Mais de 700 milhões de endereços de e-mails, bem como milhões de senhas, caíram em domínio público graças a um programa de spam mal configurado, o que gerou um dos maiores vazamentos de dados já registrados. De acordo com especialistas em segurança, o número final de e-mails reais deve ser bem menor em razão da grande incidência de endereços falsos, incorretos e repetidos.

Os dados ficaram expostos porque os geradores de spams falharam em dar segurança a um de seus servidores, permitindo a qualquer visitante baixar vários gigabytes de informações sem solicitar qualquer credencial. É impossível determinar quantos baixaram a sua própria cópia dessa imensa base de dados.

Embora existam mais de 700 milhões de endereços de e-mails na base de dados, aparentemente muitos deles não são associados a contas reais. Alguns são incorretamente pinçados da internet enquanto outros parecem terem sido criados por adivinhação, com a adição de palavras como “vendas” antes de um domínio padrão, gerando, por exemplo, vendas@newspaper.com.

Há ainda milhões de senhas nesse vazamento que parecem ser resultantes da coleta de informação por parte dos geradores de spams na tentativa de ingressar nas contas de e-mails dos usuários e enviar mensagens personalizadas com seus nomes. Especialistas afirmam, porém, que a maioria das senhas aparentam ter sido coletadas em vazamentos anteriores, como o de 164 milhões de contas registrado pelo LinkedIn em maio do ano passado.

Na análise de Giovanni Verhaeghe, diretor de produto e estratégia de mercado da Vasco Data Security, fornecedora de soluções de identidade, segurança e produtividade para os negócios, vazamentos desse porte sublinham, uma vez mais, a importância da educação quando o tema é gerenciamento e uso de senhas. “Alterar as senhas comprometidas pode ser um bom primeiro passo, mas o vazamento tem pouco a ver com as senhas que nós usamos. Ele é resultado da facilidade com que esses dados podem ser acessados por quem está de fora. O peso da responsabilidade recai fortemente nas organizações e no quanto elas investem na segurança das informações que os usuários compartilham com elas. Isso fará uma enorme diferença em termos da confiança do usuário”, ressalta.

O especialista destaca ainda que os usuários hoje querem uma experiência confortável entre os diversos canais à sua disposição. “Quanto mais amigável a interface com o usuário, maior é a necessidade de segurança. A segurança pode e deve ser transparente, mas se ela não protege os usuários e os seus dados ela pode estar deixando a porta aberta para ataques criminosos”, conclui.

 

Descuidar das redes sociais é bem comum, principalmente no WhatsApp. Agora, com a possibilidade de acessar o programa de bate-papo em computadores, as chances de deixá-lo aberto em máquinas públicas é grande.

Caso isso aconteça e uma pessoa mal-intencionada encontre uma conta aberta, o usuário corre o risco de ter informações pessoais roubadas ou, ainda, de ser espionado.

Previna-se!

Com algumas medidas de prevenção, é possível evitar esses riscos. Para começar a garantir a segurança do seu WhatsApp, ative a verificação em duas etapas:

 

Com isso, você poderá recuperar a sua senha facilmente caso tenha a conta invadida.

Agora, será preciso encerrar todas as sessões ativas do seu WhatsApp Web. Isso pode ser feito diretamente no celular; veja como:

Lembre-se de deixar o programa ativo apenas no seu computador pessoal. Repita o processo acima cada vez que acessar o WhatsApp em outra máquina.

Boas notícias para quem costuma fazer compras online e tem medo de ser enganado. Ao que a empresa ClearSale divulgou de sua pesquisa mais recente, o número de tentativas de fraude em e-commerce no Brasil diminuiu em 2016, representando apenas 3% do dinheiro gasto no país em compras online.

Essa queda seria resultado de um aumento no faturamento e no número de pedidos em compras online em comparação ao ano passado. O crescimento foi de 11,5 e 12,1%, respectivamente; no entanto, o número de fraudadores atuando continuou o mesmo, assim como a frequência das tentativas de fraude.

“Hoje, as pessoas conseguem comprar mais pela internet e, na medida que as taxas de fraude se mantém estáveis, podemos inferir que se trata de um mercado que cresce com segurança”, explica a companhia.

Eletrônicos ainda são grande alvo

Antes que você se anime demais, vale notar que ainda não é hora de baixar sua guarda nas compras. Produtos como games, celulares e produtos esportivos ainda atraem muito interesse dos criminosos, visto sua grande facilidade de revenda. Como resultado, o dinheiro gasto em tentativas de fraude na compra de smartphones sobe para 5%, por exemplo.

Mesmo assim, essas são ótimas notícias tanto para lojistas quanto para o consumidor – principalmente porque novas ferramentas estão surgindo para ajudar ambos os lados a identificarem e evitarem possíveis fraudes.

Por último, mas não menos importante, a pesquisa também aponta um crescimento constante no uso de smartphones para fazer suas compras, dada sua praticidade. Vendo esse comportamento, por sua vez, empresas estão oferecendo promoções específicas por esse meio.

“As pessoas querem consumir independentemente da plataforma. A transição natural de compras realizadas no desktop para compras feitas em smartphones contribuirá para um amadurecimento deste mercado. O diferencial dos varejistas estará nas estratégias que serão desenvolvidas com foco na experiência dos consumidores”, explica Omar Jarouche, gerente de Inteligência Estatística da ClearSale.

 

Um estudo trazido pela Diretoria de Análise de Políticas Públicas da Fundação Getulio Vargas (FGV/DAPP) afirma que o país está cada vez mais cheio de bots no Twitter, e que esses vêm sendo usados desde as eleições de 2014 para manipular debates na rede social e até difamar políticos – basicamente, tudo aquilo que já víamos fora do mundo digital.

Em números, o uso dos bots teve um crescimento considerável nos últimos três anos. Nas eleições presidenciais de 2014, por exemplo, esses robôs geraram mais de 10% do debate em torno do evento; já na greve geral que ocorreu em abril de 2017, o número cresceu para 20%. Uma vez que muitos dos bots conseguem de disfarçar de humanos online, fica ainda mais fácil de que as pessoas sejam “enganadas” por eles.

Os dados, de fato, não são tão novidade assim. Alguns talvez se lembrem de que, ainda em julho, uma pesquisa semelhante feita pela Universidade de Oxford também apontou que redes sociais estão cheias de bots, sendo que o Brasil os utiliza para atacar políticos com frequência. Estes surgiram justamente nos últimos anos, devidos aos escândalos que vêm ocorrendo no país.

Com isso, visto que estamos prestes a entrar em mais um ano eleitoral, é bom se preparar para investidas ainda maiores desse tipo de tecnologia. Infelizmente, você é quem vai ter que ser capaz de reconhecer quais deles são reais ou não – e para que lado eles querem nos manipular.

Há quem ainda sonhe com o dia em que a rede social Orkut voltará a existir como era antes. Apesar do desejo, o fato é que não há nenhuma previsão para o “grande retorno”. Mas sabia que criminosos virtuais estão aproveitando exatamente dessa questão nostálgica para infectar celulares?

Nos últimos dias, um novo golpe no WhatsApp tem prometido liberar acesso ao Orkut original. Segundo a empresa de segurança PSafe, o link usado na tentativa de fraude já registrou mais de 500 mil acessos.

A companhia explica que uma mensagem é enviada contendo o link malicioso e um texto convidando o usuário para ver fotos e depoimentos antigos no Orkut.

Ao clicar no link, uma página com o nome da rede social abre e pede para que três perguntas sejam respondidas.

“Nós do Orkut estamos atendendo os pedidos dos usuários e liberando para vocês acessarem seu perfil antigo por tempo limitado. Para ter acesso ao seu perfil, responda as 3 perguntas abaixo”, descreve a mensagem na tela.

Para finalizar o processo, a página ainda pede que o usuário compartilhe a falsa informação com mais 10 contatos ou grupos no WhatsApp para poder enfim “ter acesso” ao Orkut. Uma vez compartilhada a mensagem, o link redireciona para diferentes golpes.

De acordo com a PSafe, o que pode acontecer é serviços pagos de SMS pegarem o número do celular para roubar os créditos; o usuário pode ser induzido a fazer downloads de aplicativos maliciosos criados com o objetivo de infectar o aparelho; ou ainda ser atraído por novos golpes capazes de roubar informações pessoais.

Para diminuir as chances de ser afetado(a) pelo novo golpe, a recomendação é evitar abrir links desconhecidos e manter o sistema operacional do celular atualizado. Procure também instalar programas de segurança como antivírus e anti-spam.

Além disso, é importante saber que o Orkut deixou de funcionar em 2014 e não tem data para retorno. Até existem alguns sites com nomes e endereços parecidos, mas nenhum tem ligação com o Google, dono original da antiga rede social. Se quiser ver como uma das mais novas réplicas do Orkut funciona, clique aqui.

Se você utiliza o Facebook Messenger para bater papo com os seus amigos, é bom ficar de olho: há um novo malware se espalhando rapidamente por meio do aplicativo e infectando um grande número de usuários.

De acordo com informações que estão correndo a rede, aparentemente algumas pessoas estão recebendo vídeos falsos e memes de alguns de seus contatos, e ao clicar neles correm o risco de serem infectadas e dar continuidade à proliferação desse malware. Quem descobriu esse novo tipo de infecção foi um pesquisador de segurança da Kaspersky Lab.

“Esse malware está se espalhando pelo Facebook Messenger, entregando malware e adware multiplataforma e usando diversos domínios para evitar que descubram sua origem e gerar mais cliques. Esse código é avançado e ofuscado”, ressaltou David Jacoby, responsável pela descoberta.

Para evitar que os possíveis afetados desconfiem de algo errado, o malware é capaz de criar endereços de destinos conhecidos pelos usuários (como o YouTube, por exemplo), bem como redirecionar para páginas diferentes de acordo com o sistema operacional, localização e até mesmo o navegador padrão.

Mais explicações

O exemplo que publicamos a seguir dá uma ideia mais clara de como tudo funciona. O usuário recebe uma mensagem composta por um nome seguido da palavra “vídeo” e o emoticon de um emoji chocado com uma URL encurtada. No caso da imagem, a captura em questão exibe a mensagem “David Video”, e apresenta um link que direciona para um Google Doc, borra a imagem extraída do perfil de quem foi infectado e faz com que ela se pareça com um vídeo.

Ao que tudo indica, os criadores querem rastrear os hábitos de navegação de vítimas para exibir anúncios personalizados e que vão render lucro para os responsáveis por eles – que certamente visam obter bastante grana com isso e, de quebra, ganhar acesso a várias contas da rede social.

Um porta-voz do Facebook ressaltou que a empresa costuma manter “um número de sistemas automatizados para ajudar a barrar links ameaçadores e arquivos prejudiciais” de aparecerem na rede social. Enquanto esse caso não é resolvido, a melhor saída é suspeitar de qualquer mensagem que traga um link encurtado.

 

Pesquisadores da empresa de segurança Kaspersky descobriram um novo vírus chamado Fakedtoken, capaz de roubar os detalhes bancários de usuários de smartphones com sistema operacional Android. Surpreendente por sua sofisticação, o programa lembra que é importante estar sempre atento: nunca digite seus dados bancários em aplicações e sites de fontes desconhecidas ou a sua conta pode ficar vazia rapidamente.

Infelizmente, parece que mesmo na loja Google Play as aplicações não são necessariamente confiáveis. Os pesquisadores da Kaspersky, que recentemente lançaram um antivírus gratuito, não apenas descobriram que o programa pode roubar dados bancários dos correntistas, mas também monitorar suas mensagens de texto e chamadas telefônicas.

O vírus foi criado no ano passado e aprimorado ao longo de tempo. Inicialmente era um cavalo de Tróia capaz de interceptar mensagens de texto para roubar identidades bancárias. Agora, ele se propaga em mensagens via SMS enviadas em ondas para roubar o acesso bancário ao oferecer aos usuários a possibilidade de colocar suas fotos.

Para Michael Magrath, diretor mundial de Regulamentações e Padrões da Vasco Data Security, muitos aplicativos móveis são infectados e os usuários precisam aprender rapidamente que seus dados pessoais, incluindo os bancários, podem estar em risco. “Fakedtoken é um vírus impressionante, mas controlável. Programas criminosos como ele podem ser inibidos quando as aplicações móveis empregam a tecnologia Runtime Application Self-Protection [RASP]”, comenta Magrath, destacando que ela reúne um conjunto de tecnologias que agregam uma camada adicional de segurança diretamente nas aplicações móveis detectando e prevenindo os ataques criminosos.

“As aplicações moveis são mais vulneráveis durante a execução, quando estão abertas e desprotegidas contra-ataques realizados em tempo real. A tecnologia RASP mantém a sua integridade mesmo se o usuário inadvertidamente baixa um programa criminoso em seu aplicativo”, conclui o especialista.

A cada dia que passa aumenta a oferta de aplicativos para os mais variados fins, muitos deles capazes de guardar dados confidenciais do usuário – incluindo aqui o número do cartão de crédito. Até como consequência disso, a empresa de segurança Kaspersky alerta para uma nova ameaça visando esse tipo de software: a nova versão do Faketoken, que está de olho na vulnerabilidade de serviços internacionais de táxi e carona.

De acordo com a companhia, essa nova versão do cavalo de troia rastreia os aplicativos dinamicamente e, quando o usuário usa um determinado app, a tela é sobreposta por uma janela de phishing para roubar os dados do cartão bancário da vítima. O trojan apresenta até uma interface idêntica para confundir. No fim das contas, ele é capaz de captar todas as mensagens SMS recebidas e, dessa forma, oferecer acesso a senhas únicas enviadas pelo banco ou os serviços de táxi e carona.

Aliás, o cuidado deve ser ainda maior quando observamos que ele também pode monitorar as chamadas do usuário, gravá-las e transmitir os dados para os servidores de comando e controle.

“A melhor forma de se prevenir dessas ameaças? Instalando apenas aplicativos presentes nas lojas oficiais de cada sistema e um bom antivírus no aparelho.”

“O fato de os criminosos virtuais terem expandido suas atividades dos aplicativos financeiros para outras áreas, inclusive os serviços de táxi e carona, significa que os desenvolvedores desses serviços devem começar a prestar mais atenção à proteção de seus usuários, comenta Viktor Chebyshev, especialista em segurança da Kaspersky Lab.

Por enquanto, a nova versão do Faketoken visa principalmente os usuários russos. No entanto, a geografia dos ataques poderá ser ampliada facilmente no futuro, já que golpes do tipo são rapidamente traduzidos para os mais diversos idiomas.

Uma pequena adição de um chip com fins maliciosos pode fazer com que hackers tomem controle do seu smartphone. Essa é a conclusão de um estudo da Universidade Ben-Gurion do Neguev, em Israel, que mostrou como uma touchscreen modificada pode representar um grande risco para a segurança de usuários de smartphones.

O estudo, relatado pelo ArsTechnica, mostra como hackers podem incluir um pequeno chip em uma touchscreen e, com ele, assumir o controle de um dispositivo, além de roubar dados armazenados nele.

Os pesquisadores usaram dois dispositivos Android diferentes: um Huawei Nexus 6P e um LG G Pad 7.0. Nos dois casos, as partes maliciosas não custaram nem US$ 10, e garantiram aos pesquisadores a possibilidade de coletar o que estava sendo digitado no teclado, explorar vulnerabilidades de segurança e mais.

Quando o chip malicioso é instalado na touchscreen, ele consegue roubar dados e fotos do smartphone, além de direcionar o usuário para um site falso que faz com que o controle do aparelho fique nas mãos dos hackers. Por ser uma modificação de hardware, a detecção do ataque é dificultada e nem restaurar configurações de fábrica ajuda a recuperar o dispositivo.

Em um primeiro momento o ataque pode não parecer muito perigoso, já que exige modificação física do dispositivo para roubar o acesso a ele, mas os pesquisadores ressaltam como esse método pode ser bastante eficaz considerando como as pessoas costumam quebrar a tela de um smartphone – eles dizem que mais da metade dos usuários em algum momento danificam a touchscreen dos dispositivos. Isso faz com que um ataque que mira componentes de reposição de smartphones tenha possibilidade de ser bem sucedido.

Com o estudo, os pesquisadores querem mostrar como há aspectos de segurança ignorados pelas fabricantes, e como alguém com intenções ruins pode explorar esse descaso para prejudicar usuários. “Um adversário motivado pode ser capaz de desenvolver tais ataques em grande escala ou contra alvos específicos”, explicaram.