Quarto episódio da série Retrospectiva 2019: os profissionais da cibersegurança lutam para estar sempre um passo à frente dos cibercriminosos
Nossa série Retrospectiva 2019 entra agora nos avanços da cibersegurança ao longo deste ano. Acompanhe os episódios e aprenda com nossas dicas.
Espião usa nomes e fotos falsificadas por inteligência artificial (deep fakes) para se tornar um contato de suas vítimas através do LinkedIn.
Evidências de que a foto é uma montagem. Fonte: Associated Press
Katie Jones nunca existiu e o LinkedIn já excluiu o perfil. Tenha cuidado e não se deixe levar pela pressa por conseguir um emprego ou fazer conexões que possam lhe trazer algum benefício: não adicione contatos que você não conhece.
Os leitores de digitais trazem segurança e conveniência para bilhões de usuários. A exigência de telas maiores e a retirada dos botões físicos levou vários fabricantes a “esconder” o leitor embaixo das telas sensíveis. A tecnologia evoluiu para detectar a presença de um objeto de três dimensões e não apenas a impressão de uma digital.
No entanto, hackers conseguiram burlar os sensores com uma foto da impressão digital e uma impressora 3D de alta definição. A tecnologia óptica do OnePlus 7 Pro também não passou no teste da falsa digital feita com cola branca (vídeo).
O Samsung Galaxy S10 foi enganado por fotos e vídeos de parentes próximos, pois usa apenas a câmera e não os sensores para identificar o proprietário.
Propagandas infectadas (malvertising) com ransomwares em sites pornográficos renderam R$ 3,5 milhões a Zain Qaiser. Ele agia desde a adolescência e conseguiu esconder seus crimes nas publicidades de sites adultos.
As vítimas que clicassem nessas malvertisings baixavam um malware e, caso não tivessem um antivírus robusto e atualizado, ele assumia o controle do computador, sequestrava dados e o perfil online das vítimas, que tinham de pagar para descongelá-los e tê-los de volta.
Zain Qaiser extorquia visitantes de sites de pornografia. Foto: BBC.
Ele gastou (quase) tudo em hotéis de luxo, cassinos, prostitutas, drogas e artigos de luxo. Foi condenado a 6,5 anos de prisão. A defesa alega que ele sofre de problemas mentais e agiu sob o comando de cibercriminosos russos.
Outro golpe por e-mail afirmava que o site adulto XVideos havia sido hackeado, que você havia sido gravado(a) pela webcam e o vídeo enviado para cibercriminosos. Para tornar tudo mais verídico, eles informavam uma das suas senhas que vazaram na internet. Você teria de pagar para que o vídeo não fosse enviado aos seus contatos pessoais e profissionais.
Estima-se que mais de 289 milhões de e-mails com golpes de sextorsão foram enviados no primeiro semestre deste ano. Eles incluem o nome de usuário ou a senha da vítima no assunto da mensagem e informam que possuem um vídeo da webcam enquanto a vítima assistia pornografia online.
Falha crítica nos cartões SIM das operadoras - a Simjacker - permite extrair dados do celular (código IMEI, dados da bateria, rede, idioma e localização geográfica), clonar o número, interceptar e desligar chamadas, roubar tokens bancários enviados por SMS como autenticação por 2 fatores e outros golpes em serviços pagos (premium).
Os usuários não precisam fazer nada e os sistemas operacionais impedem que aplicativos antivírus possam protegê-los.
Dispositivos da Apple, ZTE, Motorola, Samsung, Google, Huawei e até IoT (com cartões SIM) estão entre as vítimas. Foto: MaisTecnologia
Muita gente pensa que não é preciso ou que não vale a pena atualizar o sistema operacional do celular. Outros, que sabem que isso é importante, esbarram no descaso das fabricantes que não atualizam seus aparelhos, esperando que os usuários comprem novos modelos. O Google exige dois anos de atualizações de segurança e quatro atualizações por ano.
Uma imagem infectada (arquivo .png) nas redes sociais, e-mails ou mensagens do WhatsApp podia invadir bilhões de smartphones sem as atualizações de segurança. A imagem nem precisava ser clicada e os dados pessoais e dos cartões de crédito eram roubados. Infelizmente, não podemos ajudar você, pois a solução está nas mãos da sua operadora e das fabricantes, que precisam atualizar os seus sistemas. Sugerimos que você não envie, não aceite e não abra imagens no formato .png.
Também foi descoberta uma falha de segurança que afeta 1 bilhão de Androids (versões Nougat, Oreo e Pie). Ao usar o visualizador nativo de vídeos, um cibercriminoso pode ganhar o controle total do aparelho. A falha não afeta outros aplicativos (como o Messenger, YouTube ou WhatsApp). Sugerimos que você instale algum aplicativo de vídeo e desative (congele) o nativo nas Configurações de Aplicativos do Android.
Falha crítica nos celulares da Samsung, LG, Huawei e Sony permitem infiltrar um SMS que faz aparecer na tela uma mensagem de atualização da rede de telefonia. Na prática, a falha consegue redirecionar e-mails e todo o tráfego da internet para um servidor malicioso.
Com o encerramento do serviço Coinhive em março, os cibercriminosos procuraram outras formas de abusar do seu navegador ou roteador, como foi o caso dos Mikrotik usados pela operadora Telefonica/Vivo no Brasil.
A mineração de criptomoedas também continuou com malwares dentro de arquivos de áudio (.wav). Sua segurança está em garantir que o malware nunca chegue ao seu computador e, por isso, especialistas aconselham o uso de um antivírus robusto.
O ransomware Android/Filecoder.C ataca dispositivos Android, bloqueia arquivos e exige um pagamento entre R$ 400 e R$ 800 através de moedas digitais. Ele se instala automaticamente via postagens infectadas com conteúdo adulto no Reddit, envia mensagens contaminadas a todos os seus contatos, criptografa e bloqueia o acesso a seus arquivos. Saiba como lidar com esse tipo de ameaça.
Os navegadores mostram um “cadeado” na barra de ferramentas ao usar o protocolo HTTPS, mas cibercriminosos encontraram uma forma de usar falsos certificados que enganam dizendo que “a conexão é segura”. Ao entrar em um site usando as credenciais do Facebook, seu login e senha roubados:
Outro exemplo desse tipo de golpe envolveu o roubo do número, código de segurança (CVV) e senha do seu cartão de crédito do Itaú, além do seu CPF.
Você poderia pensar que a sequência “ji32k7au4a83” seria uma boa senha, mas ela é bem insegura e já vazou várias vezes na internet. Ela significa “minha senha”, em português.
Teclado usado na transliteração do mandarim e muito comum em Taiwan (Foto: Gizmodo/Apple)
A senha mais vazada na internet continua sendo “123456”: evite completamente utilizar o próprio número de telefone, datas de nascimento, time de futebol, cantores e super-heróis. Veja as dicas dos especialistas para criar senhas seguras.
A ferramenta de atualização e suporte remoto que os computadores Dell trazem embutida possui direitos de administrador e pode ser abusada por cibercriminosos que estão na mesma rede Wi-Fi (por exemplo, em uma rede pública ou gratuita). Eles instalam malwares e invadem o sistema.
Pesquisadores também descobriram que com a técnica de injeção de DLL, cibercriminosos podem assumir o controle total do computador Dell. Baixe e instale a versão mais atualizada da ferramenta*.
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.
Denys Nevozhai
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Política de Privacidade