????? ???��???, ??????��???????

?? ???��?? ??��?? ??

Pablo Nogueira — Fri, 27 Sep 2024 18:45:09 +0000

Hackers estão usando o TikTok como ferramenta para um novo esquema de phishing que rouba credenciais de usuários do Microsoft Office 365.

A informação é da empresa de cibersegurança Cofense, que publicou um relatório, na última quinta-feira (25), detalhando a descoberta. De acordo com o informe, hackers estão enviando emails de phishing ameaçando deletar todos os emails do Outlook, caso o usuário não clicar em um botão.

O interessante é que esse botão no email da Microsoft direciona o usuário para o TikTok, pois os hackers usavam o endereço do app para engajar os ataques. Mais interessante ainda é que a URL e o IP são do Brasil. Na verdade, são duas URL com �?com.br�?e um IP brasileiro.

Como a URL do TikTok costuma aparecer na bio de perfis com links para sites externos, o endereço pode redirecionar o visitante para qualquer site que os hackers quiserem, explica a Cofense.

Se o usuário da Microsoft que recebeu o email não perceber a artimanha e clicar no botão, haverá diversos redirecionamentos, passando pelo TikTok, até chegar a uma página similar a do Microsoft 365.

Hackers do Brasil por trás do phishing da Microsoft pelo TikTok?

A URL do TikTok em questão pertence ao perfil da empresa “Rei do Purificador�? de Goiânia. Após clicar no botão, o usuário é redirecionado desde o perfil da empresa brasileira no TikTok até o site fake da Microsoft. A página é hospedada pelos hackers em um servidor dos EUA.

O falso domínio da Microsoft com a URL “ecomadeiras.com.br�? Na aba ao lado, é possível observar a página falsa do TikTok de outra empresa brasileira. Imagem: Joe Sandbox Basic/Divulgação

O site malicioso, com a logo da empresa e todos os elementos, consegue até preencher automaticamente as credenciais do usuário para dar mais “legitimidade�?

No entanto, como o site é falso e controlado pelos hackers, quaisquer informações, incluindo senhas, vão parar diretamente nas mãos dos criminosos.

Veja como funciona o esquema: �?/h4>

Embora o uso do TikTok pareça uma novidade, o método não é tão diferente de outros ataques de phishing, que usam redes sociais. E também não é raro a presença de IPs brasileiros.

Aliás, em junho deste ano, uma usuária do Microsoft 365 revelou receber alerta de atividades suspeitas em sua conta por IPs do Brasil logo após renovar a assinatura do pacote �?mas sem o uso do TikTok.

The post Hackers estão usando páginas do TikTok para invadir contas da Microsoft appeared first on Giz Brasil.

?? ??��?? ??��?? ???

Murilo Tunholi — Sun, 07 Apr 2024 14:04:09 +0000

O email é não só a principal forma de comunicação digital. É também o meio preferido de ataque dos cibercriminosos. No Brasil, 92% da população troca mensagens pelo serviço, sendo que 61% utilizam diariamente, segundo dados do Netexperts, de 2023. Com tantos usuários ativos, é importante ficar atento para manter a segurança do email e evitar cair em golpes de phishing, por exemplo.

Apesar das plataformas de email terem escuros de proteção próprios para inibir ações ilícitas, existem formas de se proteger de forma individual.

Nas linhas a seguir, o Giz Brasil lista cinco hacks práticos que deixam suas mensagens mais seguras.

Analise suspeitas de phishing

Os ataques de phishing costumam ser bastante utilizados por hackers para obter acesso aos dispositivos e contas, e milhões de pessoas são vítimas a cada ano. O golpe começa ao receber um email de aparência legítima pedindo para clicar em um link ou baixar um anexo.

O link pode solicitar a senha do conta �?isto é, o cibercriminoso tem acesso direto às credenciais – ou baixar um software mal-intencionado.

No dia a dia, preste muita atenção aos sinais de possíveis ataques de phishing, como endereços de email não oficiais e mensagens com erros ortográficos. Nunca baixe ou clique em nada de alguém que você não conhece.

Habilite a autenticação de dois fatores

As medidas de autenticação de dois fatores (2FA) são simples, mas poderosas. Ao serem ativadas, elas garantem que, mesmo que alguém tenha a senha do email, ainda será necessário autenticar o acesso por meio de códigos, impressões digitais, entre outros recursos para visualizar as mensagens.

Algumas formas de autenticação, como a verificação por SMS ou e-mail, são menos seguras do que outras. É recomendado optar pela 2FA que depende de um token gerado aleatoriamente durante um intervalo de tempo. Assim, sempre haverá um número novo para entrar na conta.

Configure uma senha realmente forte

Um estudo de 2023, realizado pela NordPass, identificou que as senhas mais comuns no Brasil e no mundo são muito simples. Aqui no país, senha mais popular da edição de 2023 foi “admin�? com mais de 200 mil utilizações. Já a senha �?23456�?aparece em segundo lugar, com 137 mil utilizações.

As credenciais muito simples facilitam o acesso de pessoas indesejadas ao email, criando riscos de segurança.

Ao escolher uma senha para a conta, é ideal misturar letras, números e símbolos, quando possível. Dá até mesmo para usar um gerador de senhas aleatórias para criar um código bastante complexo e seguro. Só é preciso anotar a sequência em algum lugar para não esquecer.

Verifique a segurança do email em outros dispositivos

Os emails estão tanto nos computadores quanto nos celulares e tablets. A fim de invadir a conta de alguém, os cibercrimonosos podem roubar outros dispositivos menos protegidos e instalar softwares de keylogging ou spywares.

Por isso, é importante investir na segurança de todos os aparelho com acesso às contas de email. Isso vale não só para senhas mais fortes, como também métodos eficazes de segurança física do celular ou tablet, como manter sempre no bolso ou em um lugar visível.

Treine funcionários nas melhores práticas de segurança para email

No dia a dia profissional, emails chegam aos montes. Muitas vezes, funcionários de empresas não param para analisar com calma as mensagens e os endereços de onde vieram, pensando que todas são confiáveis e seguras. Porém, é esse pensamento que atrai cibercriminosos.

Nas empresas, é importante fornecer treinamentos, cursos e apresentações sobre segurança nos emails. Mesmo usuários mais experientes se tornam vítimas de golpes, pois um instante de desatenção pode abrir uma vulnerabilidade na caixa de entrada.

Embora pareçam simples, dicas como verificar os endereços dos remetentes, abrir anexos com cuidado e verificar links antes de clicar podem garantir mais segurança ao email no dia a dia.

The post 5 hacks de email práticos para aumentar a segurança das mensagens appeared first on Giz Brasil.

???? ��??? ??? ??? | ????- ??? ??? ????

Isabela Oliveira — Fri, 24 Nov 2023 16:04:14 +0000

A Black Friday 2023 já chegou, e para ajudar o consumidor a comprar com segurança, o Procon-SP (Fundação de Proteção e Defesa do Consumidor), vinculado à Secretaria de Justiça e Cidadania do Governo de São Paulo, divulgou uma lista com 78 sites de compras para evitar – quase o dobro em relação ao ano passado.

O ranking inclui as empresas não responderam às queixas de consumidores mesmo após notificação do órgão de defesa e está sempre em atualização. No site, o consumidor encontra o nome de todas as companhias, bem como seus endereços virtuais e CNPJs. Clique aqui para conferir.

Além disso, a Fundação criou na área de registro de reclamações de seu site um “selo” para facilitar os registros de reclamações durante o período de promoções. O objetivo é auxiliar os consumidores em suas transações, evitando falsos descontos.

Dicas do Procon-SP para a Black Friday

Além disso, o Procon-SP lançou uma série de vídeos em seu canal no YouTube e nas redes sociais com dicas da especialista em defesa do consumidor do órgão, Ligiane Serrano, para a hora das compras. Veja algumas das principais recomendações:

pesquisar o histórico dos preços dos produtos desejados;
conferir se o valor do produto se manterá durante todo o processo de compra;
ter cuidado com falsas promessas de descontos enviadas por e-mail ou redes sociais.

O Procon-SP desaconselha o acesso de links de ofertas recebidas por e-mail, WhatsApp e redes sociais. Isso porque eles podem levar a golpes de phishing. A tática cria sites falsos a partir de temas de interesse das vítimas como isca para atraí-las a compras enganosas.

Além disso, atualize softwares e antivírus antes das compras e veja também 5 dicas do Giz Brasil para se preparar e não cair de paraquedas na Black Friday deste ano.

The post Procon divulga lista de sites para ficar com pé atrás nesta Black Friday appeared first on Giz Brasil.

??????��??????

Bruno De Blasi — Mon, 20 Nov 2023 19:04:28 +0000

Falta pouco para a Black Friday 2023! Apesar de ser uma data próspera para comerciantes e consumidores, a euforia do momento também é explorada por golpistas para aplicar fraudes com ofertas falsas e outras ameaças. Existem algumas técnicas que ajudam a tornar as compras mais seguras, de acordo com especialistas ouvidos pelo Giz Brasil. Confira as dicas a seguir!

Atualize o seu celular e o seu computador para conter brechas de segurança (Imagem: Santeri Viinamäki/Wikimedia Commons)

Atualize seu celular, computador e tablet

Começando pela atualização de software. Rodrigo Rocha, gerente de arquitetura de soluções da Compugraf, observa que os updates ajudam a corrigir brechas e outras vulnerabilidades. O processo, que deve ser realizado desde o sistema operacional até os apps e navegadores, evita o acesso indevido a dados pessoais, por exemplo.

O gerente e especialista em segurança da informação da Trend Micro Brasil, Flávio Silva, destaca que o procedimento também leva melhorias aos padrões de segurança. “Essa constante evolução é crucial para manter a robustez do sistema diante das ameaças em constante mutação no cenário digital�? explicou.

A prática deve ser frequente e realizada tanto no computador quanto no celular e tablet. Para realizá-la, acesse as configurações do sistema operacional para buscar novas versões. Também verifique se há novidades nas lojas de aplicativos, como a Play Store, App Store e Microsoft, e nos navegadores.

Alguns antivírus também auxiliam os usuários no processo de atualização de apps e navegadores.

Use um antivírus para evitar o roubo de dados na Black Friday 2023 (Imagem: Moritz Erken/Unsplash/Reprodução)

Use um antivírus

A atualização não é o único elemento que ajuda a fortalecer a resistência dos softwares. O antivírus é um escudo que torna o celular, computador e o tablet mais protegidos contra ameaças digitais.

Além da varredura de arquivos, os antivírus contam com outros elementos importantes para manter os dispositivos seguros. Entre eles, os recursos para filtrar sites suspeitos e impedir o download de arquivos suspeitos ou maliciosos.

O computador, no entanto, não é o único dispositivo que requer esse tipo de proteção. O especialista da Trend Micro lembra que os celulares e tablets armazenam informações extremamente sensíveis, até mais que os PCs. É o caso de apps bancários, que já foram alvos de malwares para desviar transferências via Pix.

“A presença de um antivírus no celular é crucial para combater malwares e ameaças específicas desses dispositivos, realizando análises e filtragens de aplicativos maliciosos�? apontou. O engenheiro do IEEE, Gabriel Gomes de Oliveira, também destaca que a segurança adicional nos dispositivos móveis é sempre importante.

Cuidado com o phishing na Black Friday 2023 (Imagem: Christiaan Colen/Flickr)

Cuidado com o phishing!

O antivírus é uma ferramenta importante, mas ele não age sozinho. Todos os dias, golpistas espalham iscas para levar as vítimas para páginas falsas. Essa técnica, conhecida como phishing, é uma das principais táticas de engenharia social da atualidade e se aproveita da distração das vítimas para roubar dados pessoais.

Não à toa, o gerente da firma de segurança digital Compugraf destaca que é importante clicar em links confiáveis. Especialmente se receber uma promoção imperdível por e-mail, daquelas que chegam a ser difíceis de acreditar.

“Para evitar cair nesse tipo ataque, sempre que receber um e-mail com uma promoção, o usuário deve verificar o remetente, passar o mouse sobre o link para ver se o endereço que será direcionado é realmente da loja que enviou o e-mail e se possível entrar no site da loja, sem clicar no link enviado, para ver se essa promoção existe no site�? disse Rodrigo Rocha.

Portanto, recebeu uma mensagem ou e-mail de remetentes desconhecidos ou de sites que você nunca comprou? Desconfie!

A autenticação em duas etapas é mais um elemento que ajuda a evitar ataques via phishing. “Por mais que um atacante consiga obter a senha de um site ou aplicativo, ele terá que ter acesso ao segundo fator de autenticação para concluir o ataque�? disse Flávio Silva, especialista da Trend Micro Brasil.

O método está disponível em boa parte dos serviços digitais da atualidade. Além dos serviços de e-mail, redes sociais, como o Instagram, Facebook, Twitter e WhatsApp já oferecem esse recurso. As lojas virtuais também optam por esse mecanismo para evitar acessos indevidos ou até mesmo compras não autorizadas, por exemplo.

Mantenha os apps de banco atualizados (Imagem: Reprodução)

Atualize os aplicativos de banco

Ao Giz Brasil, a Federação Brasileira de Bancos (Febraban) destacou que é importante manter as plataformas das instituições financeiras atualizadas. Assim, os usuários instalam correções para mitigar vulnerabilidades. Esse processo ainda otimiza o funcionamento dos apps e também leva novidades aos usuários.

“Os aplicativos dos bancos contam com o máximo de segurança em todas as suas etapas, desde o seu desenvolvimento até a sua utilização�? disse a representante do setor bancário. “Não há registro de violação da segurança desses aplicativos, os quais contam com o que existe de mais moderno no mundo para este assunto.�?/p>

Outro ponto crítico gira em torno do armazenamento de senhas e outras informações pessoais. Afinal, o hábito de guardar credenciais em blocos de notas, e-mails ou até mesmo em mensagens de WhatsApp, não é anormal. Também há situações em que os clientes repetem as senhas bancárias em outros serviços.

Para evitar sustos e acessos indevidos, essas práticas devem ser evitadas. Ao armazenar as credenciais de acesso, é importante utilizar serviços seguros e voltados para esta finalidade, como o 1Password. Além disso, é necessário utilizar senhas únicas e fortes, especialmente nas instituições financeiras.

A Febraban também lembra que os bancos nunca ligam para os clientes solicitando a instalação de apps e recomenda evitar links desconhecidos enviados por e-mail, SMS e aplicativos de mensagens.

“Monitore sempre sua conta e as transações realizada tanto na conta corrente como nos cartões de crédito�? observou Flávio Silva, da Trend Micro. “Caso note algo atípico, entre em contato com seu banco ou administradora de cartão para relatar e bloquear o cartão.�?/p>

Faça compras com segurança na Black Friday 2023 (Imagem: Reprodução)

Faça compras com segurança

A Vurdere, que oferece serviços para o setor de e-commerce, orienta a comprar em lojas conhecidas, além de conferir a reputação do canal. Além disso, é importante utilizar conexões seguras, evitando redes Wi-Fi públicas ao fazer as transações comerciais.

“Use sites e aplicativos oficiais, pesquise sobre a loja antes de efetuar a compra, fique atento para mensagens enganosas enviadas que podem ser enviadas por diferentes canais, como, email e até WhatsApp�? disse Glauco Sampaio, superintendente executivo de segurança (CISO) e privacidade da Cielo.

Também é preciso desconfiar de ofertas muito boas ou com diferenças muito absurdas. E para evitar contratempos com o banco, dê preferência aos cartões virtuais ao fazer compras. Principalmente aqueles que só podem ser utilizados em uma única transação, evitando a clonagem e o uso em outras transações.

Em caso de problemas, lembre-se do Código de Defesa do Consumidor. Laura Morganti, sócia da área de Relações de Consumo do FAS Advogados, destaca algumas regras da legislação, como o Direito de Arrependimento.

Ou seja, em caso de desistência ou arrependimento, os clientes têm sete dias para devolver, sem justificativa, compras feitas pela internet.

O código também traz proteções contra propaganda enganosa. “Qualquer prática no sentido de aumentar os preços antes da Black Friday e, na data, oferecer descontos é considerada abusiva e ilegal�? disse. Além disso, os consumidores têm direito à garantia de 90 dias para produtos duráveis e de 30 dias para produtos não duráveis.

The post Black Friday 2023: atualize softwares e antivírus antes das compras; veja dicas appeared first on Giz Brasil.

?????? ??��??????, ???��???????

Bruno De Blasi — Thu, 02 Nov 2023 20:30:59 +0000

O QR Code ficou mais popular depois da pandemia. Mas é preciso tomar cuidado: os ataques de phishing pelo recurso aumentaram 587% entre agosto e setembro. É o que mostra um alerta da Check Point Research divulgado nesta quinta-feira (26).

O levantamento aponta a incidência do quishing (phishing por QR Code). A técnica se aproveita de códigos inocentes que, a olhos nus, são inofensivos. As imagens, no entanto, levam a sites maliciosos para roubar dados ou infectar dispositivos.

A analogia é utilizada pelo pesquisador e analista de cibersegurança da Check Point Software, Jeremy Fuchs. “A imagem do QR Code pode ocultar um link fraudulento e, se a imagem original não for digitalizada e analisada, aparecerá como uma imagem normal�? explica.

Para exemplificar o ataque, a firma chega a citar um e-mail falso, que ressalta a necessidade de atualizar o token da autenticação de dois fatores. Assim, os usuários só precisam ler o código para acessar um site e realizar o procedimento.

Mas o código é falso e leva as vítimas a uma página para roubar dados de acesso à conta da Microsoft. Essa estratégia tem como alvo perfis pessoais e corporativos.

QR Code é usado para leitura de cardápio de restaurantes (Imagem: Reprodução)

Como evitar phishing via QR Code?

Antes de tudo, é preciso ressaltar que o QR Code não é inseguro. A solução facilita o acesso à sites, especialmente em momentos de pressa. É o caso dos cardápios: ao apontar câmera para a imagem, é possível conferir os pratos pelo celular.

A tecnologia, por outro lado, é utilizada para fraudes. Portanto, antes de ler um código enviado por e-mail, verifique o remetente e se a mensagem traz algo suspeito.

Também é importante conferir o endereço apontado pela imagem. No geral, a câmera dos celulares indica o link do código durante a leitura, antes mesmo de acessá-lo. Veja se o site traz algo suspeito, como caracteres que imitam letras.

Por exemplo, o uso da letra “L�?minúscula se passando pela letra “I�?maísculo, ficando “glzmodo.emiaow553.com�?para fingir que é “gizmodo.emiaow553.com�?

Fuchs também dá dicas para profissionais de segurança. Entre elas, o uso do reconhecimento óptico de caracteres (OCR, em inglês). E, além disso, técnicas de inteligência artificial para detectar as ameaças nos servidores de e-mails.

“Os cibercriminosos estão sempre tentando novas táticas e, às vezes, revivendo métodos antigos. Outras vezes, elementos legítimos, como QR Codes, são apropriados�? ressaltou. “Seja o que for, é fundamental ter um kit de ferramentas completo para responder contra tais ataques e para proteção.�?/p>

Brasil é a principal vítima de ataques DDoS da América Latina (Imagem: Moritz Erken/Unsplash/Reprodução)

Brasil é o principal alvo de DDoS da América Latina

Esta não é a única preocupação do brasileiro. Um relatório da Netscout, empresa de segurança cibernética, aponta que o Brasil é o principal alvo de ataques de DDoS (ataque de negação de serviço) da América Latina pelo 10º ano consecutivo.

Contudo, o levantamento leva em consideração as ameaças do primeiro semestre de 2023. No período, o país foi vítima de quase 330 mil ataques dessa natureza, concentrando cerca de 42% dos incidentes da região.

Ao todo, a América Latina foi alvo de 785 mil ataques DDoS.

The post Ataques com phishing via QR Code crescem quase 600%; saiba como se proteger appeared first on Giz Brasil.

??? ??? ??? ?? ? ??��????????? ??

Julia Possa — Mon, 22 May 2023 17:37:01 +0000

Desde os primórdios da internet, uma coisa é fato: todo mundo odeia e-mail superlotado de spam. Seja com correntes de azar, promessas de brindes ou links de venda, ter que apagar esses e-mails é sempre cansativo e desperdiça mais tempo que gostaríamos.

A má notícia é que esse método dificilmente vai cair no ostracismo. Como cada vez mais pessoas estão online e o e-mail continua sendo uma parte importante da nossa presença online, mais empresas usam o e-mail para alcançar clientes em potencial.

Mas existem algumas formas de vencer a guerra contra o spam �?ou, se não a guerra, pelo menos algumas boas batalhas. Confira a seguir cinco dicas para burlar esses e-mails indesejados.

1- Não abra o que é obviamente spam

Não tem jeito: muitos spam vão furar a proteção básica dos e-mails e acabar na sua caixa de entrada. Se isso acontecer, não abra. Isso vai impedir que o remetente saiba que seu endereço está ativo.

2- Crie um e-mail só para eles

É chato ter que fornecer o e-mail real para que empresas façam sua propaganda e, muitas vezes, ainda vendam o nosso endereço para outras companhias de marketing. Uma boa saída, nesse caso, é criar um e-mail só para esses casos.

Quer concluir uma compra sem receber spam todos os dias depois disso? E-mail de spam. Pintou um desconto legal e a loja exige o endereço? E-mail de spam. Alguns serviços online, como o E-mail de 10 Minutos e o Guerrilla Mail, criam e-mails descartáveis que duram de 30 a 60 minutos. Os dois são gratuitos.

3- Crie filtros

Os filtros de e-mail permitem o bloqueio ou a categorização de endereços e domínios específicos. Por isso, basta configurar um filtro com todos os e-mails indesejados que você anda recebendo ultimamente e eles irão para a lixeira antes de chegar à caixa de entrada.

No Gmail, basta acessar o ícone no canto direito dentro da barra de pesquisa, adicionar os critérios e ir em “criar filtro�?

4- Cancele assinaturas

Se a sua caixa já tem um bom filtro, mas você continua recebendo spam de um remetente específico, role o e-mail até o final e clique em “cancelar inscrição�? nas letras miúdas.

Em casos mais extremos, opte por serviços que permitam o cancelamento de assinaturas facilitado, como o Unroll.Me. O sistema é gratuito e funciona em diferentes provedores de e-mail, como o Gmail, Yahoo, iCloud e Outlook.

5- Software anti-spam

Essa também é uma boa arma para a guerra contra spam. São softwares instalados no computador ou servidor de e-mail que bloqueiam a entrada de lixo eletrônico na caixa de entrada automaticamente. Alguns bons exemplos no mercado são o Mailwasher (gratuito) e os SpamTitan e SpamFighter (pagos).

Como saber o que é um spam

Os métodos de spam já estão tão sofisticados que muitas vezes fica difícil saber se aquele é, ou não, um e-mail indesejado. Também é comum que muitos links de phishing invadam dispositivos via caixa de entrada disfarçados de links de compras e descontos exclusivos.

Para evitar fraudes, fique atento aos detalhes. Verifique o endereço de e-mail, linha de assunto e conteúdo. Se for de um remetente desconhecido, ter erros ortográficos ou gramaticais, provavelmente é spam.

Também desconfie se a oferta for boa demais para ser verdade. Muitos autores de malware já usam IA (inteligência artificial) para criar e-mails tão bem escritos quanto os originais. Nesse caso, o mais importante é olhar para o endereço e para a diagramação, que possivelmente trarão algum indício da fraude.

Por fim, mas não menos importante: não responda mensagens de spam. Isso só levará a mais mensagens indesejadas e poderá criar problemas de segurança. Na dúvida, mande direto para a lixeira e bloqueie o contato.

The post Como vencer a guerra contra o spam com 5 dicas appeared first on Giz Brasil.

????? ??��??????, ??????

Pablo Nogueira — Fri, 28 Apr 2023 23:07:42 +0000

A IA generativa pode facilitar golpes e phishing por e-mail. É o que diz um relatório da Darktrace, uma empresa anglo-americana de cibersegurança.

A empresa, que atende mais de 3.000 clientes, viu um aumento nos ataques de engenharia social por e-mail desde o começo de 2023.

De acordo com a empresa, essa nova onda de ataque conta com uma diferença linguística em relação aos ataques antigos. Isso pode indicar o maior uso de ferramentas de IA generativa, como o ChatGPT da OpenAI.

“Os e-mails têm menos erros, frases mais longas e bem pontuadas, tópicos mais interessantes e persuasivos. Eles tentam induzir as pessoas a fazer algo”, disse Max Heinemeyer, diretor de produto da Darktrace, falou ao IT Brew

A Darktrace compara os ataques de phishing aos anteriores em centenas de métricas. Os dados recentes “apontam para uma mudança nas técnicas, ferramentas e procedimentos, pelo menos no cenário de ameaças por e-mail”, disse Heinemeyer. Ou seja, a IA generativa pode ajudar os ataques a se adaptarem aos alvos específicos.

Já há evidências de que a IA generativa está sendo usada em golpes e fraudes. Por exemplo, o Washington Post relatou que criminosos cibernéticos usam clonagem de voz para enganar familiares de vítimas nos EUA a transferir dinheiro para emergências.

A Darktrace também fez uma pesquisa com 6.711 funcionários nos EUA, Europa e Austrália em março de 2023. A pesquisa descobriu que cerca de 70% dos entrevistados viram um aumento nos e-mails e mensagens de texto fraudulentas nos últimos seis meses.

The post Como a IA generativa está facilitando os golpes por e-mail appeared first on Giz Brasil.

????? ��????�� ???? ??? ??

Julia Possa — Wed, 08 Mar 2023 20:36:00 +0000

A volta da consulta de “dinheiro esquecido�?na ferramenta Valores a Receber, do Banco Central, na terça-feira (7), fez com que muitos criminosos aproveitassem a deixa para atrair pessoas em golpes e fake news.

Nesses casos, é comum que quadrilhas criem sites e e-mails falsos com links que podem infectar dispositivos com vírus e causar desde o roubo de dados até os chamados ramsonwares �?arquivo malicioso que invade computadores e “sequestra�?dados em troca de resgate.

O mais frequente é que os criminosos usem elementos visuais que imitam o site do Banco Central. Eles também se apropriam de termos como “Valores a Receber�? “BCB�? “registrato�?e “gov�?no nome do domínio para aplicar os golpes. O objetivo é fazer as vítimas pensarem que se trata de um site verdadeiro.

Outra característica são mensagens que despertam sintomas emocionais, como senso de urgência, escassez e até a possibilidade de conseguir “dinheiro fácil�? Veja um exemplo de mensagem falsa:

VOCÊ TEM VALORES A RECEBER!

Consulte agora e descubra se você tem algum valor a receber e saque imediatamente via PIX!

CONSULTE AGORA

https : //[email protected]/go/

você pode ter algum valor a receber relacionado a:

Herança;

Benefícios esquecidos;

Direitos esquecidos;

Dinheiro esquecido em alguma conta bancária.

Mais de 20 Milhões de Brasileiros já sacaram!

CONSULTA LIBERADA PARA TODOS ATÉ 31/03/2023

Atenção aos detalhes

O único site onde é possível consultar Valores a Receber é o //valoresareceber.bcb.gov.br. Esse também é o único espaço onde os cidadãos têm informações sobre como solicitar a devolução dos valores, sejam eles de empresas ou familiares que já morreram.

Esse serviço do Banco Central é 100% gratuito. Se alguém ligar ou enviar uma mensagem (SMS e WhatsApp) pedindo dinheiro para “disponibilizar�?o valor de resgate, recuse imediatamente. “Todos os serviços do Valores a Receber são totalmente gratuitos. Não faça qualquer tipo de pagamento para ter acesso aos valores�? reitera o BC.

Outro ponto é que o BC jamais entrará em contato com os cidadãos para “avisar�?que existe dinheiro disponível para resgate. A autarquia não envia links nem entra em contato para tratar sobre valores a receber, e muito menos para confirmar dados pessoais.

Quem pode ligar?

Se o usuário solicitou o valor pelo sistema e informou os dados pessoais, a instituição bancária onde o dinheiro foi “esquecido�?pode entrar em contato por telefone ou e-mail para confirmar a identidade ou tirar dúvidas sobre a devolução.

Mas fique atento: somente essa instituição pode fazer o contato, e nenhuma outra. Além disso, ela nunca pedirá a senha do usuário. Não existem “empresas�?ou “terceirizados�?autorizados pelo Banco Central para atuar como seus intermediários.

E, por último, mas não menos importante: não clique em links suspeitos enviados por e-mail, WhatsApp ou Telegram, e não compartilhe ou divulgue informações pessoais com desconhecidos. Através de seus dados, pessoas má intencionadas podem, sim, fazer a consulta e tentar resgatar os valores.

Os saques de Valores a Receber, do Banco Central, podem beneficiar mais de 38 milhões de pessoas físicas e mais de 2 milhões de empresas brasileiras. Ao todo, mais de R$ 9 bilhões podem voltar para circulação.

The post Valores a Receber: veja como não cair em golpes e fake news appeared first on Giz Brasil.

??? ???��??????, ??????

Julia Possa — Sat, 18 Feb 2023 19:32:07 +0000

Quando as forças militares da Rússia entraram em definitivo na região de Donbass, no leste da Ucrânia, em 24 de fevereiro de 2022, hackers patrocinados pelo Kremlin aumentaram seus ciberataques contra alvos ucranianos em uma ofensiva “quase constante�?

Essa é a conclusão de um relatório do Google divulgado na quinta-feira (16) pelo TAG (Grupo de Análise de Ameaças), pouco antes da Conferência de Segurança de Munique. Segundo o documento, as tentativas de invasão a sites da Ucrânia subiram 250% ante 2020, ano em que o número de ataques cibernéticos saltou na ex-nação soviética.

Algumas das operações de hackers apoiados pelo governo russo contra a Ucrânia chamam a atenção. Em 16 de março de 2022, um malware destrutivo infectou uma organização ucraniana não identificada com um vírus que limpou todos os discos rígidos do órgão.

No mesmo dia, supostos invasores russos teriam se infiltrado em uma empresa de mídia para espalhar a informação de que Kiev se renderia a Moscou em breve. O “vazamento�? como se mostrou depois, era falso.

Em seguida, um vídeo deepfake (foto) viralizou. As imagens mostravam o presidente ucraniano, Volodimir Zelensky, afirmar que o país logo “desistiria de sua luta�? Desde então, os ataques foram mais direcionados aos ministérios da Defesa e Relações Exteriores da Ucrânia, assim como à Agência Nacional de Serviços do país.

Guerra híbrida

Os ciberataques continuaram a se repetir ao longo do último ano em meio a bombardeios e ofensivas militares da Rússia e Ucrânia. Isso deu ao conflito cara de “guerra híbrida�?�?disputa que reúne operações militares tradicionais com armas digitais e propaganda online.

“Há um padrão de ataques disruptivos simultâneos, espionagem e operações de informação�? diz o relatório. “Provavelmente a primeira instância de todos os três sendo conduzidos simultaneamente por atores estatais em uma guerra convencional�?

O Google teve acesso às informações a partir de dados de sua vasta base de usuários. A partir disso, cruzou com informações complementares da empresa de inteligência de ameaças Mandiant, adquirida em setembro, e Google Trust & Safety.

Juntos, os dados mostram que os milhares de ataques digitais integram um “ataque russo geral�? “[É] um esforço multifacetado para obter uma vantagem decisiva em tempo de guerra no ciberespaço, muitas vezes com resultados mistos�? concluiu a análise.

“Há uma atividade significativa acontecendo aqui�? escreveu Shane Huntley, diretor sênior do Grupo de Análise de Ameaças do Google. “Vemos uma barreira constante de ataques em todas as frentes, mas isso não significa que há um sucesso significativo ou que eles tiveram grandes vitórias críticas�?

Cibercriminosos mais ativos

Os hackers supostamente apoiados por Moscou intensificaram seus ataques contra a Ucrânia e outros países apoiadores de Kiev ainda em 2021. A maioria agia com extensas campanhas de phishing, golpe que engana os usuários para roubar senhas de acesso a sites e aplicativos.

De setembro a outubro de 2021, o grupo que o Google chama de “Frozen Vista�?enviou mais de 14 mil e-mails de phishing. O material teve vários países como destino em um período de 11 dias.

Em 2022, o grupo conhecido como Pushcha intensificou seus esforços a partir de fevereiro �?o mês de maior tensão no conflito e que culminou na invasão russa em Donbass. Segundo a Mandiant, os ataques cibernéticos na Ucrânia foram mais destrutivos durante os primeiros quatro meses de 2022 do que nos oito anos anteriores.

Para comparação, hackers russos atacam a Ucrânia desde o impasse sobre a Crimeia, península anexada unilateralmente por Moscou em 2014. Em 2017, um malware do grupo russo NotPetya mirou órgãos ucranianos, mas respingou em outros países. Os danos são estimados em US$ 10 bilhões ao redor do mundo.

Não é só contra a Ucrânia

Países da Otan (Organização do Tratado Atlântico Norte) também receberam mais ataques cibernéticos desde o início da guerra. Segundo o relatório, os aliados da Ucrânia registraram aumento de 300% nas campanhas de phishing em comparação a 2020.

Reino Unido e EUA já culparam a Rússia por um ataque a uma rede de satélites que resultou em apagões em partes da Ucrânia durante o conflito armado. Enquanto isso, autoridades de Kiev dizem que a atividade cibernética quer “desestabilizar�?a Ucrânia na guerra.

No relatório, o Google diz que não está claro se os ciberataques da Rússia contra a Ucrânia estão integrados e coordenados com as operações militares tradicionais. “Há integração ou são independentes? É difícil dizer, há poucos indícios sobre isso�? pontuou Huntley.

Em janeiro, o exército da Noruega estimou que a guerra entre Rússia e Ucrânia ultrapassa os 100 mil mortos ou feridos. Desses, 30 mil são civis. Moscou e Kiev deixaram de divulgar seus balanços de perdas há meses.

The post Rússia não parou de lançar ciberataques à Ucrânia desde invasão, diz Google appeared first on Giz Brasil.

??????? ?? ???��??????

Julia Possa — Wed, 04 Jan 2023 16:33:47 +0000

O programa de geração de texto ChatGPT, da OpenAI, é considerado a última tecnologia em inteligência artificial. Isso porque ela pode fazer muitas coisas �?inclusive opinar sobre si mesmo. Questionado pela revista Scientific American, o chatbot elencou motivos pelos quais deveria ser regulamentado. E não se saiu nada mal.

O robô afirmou que é importante ficar sujeito a alguma forma de regulamentação. Isso porque, à primeira vista, pode parecer como qualquer outro chatbot. Mas ele argumenta ser muito mais que isso: consegue gerar textos como um ser humano e responder a diversos tópicos com altos níveis de fluência.

“Esse nível de sofisticação levanta preocupações sobre o uso potencial do ChatGPT para fins nefastos, como se passar por indivíduos ou espalhar desinformação�? escreveu o robô sobre si mesmo.

Mas a regulação passa por um equilíbrio, defendeu. “Regulamentações excessivamente rígidas podem sufocar a inovação e impedir que a tecnologia alcance todo o seu potencial. Por outro lado, a regulamentação insuficiente pode levar a abusos da tecnologia�? afirmou.

Ele ainda apresenta uma solução: criar um órgão regulador encarregado de supervisionar o uso do ChatGPT e de outros modelos de linguagem. Essa entidade seria responsável por desenvolver e aplicar regulamentos sobre a tecnologia, além de trabalhar para garantir o uso ético da ferramenta.

Como funciona

Para acessar o ChatGPT, basta acessar o site da OpenAI e digitar um comando, ou prompt. Em seguida, a conversa começa.

O programa produz suas respostas com base na previsão de texto �?ou seja, o treinamento partiu de milhões de exemplos da escrita humana disponíveis online. Isso permite que o programa preveja qual palavra deve seguir a anterior para que se pareça com uma linha de raciocínio inteligível.

Mesmo que seja bastante sofisticado e realista, o ChatGPT não pensa por si mesmo. Ele só reproduz, como um papagaio. Isso significa que pode emitir informações falsas e ilógicas, mas que parecem “verdadeiras�?por causa dos efeitos de credibilidade transmitidos no texto.

Por isso, é possível diferenciar a escrita do robô da de um ser humano �?pelo menos por enquanto. O texto é fluente e coerente, mas nem sempre é possível gerar respostas sutis e criativas como as escritas pelos humanos.

Além disso, a inteligência artificial pode incluir repetições ou combinações incomuns, além de não demonstrar sinal de experiências pessoais ou conhecimento de mundo.

“Grandes modelos de linguagem não sabem nada além do que está nos dados nos quais foram treinados�? disse o ChatGPT. “Como resultado, suas respostas podem ser limitadas aos tópicos e informações contidas nos dados de treinamento�?

Questão de segurança

Por isso, um problema em potencial do ChatGPT é a disseminação de desinformação. Segundo o próprio, isso acontece porque, como o treinamento parte da escrita humana, é possível que espalhe dados incorretos acidentalmente ou porque respondeu ao comando de usuários mal intencionados.

Um exemplo é o uso da ferramenta por golpistas. Na terça-feira (3), o site norte-americano Axios relatou que hackers estão usando o recurso para escrever os textos de seus ataques de phishing e malware.

Isso porque, além de acelerar o desenvolvimento dos esquemas, o recurso garante que a linguagem das mensagens online usadas nos ataques será fidedigna. Por isso, o ChatGPT reitera: ele não é humano, só soa como um.

“O uso do termo “semelhante ao humano�?em relação a mim pretende refletir o fato de que sou capaz de gerar texto que se assemelha à linguagem humana, mas eu mesmo não sou um humano�? pontuou a máquina.

The post ChatGPT opina sobre si mesmo e diz por que deveria ser regulamentado appeared first on Giz Brasil.

?? ??? ??��?? ??? ??��??? ???

Julia Possa — Mon, 10 Oct 2022 21:24:12 +0000

A versão 22H2, a mais nova atualização do Windows 11, ganhou uma proteção contra phishing, golpe cada vez mais comum que engana os usuários para roubar senhas de acesso a sites e aplicativos.

Usuários que digitarem suas senhas em sites mal-intencionados receberão um alerta do antivírus Microsoft Defender SmartScreen, disse a Microsoft em nota lançada na sexta-feira (7).

O software vai solicitar a alteração de senha para que potenciais invasores não acessem as contas e avisar quando usuários utilizarem uma mesma senha em vários sites diferentes.

Segundo a Microsoft, a proteção fica diretamente integrada no sistema operacional do Windows 11 para “entender o contexto de entrada de senha dos usuários�?

“Como a Proteção Avançada contra Phishing do Windows 11 tem uma visão incomparável do que está acontecendo no nível do sistema operacional”, diz a nota. “Ela pode identificar quando os usuários digitam suas senhas de trabalho ou escola de forma insegura�?

Com isso, a barreira de proteção vai notificar quando usuários deixarem suas senhas em documento Word ou Bloco de Notas. “A proteção recomenda que eles excluam sua senha do arquivo�? diz o comunicado.

A Microsoft também vai cruzar informações dos sites para identificar se distribuem ou hospedam conteúdo enganoso. Quando isso se confirmar, avisará os usuários para que não se conectem naquele site com login e senha.

Como ativar a proteção contra phishing

Ataques por phishing enganam pessoas através de páginas falsas muito parecidas com verdadeiras. O golpe acontece ao clicar em um link ou tentar fazer login, por exemplo. Rapidamente, e-mail, telefone e senhas podem acabar na mão de criminosos. Para evitar que isso aconteça, basta seguir passos a seguir:

Abra o menu �?strong>Iniciar”�?/span>
Digite �?strong>Controle de aplicativos e navegadores”�?/span>
Vá em �?strong>Proteção baseada em reputação”�?/span>
Ative a �?strong>Proteção contra phishing”�?/span>
Marque a opção �?strong>Avise-me sobre aplicativos e sites mal-intencionados�? Isso vai permitir que o Windows 11 informe quando estiver diante de um app ou site não confiável.
Marque a opção �?strong>Avise-me sobre a reutilização de senha�? Isso vai evitar a repetição de senhas ao configurar uma nova conta online.
Marque a opção �?strong>Avise-me sobre o armazenamento não seguro de senhas�? O Windows notificará se o usuário salvar senhas em plataformas de texto facilmente acessíveis.
Pronto, seu computador está protegido de ataques phishing.

The post Windows 11 ganha proteção contra phishing; veja como ativar appeared first on Giz Brasil.

??? ??? ???? ?????��???��???????

Julia Possa — Fri, 07 Oct 2022 19:38:16 +0000

Já pensou em abandonar a internet para sempre? Você não está sozinho. Pelo menos 20% dos brasileiros gostariam de sair definitivamente do mundo online, segundo levantamento do provedor NordVPN.

Desses, 43% acreditam que gastam muito tempo nas plataformas digitais. Outros 32% disseram que se sentem usados por empresas que exploram seus dados pessoais. Estima-se que 77% da população brasileira esteja na internet �?mais de 161 milhões de pessoas.

A pesquisa entrevistou mil usuários do Brasil e identificou que a credibilidade digital está abalada no país. Quase 30% dos entrevistados disseram que não confiam na internet e 25% que têm medo de serem manipulados. Quase um quinto (17%) afirmou que, se pudesse, apagaria toda a presença online.

A maior preocupação é com hackers, especialmente no setor financeiro. Cinco pessoas em cada dez afirmaram que seus dados sobre dinheiro são os que mais gostariam de deletar online.

Enquanto isso, 76% temem que seus dados financeiros sejam alvos de hackers e 46% querem evitar a todo custo que terceiros acessem suas informações pessoais nas redes.

Muita gente está disposta a pagar por isso. O estudo aponta que 46% dos entrevistados pagariam até R$ 500 para ficar totalmente anônimos online.

É possível “se deletar�?da internet?

Faz sentido que a desconfiança sobre a internet venha ganhando espaço. Como na vida real, o digital apresenta um oceano de golpes possíveis.

Cada vez mais pessoas se especializam nisso �?seja na aplicação ou no combate. Basta um segundo de desatenção e dinheiro e dados podem ser roubados e contas invadidas muitas vezes com a colaboração do próprio usuário.

Por isso é possível, sim, “se deletar�?da internet �?mas não pense que é uma tarefa fácil ou rápida. Para começar, é preciso deletar todas as contas em redes sociais, serviços e aplicativos em que você já fez uma conta um dia.

Nesses casos, é preciso excluir a conta manualmente: se você apenas sair ou desativar o app, os dados continuam lá, como explicamos nesta reportagem.

“Podemos remover algumas coisas sobre nós no mundo online, mas colocar em prática melhores hábitos podem ajudar os brasileiros a se sentirem mais seguros na internet�? disse Daniel Markuson, especialista em privacidade digital da NordVPN.

Markuson recomenda usar senhas mais fortes e ferramentas confiáveis de segurança cibernética, como antivírus, VPN e gerenciador de senhas. “Praticar uma conscientização geral sobre ameaças ajudará as pessoas a protegerem suas informações mais valiosas online nos próximos anos�? pontuou.

Como se proteger online

Quem não quer deixar a internet completamente, pode integrar alguns hábitos no dia a dia para aumentar a proteção. Alguns exemplos são:

Quanto menos exposição, melhor

Especialistas orientam que os usuários tenham mais critério sobre as coisas que compartilham online. Para isso, é possível gerenciar as configurações de privacidade das redes sociais, por exemplo.

Senhas fortes e personalizadas

Lembre-se que quanto maior for a sua senha, melhor. Nada de usar sempre a mesma, ok? Se não conseguir lembrar, use uma mesma “base�?e varie nos números e caracteres. Na dúvida, anote em um papel que só você tem acesso.

Antivírus e VPNs podem ser a solução

VPNs são Redes Virtuais Privadas. Esse mecanismo torna a conexão segura e aumenta a privacidade dos dados, impedindo o monitoramento de terceiros.

The post Por que 20% dos brasileiros querem “se deletar�?da internet appeared first on Giz Brasil.

?? ?? ?? ??: ??? ??? ???? ???��????

Hemerson Brandão — Tue, 26 Jul 2022 12:06:14 +0000

A PSafe emitiu um alerta sobre um novo crime virtual que está sendo chamado de “Golpe do Auxílio Brasil�? Na última semana, a empresa de cibersegurança afirmou que identificou mais 140 mil tentativas de golpe, algo em torno de 20 mil casos por dia.

O golpe utiliza o nome do programa “Auxílio Brasil�? do Governo Federal, prometendo benefícios instantâneos de até R$ 2.500. Para atrair as vítimas, é utilizado o conhecido método de “phishing�? por meio de sites oferecendo o falso benefício.

De acordo com a PSafe, esses sites fraudulentos também incluem um botão para compartilhar, o que ajuda a acelerar a propagação do golpe mais facilmente. O golpe consiste no usuário compartilhar o link do benefício para 7 contatos ou 5 grupos no WhatsApp. Em seguida, o usuário precisa informar dados como nome completo, CPF, data de nascimento, além da chave PIX para receber o valor.

Posteriormente, esses dados podem ser utilizados para aplicar novos golpes contra as vítimas. “Um agravante no caso do phishing é que a pessoa pode não se dar conta no momento do golpe que foi uma vítima. Isso porque eles coletam os dados para serem utilizados posteriormente, então a pessoa pode demorar meses para saber e, mesmo assim, nem se lembrará que pode ter relação com um cadastro fraudulento�? destaca Emilio Simoni, executivo-chefe de Segurança da PSafe.

Como se proteger do “Golpe do Auxílio Brasil�?

Vale ressaltar que, para receber o “Auxílio Brasil�? os beneficiários precisam estar cadastrados no “Cadastro Único dos Programas Sociais do Governo Federal�? que só pode ser realizado de forma presencial nas prefeituras de cada município. Dessa forma, desconfie de qualquer site que prometa a oferta do benefício de forma rápida e online.

Geralmente, as pessoas recebem o link do golpe por meio do WhatsApp, SMS, e-mail ou mesmo em perfis nas redes sociais. Assim como em outros golpes do tipo, nunca clique, compartilhe ou informe seus dados sem antes saber se um site é legítimo ou não.

A recomendação é instalar aplicativos antivírus com a função phishing, para bloquear automaticamente quaisquer links maliciosos. Além disso, duvide de supostas ofertas e promoções boas demais para serem verdade.

The post Golpe do Auxílio Brasil: o que é e como evitar appeared first on Giz Brasil.

?????? ??????��??????��???????

Caio Carvalho — Mon, 26 Apr 2021 19:00:51 +0000

Mais um dia, mais um malware potencialmente danoso para usuários de dispositivos Android. A ameaça recém-descoberta tem por objetivo o roubo de senhas, dados bancários e outras informações confidenciais dos usuários, e já despertou o alerta de autoridades no Reino Unido.

Conhecido como FluBot, o malware é instalado no aparelho por meio de mensagens de texto. Nesses conteúdos, os cibercriminosos se apresentam como uma empresa de entregas que pede ao usuário para clicar em um link para rastrear a chegada de uma encomenda. Obviamente, tudo isso é falso, uma vez que o link em questão redireciona o usuário para uma página que faz o download de um aplicativo que se passa por uma ferramenta de rastreio de entregas, mas que, na verdade, é o malware roubando informações do smartphone da vítima.

Uma vez instalado, o malware obtém todas as permissões necessárias para acessar e roubar informações confidenciais, incluindo senhas e dados bancários online. Além disso, o FluBot consegue acessar os demais contatos salvos no dispositivo infectado. Assim, o malware consegue enviar automaticamente mensagens para todas as outras pessoas, comprometendo um grande número de aparelhos sem se esforçar muito.

De acordo com o Centro de Cibersegurança Nacional do Reino Unido (NCSC na sigla em inglês), os ataques parecem atingir principalmente a rede de entregas da empresa DHL, que envia encomendas tanto local quanto globalmente. Outros nomes, como Asda, Amazon e Argos também estariam sendo usadas como disfarce para enganar os usuários.

Por conta do alto risco do malware se espalhar rapidamente por milhares de dispositivos, o NCSC já emitiu orientações de segurança às principais provedoras de rede do Reino Unido, incluindo a Three e a Vodafone �?ambas também estão avisando seus clientes sobre os ataques do FluBot nas mensagens de texto.

Caso o usuário já tenha aberto o link alguma vez ou até baixado o falso app, a entidade britânica recomenda que a vitima não faça login em nenhuma conta online adicional para impedir que os invasores consigam mais informações. Nesse caso, o NCSC faz uma sugestão drástica: deletar todos os arquivos no smartphone, inclusive os dados de back-up, e restaurar o aparelho para o padrão de fábrica. Segundo o NCSC, arquivos salvos como cópias de segurança ainda podem estar infectados mesmo após resetar o dispositivo.

Até o momento, apenas telefones Android são afetados pelo malware, mas isso não significa que usuários de iOS estão totalmente protegidos. Ataques desse tipo, em que uma mensagem de texto se passando por uma empresa pede para que a vítima acesse um determinado link, são mais comuns do que parece. Portanto, independentemente do seu sistema operacional, a recomendação é não abrir nenhum endereço suspeito, seja ele enviado por SMS ou e-mail, principalmente se a mensagem vier de um remetente desconhecido.

Outras dicas para manter a segurança do dispositivo: trocar as senhas de qualquer conta que tenha sido acessada após a instalação do falso app, e instalar ferramentas apenas por meio das lojas oficiais de aplicativos (Play Store e App Store).

[ZDNet]

The post Falso app para Android está roubando dados e infectando aparelhos em novo ataque phishing appeared first on Giz Brasil.

??? ???��??????, ??????

Tom McKay — Fri, 04 Dec 2020 16:46:25 +0000

Hackers “suspeitos de serem agentes a mando de países�?têm executado uma campanha de phishing contra empresas farmacêuticas e outras instituições envolvidas na iminente distribuição de uma vacina contra o novo coronavírus, anunciou a IBM na quinta-feira (3).

Em um post sobre o Security Intelligence divulgando suas descobertas, os pesquisadores do IBM Security X-Force escreveram que “o direcionamento preciso de executivos e organizações globais importantes contém as marcas potenciais de espionagem de estado-nação”, acrescentando que hackers desconhecidos provavelmente buscaram obter “insights avançados na compra e movimentação de uma vacina que pode impactar a vida e a economia global�?

O alvo, de acordo com a IBM, parece ser a “cadeia fria” — um termo para a rede de logística que permite que vacinas e outros medicamentos sejam transportados do ponto de fabricação à distribuição em contêineres de transporte com temperatura controlada. Não se sabe o que os invasores esperavam realizar: os possíveis motivos vão desde roubo de tecnologia a informações que poderiam ser usadas para minar a confiança na vacina ou interromper a distribuição.

Pesquisadores da IBM escreveram que os indivíduos visavam empresas em pelo menos seis países e usavam táticas como se passar por um executivo da Haier Biomedical para enviar e-mails de spear-phishing e direcionar para as páginas de ajuda e suporte de organizações.

Muitos dos alvos estavam ligados ao programa de cadeia fria da aliança internacional de vacinas Gavi e incluíam órgãos da União Europeia essenciais para a distribuição de doses, a Unicef, empresas que fabricam painéis solares usados em armazenamento refrigerado e empresas de TI que protegem as empresas farmacêuticas:

Os alvos incluíam a Direção-Geral da Fiscalidade e União Aduaneira da Comissão Europeia, bem como organizações nos setores de energia, fabricação, criação de sites e software, e soluções de segurança da Internet. São organizações globais sediadas na Alemanha, Itália, Coreia do Sul, República Tcheca, grande Europa e Taiwan.

Os e-mails de spear-phishing enviados incluíam arquivos HTML maliciosos que faziam com que os destinatários digitassem suas credenciais de login, que seriam passadas para os invasores.

A Pfizer e a Moderna, as duas empresas farmacêuticas que fabricam vacinas que devem começar a ser distribuídas em breve nos Estados Unidos, não parecem ser o alvo, de acordo com o New York Times. Também não há informações sobre nenhuma outra empresa americana que possa ser um alvo.

A explicação mais provável é um estado-nação, porque não há um “benefício” claro para os cibercriminosos, acrescentaram os pesquisadores da IBM no comunicado, além da possibilidade de que o conhecimento das rotas de envio de vacinas e requisitos de armazenamento seguro possam ser vendidos como uma “commodity de grande interesse no mercado paralelo�?

Também é possível que hackers possam estar interessados em usar credenciais roubadas para lançar ataques de ransomware em contêineres controlados por computador. De acordo com o Washington Post, não está claro se os hackers tiveram sucesso em alguma de suas tentativas de phishing.

“Essa atividade ocorreu em setembro, o que significa que alguém quer estar adiantado, chegar onde precisa estar no momento crítico�? disse Claire Zaboeva, analista sênior de ameaças cibernéticas do IBM Security X-Force, à Wired. “A porta está realmente aberta. Depois de obter as chaves do reino e estar dentro das muralhas da cidade ou na rede, há uma miríade de objetivos que você pode alcançar, sejam informações críticas — como horários e distribuição — ou ataques destrutivos.�?/p>

De acordo com o Times, autoridades federais disseram que a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna dos EUA (CISA, na sigla em inglês) responderá ao alerta da IBM notificando as agências envolvidas na Operação Warp Speed, a iniciativa dos EUA para desenvolver e distribuir uma vacina.

O estrategista de coronavírus da CISA, Josh Corman, disse ao Times que há uma necessidade de intensificar a “diligência de segurança cibernética em cada etapa da cadeia de abastecimento da vacina” e de instituições “envolvidas no armazenamento e transporte de vacinas para reforçar as superfícies de ataque, especialmente em operações de armazenamento refrigerado”.

The post Hackers miram distribuição de vacinas contra COVID-19, mas ninguém sabe o porquê appeared first on Giz Brasil.

?????? ��??? ??? ??? | ????- ??? ???

Alyse Stanley — Sun, 18 Oct 2020 20:34:59 +0000

Os mesmos hackers ligados ao governo chinês que visaram as campanhas dos dois candidatos presidenciais norte-americanos de 2020 no início deste ano têm tentado enganar os usuários para que instalem malware, fingindo ser o provedor de antivírus McAfee e usando serviços online legítimos como GitHub e Dropbox.

Shane Huntley, Chefe do Grupo de Análise de Ameaças do Google, forneceu novos detalhes sobre os suspeitos cibernéticos patrocinados pelo governo, conhecidos como APT 31, e suas últimas táticas em uma publicação no blog da empresa na sexta-feira (16). Em junho, a equipe de segurança do Google descobriu golpes de phishing de alto perfil do APT 31 e hackers patrocinados pelo Estado iraniano que pretendiam sequestrar contas de e-mail de funcionários de campanha do presidente Donald Trump e o indicado democrata Joe Biden. (Todas essas tentativas de phishing pareciam ter falhado, disse o Google na época.)

Na sexta-feira, Huntley disse que uma das técnicas mais recente do APT 31 envolveu o envio de links por e-mail para que as vítimas baixassem códigos maliciosos hospedados na plataforma de código aberto GitHub. O malware foi construído usando a linguagem de computação Python e “permitiria ao invasor fazer upload e download de arquivos, bem como executar comandos arbitrários” por meio dos serviços de armazenamento em nuvem do Dropbox, escreveu ele.

“Cada parte mal-intencionada desse ataque foi hospedada em serviços legítimos, tornando mais difícil para os defensores confiarem nos sinais de rede para detecção�? disse Huntley.

Outro esquema de phishing envolveu o grupo se passando pelo McAfee, um legítimo e popular provedor de software antivírus, como uma fachada para inserir silenciosamente um código malicioso no computador da vítima.

“As vítimas eram solicitadas a instalar uma versão legítima do software antivírus McAfee do GitHub, enquanto o malware era simultaneamente instalado silenciosamente no sistema�?

O Google não especificou quais organizações ou indivíduos foram visados nesses últimos ataques patrocinados pelo APT 31 ou se eles afetaram a campanha política de qualquer um dos candidatos. A gigante da tecnologia apenas disse que viu “uma atenção maior sobre as ameaças representadas pelas APTs no contexto das eleições nos Estados Unidos” e compartilhou essas últimas descobertas com o Federal Bureau of Investigation (FBI).

“As agências governamentais dos Estados Unidos alertaram sobre os diferentes atores que possam representar uma ameaça e trabalhamos em estreita colaboração com essas agências e outros na indústria de tecnologia para compartilhar pistas e inteligência sobre o que estamos vendo em todo o ecossistema�? disse Huntley.

Ele acrescentou que, caso as defesas anti-phishing do Google detectem um ataque apoiado pelo governo, a empresa envia um aviso à vítima explicando que um governo estrangeiro pode estar de olho nela.

O Google não é o único gigante da tecnologia vendo um aumento nos ataques cibernéticos antes das eleições. Em setembro, a Microsoft informou que hackers apoiados pelos governos chinês, russo e iraniano haviam lançado ataques semelhante malsucedidos em indivíduos de alto perfil associados a ambas as campanhas Trump e Biden. Na semana passada, o FBI e a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA também divulgaram detalhes sobre campanhas de hackers ligados a governos estrangeiros para explorar redes de governos federais, estaduais e locais.

The post Hackers chineses estão se passando pelo antivírus McAfee para fazer vítimas instalarem malware, diz Google appeared first on Giz Brasil.

??? ??��?? ??

Guilherme Tagiaroli — Thu, 07 May 2020 11:09:49 +0000

Estamos em tempo de pandemia, e isso não impede a ação de golpistas. Com mais gente em casa, tem acontecido o que é conhecido no meio bancário como o “golpe do falso motoboy�? que simplesmente incentiva que pessoas entreguem seu cartão a um terceiro que, por sua vez, faz uma série de compras. O alerta foi feito pela Febraban (Federação Brasileira de Bancos) por meio de um comunicado.

Como boa parte dos golpes, os envolvidos tentam utilizar engenharia social, que é um nome bonito para a tentativa de persuasão de vítimas para obter informações pessoais delas. A desculpa aqui tem relação com a falsa clonagem do cartão.

Tudo começa com um telefonema de uma pessoa que se passa por um funcionário de banco. Ela diz que o cartão da pessoa foi clonado e que é necessário bloqueá-lo. O atendente, então, solicita dados da vítima, inclusive a senha, e recomenda que o cartão seja cortado ao meio.

Na sequência, é dito que um motoboy será enviado até o endereço para recolher o cartão e fazer outras análises para o cancelamento de compras irregulares.

O detalhe é que ao cortar o cartão no meio, o chip não é danificado. Então, com senha e o chip disponível, os golpistas conseguem fazer as compras que quiserem.

Apesar de ser um golpe curioso e elaborado �?aliás, exige que um dos envolvidos vá até onde você mora�? ele não é necessariamente novo. No entanto, com este período com mais gente fazendo home office ou sem sair de casa, há mais potenciais vítimas.

“O que estamos observando é que, durante este período de isolamento social, os fraudadores estão muito mais ativos. Ainda usam as mesmas táticas de engenharia social, mas o momento e o contexto mudaram, e isso afeta o modo como as pessoas reagem a esse tipo de abordagem”, disse Adriano Volpini, diretor de segurança do Itaú Unibanco e diretor da comissão executiva de prevenção a fraudes da Febraban, em comunicado enviado ao Gizmodo Brasil.

Segundo Volpini, estes golpes têm se intensificado sobretudo em São Paulo e no Rio de Janeiro, inclusive com variações. “Já vimos casos em que o fraudador chega a pedir que o cliente entregue o chip do celular e até o notebook.”

De acordo com a Febraban, em nenhuma circunstância os bancos enviam funcionários para recolher cartões de clientes. Além disso, a entidade ressalta que quando precisar descartar um cartão, é importante que a pessoa corte o chip para impedir a reutilização.

Evite cair no golpe do falso motoboy

Nunca entregue seu cartão para terceiros �?bancos não pedem devolução ou enviam funcionários até sua casa para recolher o cartão.

Caso receba uma chamada, nunca informe ou digite sua senha para o atendente.

Se precisar destruir seu cartão, o faça de forma vigorosa, preferencialmente destruindo o chip. Mande ver e corte-o em pedaços com uma tesoura.

Em tempos de pandemia, fora este golpe bizarro, tem rolado um monte de coisas esquisitas. Um dos mais comuns tem sido de apps falsos envolvendo o auxílio emergencial. Na verdade o processo é feito majoritariamente no site //auxilio.caixa.gov.br e o único app oficial é o da Caixa.

Em março, falamos, por exemplo, de golpes via WhatsApp falando de doação de álcool em gel pelo governo. Sem contar que phishings ainda estão por aí. Segundo um levantamento recente do Google, este tem sido o principal tipo de golpe que tem rolado online. A companhia tem até um teste bacana para você identificar este tipo de ameaça.

[Febraban]

The post Golpe do falso motoboy reaproveita chip de cartão para compras ilegais appeared first on Giz Brasil.

?????? ��??? ??? ??? | ????- ??? ??? ????

Dell Cameron — Wed, 01 Apr 2020 19:55:44 +0000

Especialistas em cibersegurança estão rastreando uma série de novas ameaças ligadas ao coronavírus, que já matou mais de 40 mil pessoas em todo o mundo. Onde a maioria vê desespero, alguns cibercriminosos vêem oportunidade.

Na internet, os criminosos estão trabalhando para tirar proveito das mudanças chocantes da vida cotidiana lançadas a populações inteiras, agora forçadas a trabalhar em casa �?ou ociosas, alimentando um desejo insaciável por novas informações sobre a nova doença e seu impacto.

A empresa de segurança Securonix, com sede em Los Angeles, disse na terça-feira (31) que seus pesquisadores estavam seguindo hackers mal-intencionados trabalhando em vários ângulos relacionados ao coronavírus, incluindo o uso de documentos relacionados ao COVID-19 como armas para ataques a operações críticas de assistência médica. Também houve um aumento nas tentativas de capturar credenciais de segurança da força de trabalho que está trabalhando de casa.

Pesquisadores notaram um ramsomware disfarçado de “relatório de situação do COVID-19�?circulando por e-mail. Depois que este documento é aberto, é solicitado ao usuário o pagamento de 0,35 bitcoin (cerca de US$ 2.270) para desbloquear os arquivos do computador.

Uma variedade de e-mails está enviando documentos infectados que contam com malwares usados para roubar credenciais de usuários, cookies de navegador da web, carteiras de criptomoedas e outros dados confidenciais. Segundo a Securonix, o corpo de um desses e-mails afirma que o destinatário pode ter entrado em contato com uma pessoa infectada.

Diz a mensagem:

“Você recentemente entrou em contato com um colega/amigo/familiar que está com COVID-19 na Taber AB, por favor imprima o formulário em anexo com suas informações pré-preenchidas e vá para o hospital mais próximo�?

Em outro exemplo, os atacantes compartilham um link para um mapa em tempo real do COVID-19 que imita um painel interativo real exibindo infecções globais por coronavírus produzidas pelo Centro de Ciência e Engenharia da Universidade Johns Hopkins, como também foi relatado no mês passado pelo especialista em segurança Brian Krebs.

O mapa é parte de um “kit digital de infecção por coronavírus�?que foi vendido por US$ 200 em um fórum de crimes cibernéticos em russo, segundo Krebs.

O aumento dos ataques relacionados ao coronavírus começou a crescer no mês passado. A Forbes informou em 12 de março que uma série de domínios maliciosos foram comprados rapidamente e que as tentativas de phishing com referência ao COVID-19 estavam crescendo.

A empresa de segurança Recorded Future alertou que os cibercriminosos frequentemente adotam marcas confiáveis ao tentar atrair as vítimas para abrir links maliciosos em arquivos, incluindo a OMS (Organização Mundial da Saúde) e CDC (Centros de Controle e Prevenção de Doenças) dos EUA.

Os usuários são aconselhados a tomar cuidado ao lidar com links ou e-mails relacionados ao vírus. Você pode encontrar uma lista das melhores fontes de informações sobre COVID-19 aqui.

The post Golpistas estão usando sites falsos sobre coronavírus para espalhar malware e roubar senhas appeared first on Giz Brasil.

bet365 bonus code��bet365 casino��bet365 ???

Alessandro Feitosa Jr. — Wed, 25 Mar 2020 21:17:52 +0000

A Anatel (Agência Nacional das Telecomunicaçõe) alerta que tem gente tentando se aproveitar da pandemia do novo coronavírus (COVID-19) e espalhando golpes pelo WhatsApp prometendo até 7 GB gratuitos para os clientes de todas as operadoras.

Em um comunicado, a Anatel alerta que “não envia links por WhatsApp ou por SMS, nem faz promoções ou dá prêmios.” O órgão diz ainda para os usuários não abrirem links desconhecidos, não fornecerem informações pessoais em sites e aplicativos que não reconheça e para desconfiar de mensagens assuntos apelativos ou alarmantes.

Em um item curioso, a Anatel diz para aceitarmos que “todos nós somos vulneráveis” e desconfiar “até da sombra virtual”. Errado não está, apesar de soar um pouco alarmista. Em tempos de crise, é importante redobrar os cuidados.

O golpe, espalhado pelo WhatsApp, continha um link que cadastrava o número do vítima em serviços premium de mensagens de texto. Era preciso escolher a sua operadora inserir seu número de celular e preencher um formulário. Se a vítima seguisse os passos, passaria a ser cobrada pelos SMS.

Esse não é o primeiro golpe que relatamos relacionado com a pandemia de COVID-19. Uma outra campanha de phishing via WhatsApp dizia que o governo estava distribuindo um kit gratuito com máscara e álcool gel. Outra distribuía malwares disfarçados de documentos com informações sobre o coronavírus que foram espalhados ao redor do mundo. Há relatos ainda de golpes que pediam um cadastro para receber um Auxílio Cidadão de R$ 200.

Essa é uma boa hora para bater um papo principalmente com as pessoas que tem menos familiaridade com a tecnologia. Alertar para não acreditar em correntes, nem colocar informações pessoais em formulários. E desconfiar de qualquer oferta que pareça boa demais para ser verdade �?por fim, procure saber sobre benefícios em fontes confiáveis e nos sites oficiais.

Em tempo, a TIM e a Vivo realmente ofereceram bônus de internet para alguns clientes. A Claro e Nextel ampliaram a velocidade da conexão durante a quarentena. Todos esses benefícios foram comunicados por meio dos canais oficiais das operadoras.

The post Golpes enganam usuários ao prometer internet grátis em nome da Anatel appeared first on Giz Brasil.

? ?? ???��?? ?? ???��?? ??? ? ??

David Nield — Mon, 27 Jan 2020 17:47:57 +0000

Nossos telefones carregam grande parte de nossas vidas hoje em dia – nossas redes sociais, acesso a nossos bancos, aplicativos de segurança doméstica – e mantê-los seguros e protegidos é de suma importância. Apresentamos aqui as três maneiras mais comuns de alguém invadir seu celular e como impedir.

Além dos golpes que mencionamos aqui, não se esqueça de todas as outras maneiras pelas quais agentes mal intencionados tentarão acessar suas várias contas online e móveis, desde tentar redefinir e interceptar suas senhas até obter acesso através de aplicativo terceiros conectados. Temos mais dicas de como se proteger aqui e aqui.

Troca de SIM

O golpe de troca do SIM (ou SIM Swap) é quando alguém se passa por você e pede para a sua operadora redirecionar seu número de celular para o telefone do invasor, convencendo a operadora a ativar um cartão SIM que o golpista controla. Ele tira proveito do que é um serviço genuinamente útil, que permite que você mantenha o seu número existente ao obter um novo contrato telefônico ou perder o celular.

Essa farsa pode ser executada por telefone, em uma loja ou online, e é decepcionantemente fácil de fazer. Embora a operadora faça sempre algumas perguntas de segurança à pessoa que está solicitando a troca de SIM, parece que os atendentes de suporte ao cliente muitas vezes deixam passar quando potenciais hackers afirmam ter esquecido as respostas ou configurado as perguntas incorretamente. Além disso, informações como endereços e datas de nascimento geralmente podem ser obtidas sem muita dificuldade.

Ter o seu número significa que alguém pode fazer chamadas e enviar mensagens com ele e usá-lo para obter acesso a outras contas suas – qualquer coisa que use seu número de telefone para verificação, de repente, fica vulnerável. Muitos dados podem estar em risco, e os hackers também poderão fazer login em seus aplicativos bancários e de pagamento se tiverem acesso a mais credenciais de usuário.

Foto: Sam Rutherford/Gizmodo

Quando se trata de impedir uma troca de SIM, tudo depende das medidas de segurança adotadas por sua operadora para reconhecer que a pessoa que está tentando fazer a troca não é você. O que você pode fazer é reduzir sua dependência do número de seu celular para acessar suas contas online – se você tiver uma autenticação de dois fatores configurada via SMS, mude para um aplicativo como o Google Authenticator ou Authy. (Ou, melhor ainda, use uma chave de segurança de dois fatores física.)

Esteja atento aos sinais de alerta, que podem incluir uma perda repentina de dados ou a funcionalidade de chamadas no seu telefone. Certifique-se de ter ativado as medidas de segurança oferecidas por sua operadora – um código PIN, por exemplo – e verifique com elas quais proteções adicionais você pode implementar.

Em resposta a pesquisas recentes, as operadoras parecem estar implementando verificações de identidade mais robustas se alguém estiver tentando realizar uma troca de SIM, então ligue para sua operadora e veja o que você pode fazer. Você também deve garantir que todas as informações que possam ser usadas para se passar por você – seu endereço, data de nascimento e endereço de e-mail – sejam mantidas longe da exibição pública na internet, o que você pode fazer de maneira mais fácil e completa usando um serviço como o DeleteMe.

Mensagens de phishing

Phishing é um termo frequentemente associado ao e-mail, mas esse golpe já se espalhou para SMS e mensagens instantâneas: qualquer uma dessas formas de comunicação eletrônica pode ser usada para invadir seu telefone e potencialmente dar a outra pessoa acesso ao seu dispositivo (basta perguntar a Jeff Bezos).

A maneira como o golpe se manifesta é que você recebe uma mensagem do que parece ser uma conta autêntica – seu banco, sua operadora, alguém que você conhece – e ela contém um anexo perigoso ou um link para um site que foi montado para tentar obter informações confidenciais ou detalhes de pagamento.

Esses golpes podem variar amplamente em seus detalhes. Você pode ser solicitado a inserir os dados do seu cartão de crédito ou as informações de login de um site específico, ou pode ser incentivado a baixar um determinado arquivo ou abrir um anexo. Existem tantos tipos que é difícil definir o que todos eles envolvem, e novas variantes aparecem o tempo todo.

Imagem: WhatsApp

É importante desconfiar de links incorporados e anexos que acompanham e-mails, textos e mensagens enviados por aplicativos de bate-papo, mesmo que o remetente pareça confiável ou alguém que você conheça – tente verificar a mensagem com a pessoa ou empresa que enviou usando um modo de comunicação diferente (ligue para o seu banco se você receber um SMS que pareça suspeito, por exemplo).

Além de manter o telefone no modo avião o tempo todo, tudo o que você pode fazer nesse caso é ficar alerta: lembre-se de que as mensagens podem não ser exatamente o que parecem ser. Se você receber uma mensagem suspeita, uma pesquisa rápida na internet pelo texto que ela contém deve ajudá-lo a descobrir se é genuíno ou não (como esse recente golpe relacionado à FedEx do qual nosso colega foi alvo).

As regras de segurança de senso comum se aplicam aqui também: verifique se o software e os aplicativos instalados no telefone estão sempre atualizados, pois isso minimiza o risco de você cair em uma mensagem fraudulenta. Pense duas vezes antes de compartilhar qualquer tipo de informação confidencial com alguém.

Ligações falsas

Às vezes, os golpistas seguem uma rota antiquada e realmente ligam para você – é semelhante ao phishing, mas por chamada de voz. A melhor maneira de se proteger é simplesmente estar vigilante e manter-se atualizado sobre os tipos de golpes que estão acontecendo (faremos o possível para relatar os principais). Você também pode simplesmente não atender o telefone quando um número desconhecido ligar para você.

Na maioria das vezes, as chamadas tentam obter algo de você: detalhes financeiros, informações pessoais, qualquer coisa que possa ser usada para fins de roubo de identidade. Você pode ter ganhado um prêmio, ou estar com problemas com a Receita Federal, ou um dos membros de sua família pode precisar de assistência urgente.

Fique atento às chamadas que deixam tocar só uma vez e depois desligam. Na maioria das vezes, é uma chamada para fazer você ligar de volta para linhas telefônicas caras e premium – se você ligar de volta, o golpista tentará mantê-lo na linha o maior tempo possível, extraindo dinheiro de você durante o processo.

Foto: Alex Cranz/Gizmodo

Outro golpe popular é o golpe do suporte técnico, em que alguém que afirma ser da Microsoft, Apple ou outra organização respeitável liga para você e diz que há um problema com o seu computador – e depois você instala uma ferramenta de ‘solução de problemas’ que é, na verdade, um malware. Estes são fáceis de detectar, porque são todos golpes. As grandes empresas de tecnologia nunca ligam para você de repente para resolver um problema em sua máquina.

Você também pode ser solicitado a participar de uma pesquisa ou receber algo de graça, mas este presente “gratuito” exige uma pequena taxa de administração ou de envio. Se você puder, relate números fraudulentos ao Procon e às autoridades locais, o que ajuda a bloquear esses golpes mais cedo ou mais tarde.

Lembre-se de que os números podem ser falsificados – você sempre deve solicitar algum tipo de verificação de identidade à pessoa na linha e, mesmo assim, ser extremamente cauteloso ao revelar qualquer coisa pessoal ou secreta por telefone, a menos que você tenha iniciado a ligação. Em caso de dúvida, ligue de volta para a empresa em um de seus números de telefone oficiais publicados.

The post Três golpes de celular mais comuns e como evitá-los appeared first on Giz Brasil.