hackers Archives | Blog da Engenharia

HACKERS INVADEM SISTEMA DO CREA-SP

Monalisa Tainá Finger Deprá — Wed, 07 Dec 2022 13:02:26 +0000

Nesta madrugada de terça-feira (6), um ataque cibernético afetou o sistema de notificações do aplicativo para dispositivos móveis do Conselho Regional de Engenharia e Agronomia de São Paulo – CREA-SP, enviando aos usuários, alguns recados um tanto quanto inusitados.

O intitulado “Hacker Sincero” deixou claro uma dura crítica ao aumento de 8,83% no valor das anuidades, multas e serviços, que são pagos pelos profissionais do conselho, previsto para o ano de 2023, que foi aprovado pelo Plenário do Confea no dia 30 de setembro de 2022 por meio da Deliberação nº 279/2022 do Colégio dos Presidentes.

Entre as várias mensagens disparadas, algumas sugerem que as anuidades pagas, cada vez mais caras, são utilizadas para manter funcionários ociosos e que a infraestrutura do conselho é a mesma de 2010, presumindo que não há retorno do valor pago pelos profissionais, e que esses valores não são revertidos em investimentos. Além disso, as mensagens indicaram uma possível invasão aos dados dos dispositivos em que o aplicativo foi instalado:

“Seu app do CREA é um backdoor para hackers adentrar seu dispositivo“.
anunciava a notificação.

O CREA-SP afirmou em nota que não houve vazamento de dados pessoais e que a ação não causou nenhum prejuízo às funcionalidades disponíveis aos usuários da aplicação. Informaram ainda, que o problema já foi solucionado, o aplicativo segue funcionando normalmente e em segurança. Finalizou a nota indicando que medidas já foram tomadas para investigar a ação e responsabilizar os invasores.

Notificações divulgadas pelo hacker:

The post HACKERS INVADEM SISTEMA DO CREA-SP appeared first on Blog da Engenharia.

Mais 100 milhões de brasileiros hackeados: Afinal, como se proteger?

Paulo César Santos — Sat, 13 Feb 2021 17:08:19 +0000

O ano mal começou e já tivemos dois dos maiores vazamento de dados da história do país. Desta vez, o caso registra mais de 100 milhões de brasileiros hackeados.

Há poucas semanas, na última semana de janeiro, o país presenciou o maior caso de vazamento de dados da história da nação. Manchetes de vários jornais estampavam a quantidade surpreendente de brasileiros que tiveram seus dados vazados, cerca de 223 milhões.

Dados como CPF, e-mail, telefone, endereço, fotos, documentos, INSS e outras informações importantes foram disponibilizados para venda no famoso fórum RaidForum, onde criminosos vendem e compram dados roubados.

Porém, menos de 3 semanas se passaram e já tivemos um novo caso com um número incrível. Dessa vez, dados telefônicos de 100 milhões de brasileiros.

Entenda o caso

Nesta quarta-feira, 10 de fevereiro, a PSafe, empresa de segurança cibernética, confirmou o vazamento de dados telefônicos de 102.828.815 de brasileiros.

Dados como CPF, número do celular, tipo de conta telefônica, minutos de ligação e outras informações pessoais estariam disponíveis para venda na Deep Web – “lugar” na internet que hospeda conteúdos não indexados e que não podem ser encontrados nos navegadores que tanto conhecemos.

Além disso, segundo a PSafe, o cracker responsável pelo crime afirma que as informações foram roubadas da base de dados das operados Claro e Vivo.

Porém, nenhuma investigação oficial constatou a veracidade da afirmação. A reportagem do Neofeed informa 57,2 milhões de contas telefônicas da Vivo e de 45,6 milhões da Claro, mas já se sabe que estes números são inferiores a base de dados das respectivas operadoras.

Além disso, segundo a CNN Brasil que contatou a Claro, a operadora “não encontrou evidências que comprovem a alegação dos criminosos” e menciona que, talvez, o criminoso tenha atribuído o crime a estas empresas como forma de passar credibilidade à mercadoria furtada.

E como se cuidar?

Ataques de crackers e vazamento de dados são mais comuns do que costumamos imaginar. De vez em quando, quando sai no jornal alguma matéria dessas ou como a do cibercrimoso de Oldsmar – que invadiu a estação de tratamento de água, na sexta-feira dia 5, e tentou envenenar a população – é que nos damos conta do quanto podemos estar desprevenidos.

Portanto, é muito importante se resguardar e manter o olhar atento.

Não acredite em e-mails e contatos que possam soar estranhos ou inesperados demais, pois já que muitos dados foram furtados recentemente, não dá pra confiar nem mesmo naqueles que possuem seu endereço, CPF ou nome corretamente, por isso mantenha-se prevenido.

Recomendamos que de vez em quando, troque senhas importantes como senhas de banco e e-mails – e convenhamos, esta é uma excelente hora para fazer isso.

Evite clicar em links suspeitos, seja navegando pela internet, por e-mails ou SMS, pois muitas eles carregam programas espião.

Lembre-se de utilizar um bom antivírus atualizado – tanto no celular quanto computador.

Além disso, o G1 publicou recentemente uma notícia sobre criminosos que através dos dados do CPF vêm sacando o FGTS das vítimas, já que o aplicativo do FGTS não solicita confirmação da identidade do usuário.

Recomendamos que baixe o aplicativo Meu FGTS, no Google Play ou Apple Store, e faça o quanto antes o cadastro e confira seu saldo.

Aproveite e siga o Blog da Engenharia no Instagram!

The post Mais 100 milhões de brasileiros hackeados: Afinal, como se proteger? appeared first on Blog da Engenharia.

Conheça a relação entre hackers e a ‘engenharia social’

Eduardo Cavalcanti — Thu, 17 May 2012 02:48:02 +0000

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Quando hackers aparecem na ficção, normalmente eles são retratados como conhecedores da área de informática, que usam apenas falhas em sistemas para conseguir realizar uma invasão, o roubo de dados ou a destruição de um sistema. O hacker norte-americano Kevin Mitnick, que chegou a ser condenado por crimes de informática, conseguiu muita coisa manipulando pessoas – e não bits.

No livro que publicou em 2002, “A Arte de Enganar”, Mitnick revela que boa parte das invasões que realizou só foi possível porque ele enganava pessoas para que lhe dessem as senhas dos sistemas. Com as senhas na mão, bastava “entrar pela porta da frente”.

Até hoje, em muitos casos, os roubos de internet não acontecem devido a alguma técnica sofisticada dos criminosos, mas sim por falha da própria vítima.

Um grande exemplo são as fraudes bancárias brasileiras que ocorrem pela internet. Quase todas começam com uma mensagem de e-mail que convence a vítima de alguma mentira – como uma investigação policial, uma mensagem especial, uma declaração de amor ou mesmo uma solicitação falsa do próprio banco. Quando a vítima cai e clica no link oferecido, fazendo normalmente o download do software, ela estará infectada com um ladrão de senhas bancárias.

Não é necessária, de modo geral, nenhuma técnica avançada de informática. Apenas o envio de uma mensagem falsa para milhares (ou milhões) de possíveis vítimas para que algumas dessem voluntariamente – embora sem saber – cedam o controle do computador aos hackers.

É claro que alguns golpes fazem, sim, uso de técnicas mais sofisticadas. Mas muitas fraudes têm sucesso mesmo explorando apenas o ser humano.

O conjunto de técnicas para manipular o ser humano é chamado de “engenharia social” no campo de segurança da informação.

Uma reportagem do “Bom Dia São Paulo” do início de abril mostra como um golpe de engenharia social pode ser aplicado sem envolver computadores. Um grupo de mulheres alterava caixas eletrônicos para que o cartão da vítima ficasse preso. Uma das envolvidas fornecia panfletos informativos com o número de telefone do banco falsificado.

Quando o cliente ligava para “o banco”, acabava cedendo todas as informações da conta para outra pessoa do grupo. Em seguida, os dados eram usados para roubar o dinheiro da conta.

Outro golpe já clássico no Brasil e que mesmo assim continua acontecendo é o do bilhete premiado. Um golpista alega que tem um bilhete premiado e que não poderá retirar o prêmio, oferecendo-o à vítima – normalmente idosos. Há variações do golpe, e algumas fontes, segundo o site Monitor das Fraudes, indica que esse golpe é realizado no Brasil desde 1940.

O golpe do bilhete premiado foi adaptado para o prêmio da falsa promoção, em que a vítima recebe um SMS ou um e-mail comunicando que ela foi sorteada para receber algo. O golpista normalmente exige que a vítima pague algum valor adiantado – como o frete – para poder receber o prêmio. Claro, o prêmio nunca chega.

A fraude do falso sequestro – em que o golpista afirma ter sequestrado alguém da família, fingindo todo o episódio – é outro exemplo.

Combinadas com a internet, essas fraudes podem ficar ainda mais elaboradas. Por exemplo, se alguém descobrir o seu nome e perfil no Facebook, a próxima ligação fingindo ser um falso sequestro poderá ter muitas outras informações para que o golpe pareça mais real.

Em 2009, Dmitry Bestuzhev, especialista da fabricante de antivírus Kaspersky Lab, explicou ao G1 que o criminoso brasileiro compensava as técnicas rudimentares com a lábia, quer dizer, com a engenharia social. Desde então, os hackers brasileiros melhoraram bastante tecnicamente. Mesmo assim, as técnicas de engenharia social continuam como pilares do crime virtual brasileiro.

Não existe uma dica para evitar a engenharia social. É preciso pensar como o criminoso: estou fornecendo alguma informação que pode ser usada contra mim? Estou, talvez, seguindo um link ou uma instrução que pode me prejudicar? Como ter certeza que a informação é realmente correta – como no caso do número de telefone nos panfletos falsos do banco?

Não existe solução técnica para engenharia social. É realmente preciso ter noção dos riscos de cada atitude e tentar confirmar a autenticidade de tudo – seja de um bilhete, de um torpedo promocional, de um e-mail, de um panfleto ou de uma chamada telefônica. Como será possível confirmar essa autenticidade dependerá das ferramentas e informações disponíveis. Mas, sabendo dos riscos de ser enganado, pender para a dúvida e desconfiar pode não ser uma má ideia.

Dica enviada pelo leitor Junior Mesquita
Fonte original: G1 – Segurança Digital

The post Conheça a relação entre hackers e a ‘engenharia social’ appeared first on Blog da Engenharia.