session hijacking, Cross-site Scripting (XSS) e, sobretudo, a capacidade de burlar a proteção de firewall de aplicações web.
Para explorar o HTTP Request Smuggling, algumas condições específicas devem existir, tais como a presença do sistema de proxy específico e versão, como SunOne Proxy 3.6 (SP4) ou beta FW-1/FP4-R55W ou uma vulnerabilidade de XSS no servidor web.
Basicamente o ataque consiste em enviar uma solicitação HTTP que encapsula uma segunda solicitação HTTP no mesmo cabeçalho, como mostrado abaixo:
GET /some_page.jsp?param1=value1¶m2=
Content-Type: application/x-www-form-
Content-Length: 0
Foobar: GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Neste caso, o primeiro cabeçalho HTTP é analisado pelo sistema de proxy, e o segundo pelo sistema final, permitindo ao invasor burlar as regras de acesso do proxy.
Exemplo:
Request Credential Hijacking
Outra area de interesse é a habilidade do atacante forçar a execução de um script (/some_page.jsp) com as credenciais de um cliente. Esse ataque é similar aos efeitos do ataque de Cross-site Request Forgery, mas este é mais eficiente pois o atacantes não é obrigado a interagir com o cliente (vítima). O ataque ocorre como abaixo:
POST /some_script.jsp HTTP/1.0
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 9
Content-Length: 142
this=thatGET /some_page.jsp?param1=value1¶m2=value2 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Foobar:
Quando o cliente envia uma requisição, como:
GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Tomcat irá colocar esta requisição na fila de incompletes, e juntos, terão:
GET /some_page.jsp?param1=value1¶m2=value2 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Foobar: GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Agora com uma requisição completa, ele irá chamar o script /some_page.jsp e retornar seus resultados ao cliente. Se este script é um pedido de alteração de senha, ou uma transferência de dinheiro para a conta do atacante, então isso pode incorrer em danos potencialmente graves para o cliente.
O ataque de manipulação de parametros, chamado também de Parameter Tampering é baseado na manipulação de parametros trocados entre o browser e o servidor com a finalidade de modificar os dados da aplicação, como por exemplo, credenciais de usuários e permissões, preços ou quantidade de produtos, etc. Usualmente, este tipo de informação é armazenada em cookies, campos escondidos nos forms ou em URL query strings e são utilizados para permitir que a aplicação tenha mais funcionalidades e controles.
Este tipo de ataque pode ser utilizado por usuários maliciosos que querem exploitar uma aplicação para seu próprio beneficio, ou então utilizar uma segunda técnica chamada Man-in-the-Middle para prejudicar terceiros. Em ambos os casos, ferramentas como Webscarab, Paros Proxy e BurpSuit são as mais utilizadas.
O sucesso no ataque depende diretamente da lógica utilizada na validação dos mecanismos de erro, e esse tipo de ataque pode resultar em outras consequencias como por exemplo XSS (cross-site scripting), SQL Injections, file inclusions and outras vulnerabilidades, como path disclosure attacks.
Exemplo
Quando uma aplicação utilize campos escondidos para armazenar por exemplo, o valor de algum produto, um atacante pode fazer a modificação do valor da variável, capturando-a quando o browser envia a solicitação para o servidor, e modificando seu valor durante esse trajeto. Por exemplo, um site de e-Commerce que usa campos escondidos para referencia de produtos como o seguinte:
Neste exemplo o atacante pode modificar o valor da variável “value” e diminuir o preço do produto que está comprando.
Existem alguns plugins para o browser Firefox que podem ser utilizados para efetuar o ataque de Data Tampering. Um deles e mais conhecido é o Tamper Data.
Tamper Data.
O Tamper data pode ser instalado no firefox sendo baixado diretamente do repositório oficial de addons. Basicamente o Tamper data intercepta todas as requisições que são feitas pelo browser e exibe para que você faça a modificação dos dados que estão sendo enviados, permitindo assim que esse tipo de falha seja explorada de maneira muito simples.
Tamper data
Tamper data perguntando se o usuário deseja modificar os dados antes de envia-los.
Nosso objetivo nesse tópico é fornecer informações a todos sobre como se resguardar e evitar dessa forma o risco de cair em “armadilhas virtuais”.
CONHEÇA O WEBSITE
1. Tenha a certeza de que o site que você está é aquele que você digitou na barra de endereços do navegador, não clique em links.
2. Leia a política de privacidade, entrega e troca e devolução, e veja se você concorda com elas; se não concordar, não navegue no site.
3. Verifique antes de comprar se o site oferece dados de contato legítimos, entre eles CNPJ, telefone e e-mail corporativo (por exemplo, se a empresa chama-se XYZ, eles têm que fornecer um e-mail nome@XYZ.com.br e não xyz@yahoo, hotmail, etc). Caso a empresa não forneça o CNPJ e o domínio do site seja dominio.com.br vocês podem obter informações através do www.registro.br – whois, onde vocês encontrarão a data em que o site foi registrado, proprietário, CNPJ e outros dados.
4. Faça pesquisas sobre o site e procure identificar pessoas que já compraram e estão dispostas a ajudar. Lembre-se, é muito fácil criar um e-mail falso e dizer que já comprou ou usar disso para qualificar a loja.
5. Pesquise no site da Receita Federal (www.receita.fazenda.gov.br) o CNPJ da empresa conferindo razão social, endereço, atividade da empresa, validade do CNPJ (situação cadastral) e data de abertura (data de abertura recente não significa que a empresa foi criada para fraudar, mas datas de abertura próximas a datas especiais como fim de ano, por exemplo, devem chamar sua atenção).
6. Verifique os meios de pagamento disponíveis no site. Sites sérios geralmente apresentam transações com cartão de crédito (VISA, MASTER e OUTRAS) além de boleto eletrônico e transferência eletrônica.
7. Ao efetuar a compra, antes de digitar seus dados pessoais e de pagamento tenha a certeza de que a área que você está é restrita e segura. Isso é possível identificando a barra de endereços do navegador utilizado que muda de “http://” para “HTTPS://. Isso aparecendo observe no lado direito inferior da tela a imagem de um cadeado de segurança, clique sobre ele duas vezes e será aberta uma tela, onde você deve conferir o nome da empresa (que deve ser o mesmo do website) e a validade do certificado (deve ser válido). Lembrem-se, certificados de segurança não garantem que o site é seguro, mas sim que o site é autêntico.
8. Desconfie de empresas que oferecem atendimento exclusivamente por MSN e outros e que oferecem preços “milagrosos”.
9. Identifique se existem selos na página com descrições do tipo “site seguro”, “internet segura” e outros. Esses selos são muito fáceis de serem clonados. Uma forma fácil de saber se é um selo clonado é clicar sobre ele. Se nenhuma janela de validação aparecer, o selo pode ser clonado. Caso apareça a janela de validação, confirme as informações indo até o site que gerencia esse selo e verificando mais itens.
10. Esclareça todas as suas dúvidas diretamente com serviço de atendimento ao consumidor da empresa.
11. Exija sua Nota Fiscal.
12. Lembre-se também que boa parte de sua segurança depende da correta utilização de seu PC.
ATRASOS CONSTANTES NAS ENTREGAS
1. Junte uma cópia dos documentos comprobatórios, elabore uma carta descritiva em duas vias, assine e envie para a empresa em questão.
2. Tome o cuidado de ter descrito na carta, de forma direta, todo o problema. Inclua dados sobre o pedido e informe que você aguardará pelo período de 48 hs para a solução do problema, e que caso isso não se concretize, você tomará as ações que lhe cabem para fazer valer seus direitos, e envie a empresa.
3. Após o envio da carta, não recebendo respostas no prazo estipulado (48hs após a confirmação de recebimento da reclamação formal), execute os passos descritos abaixo.
ESTOU SENDO LESADO
1. Junte os documentos comprobatórios e vá até uma delegacia de polícia, narrando os fatos a uma autoridade competente e fazendo um BO (Boletim de Ocorrência).
2. De posse do boletim de ocorrência, dirija-se a agência bancária que recebeu o crédito de sua compra e solicite os dados do detentor da conta.
3. De posse do BO, dos dados fornecidos pelo banco (caso o banco se negue a lhe dar tais informações, o juiz cuidará disso) e dos documentos que comprovam o ocorrido, dirija-se até o Procon e dê entrada em uma reclamação formal.
4. Após e de posse dos documentos acima citados, dirija-se ao juizado de pequenas causas e dê entrada em um processo contra a empresa para que seus direitos possam valer e você tenha a chance de recuperar o dinheiro perdido.
5. Utilize nosso Blog e demais meios de comunicação e divulgue o fato, apesar de para você infelizmente ser tarde, outras pessoas poderão ser ajudadas a não cair no mesmo golpe.
6. Apesar da sensação de impunidade, evite querer fazer justiça com as próprias mãos e visitar a empresa. Muitas dessas quadrilhas são especializadas e perigosas. Não há dinheiro que pague o preço de nossas vidas.
7. Evite fornecer a essas empresas endereços de sites que trocam informações sobre fraudes, pois isso permite que eles melhorem a cada dia os golpes praticados.
O PRODUTO É MUITO DIFERENTE DA FOTO DO SITE OU CHEGOU COM DEFEITO
1. O artigo 49 do Código de Defesa do Consumidor é válido para a internet.
2. Se a mercadoria chegou com defeito você deve contatar a empresa que lhe vendeu em menos de sete dias a contar da compra, a qual tem a obrigação de trocar por outra igual.
3. Caso a empresa não tenha um produto igual ou semelhante (mesmas características, qualidade e valor), essa é obrigada a devolver seu dinheiro integralmente (parágrafo único do código de defesa do consumidor).
4. Caso a empresa se negue a fazer a troca ou a devolução do valor pago, você deve juntar os documentos comprobatórios e dar entrada no juizado de pequenas causas de sua região para que o juiz defira pelos seus direitos.
A LOJA FRAUDADORA TEM MEUS DADOS PESSOAIS E DE CARTÃO
1. Se você já fez um boletim de ocorrência, dirija-se novamente a delegacia e solicite a autoridade competente um novo boletim de ocorrência de resguardo de direitos e integridade moral.
2. Caso você ainda tenha que fazer o BO, aproveite e solicite isso ao delegado. Esse tipo de BO é válido para quando seus dados são usados indevidamente e seu nome é inscrito em cadastros de proteção ao crédito ou quando os dados são envolvidos em ações ilícitas.
Metagoofil é uma ferramenta para enumeração desenhada para extrair informações a partir do header de metadata de documentos públicos (pdf,doc,xls,ppt,odp,ods) disponíveis no site da rede alvo.
Após varrer o google a procura dos documentos específicados na command line ele irá gerar um html de saída com os resultados do metadata estraído, listando Potenciais Usernames que serão muito úteis para preparar um Brute-Force attack em serviços disponibilizados como por exemplo, pop3, ftp, web applications, vpn, etc. Além disto ele irá extrair também uma lista de PATHs que foram armazenados no Metada, com essa informação é possível o FingerPrint do sistema operacional alvo, nomes de redes, Shared Resources, etc.
Esta nova versão do metagoofil extrai também o MAC Address de documentos Microsoft Office. Agora você pode ter uma idéia do tipo de hardware que o OS alvo está utilizando.
Todas estas informações não deveriam estar disponíveis na internet, porém a grande maioria das empresas não tem políticas para Information Leaking (Vazamento de Informações), isso sem falar que dessa grande maioria, 90% nem sabe que este tipo de informação realmente existe . Com isto você pode mostrar a elas quanta informação um atacante pode obter com uma técnica muito simples.
Como Funciona?
1- Em primeiro lugar o Metagoofil irá procurar no google por documentos públicos sobre determinada empresa. Exemplo, arquivos .PDF (Abaixo segue a Query para Google Hacking).
2- Ele faz download de todos os documentos encontrados para o disco e extrai os Metadata de todos eles, aplicando um filtro para capturar somente as informações realmente interessantes.
3- Exemplo de resultados extraídos por uma sesão de Metagoofil:
Exemplo de lista de Paths disponíveis extraídos do Metadata pelo Metagoofil:
Portanto tenham cuidado com os documentos que você posta na internet, eles podem revelar muitas informações que podem ser utilizadas por atacantes e facilitar a vida deles
- Fornecendo usuários de sua rede,
- Fornecendo informações sobre os hosts que podem ser vítimas de ataque,
- Ajudando a colher dados durante o inicio de um ataque que podem ser utilizados para engenharia social.
. Com isto você pode mostrar a elas quanta informação um atacante pode obter com uma técnica muito simples.
