blog.dennyroger.com.br

Phishing tenta enganar o usuário com notificação falsa de compra, instalando o trojan Bifrose no computador da vítima.

Nesta quinta-feira (26/07) um novo phishing relacionado a empresas aéreas está circulando pela rede, desta vez os falsários utilizam remetentes da Gol.

O e-mail supostamente enviado pelo endereço “reservas@voegol.com.br” se camufla como uma notificação de compra. Todas as informações são falsas, contudo os links para as tabelas de vôos e site da Gol são verdadeiros.

O link contido na mensagem “Caso desconheça essa compra, cancele imediatamente clicando aqui”, leva o usuário a uma página falsa. Nesta página, enquanto uma imagem de carregamento do site é exibida, o trojan “Bifrose” é instalado na máquina do usuário. Esse malware baixa automaticamente um keylogger (malware para roubar senhas).

O site é hospedado na Nova Zelâncdia, no portal FootPrint, conhecido por manter muitos códigos maliciosos. Segundo Fernando Fontao, engenheiro de sistemas da WebSense, “O hacker utilizou uma roupagem nova para o golpe, contudo o script utilizado já é conhecido”.

De acordo com Fernando esses malwares normalmente utilizam os arquivos DLL do próprio browser, dificultando a identificação de suas ações por um firewall.

Pela análise do especialista em segurança, Denny Roger, os principais antivírus do mercado como o Kaspersky, McAfee e Norton não identificaram o malware.

Roger recomenda o uso de um bom firewall pessoal, pois o usuário seria avisado que um aplicativo está tentando enviar informações. “Firewalls simples, como o do Windows, não interagem com o usuário. Alertando somente ataques externos, não perguntando a respeito das conexões do computador para a internet”.

Um usuário acostumado a comprar passagens via internet pode ser enganado facilmente. Pois muitas vezes o volume de compras é alto, levando o usuário a clicar rapidamente pensando ter comprado uma passagem errada.

Fonte: http://idgnow.uol.com.br/seguranca/2007/07/26/idgnoticia.2007-07-26.9787086486/

Sem comentários »

No dia 19 de setembro de 2007, Denny Roger estará demonstrando na prática técnicas de segurança e forense, no XVI CNASI /CLASI – Congresso Nacional de Auditoria de Sistemas, Segurança da Informação e Governança, Congresso Latino Americano de Auditoria de Sistemas, Segurança da Informação e Governança.

Este evento é realizado há 16 anos para profissionais envolvidos em processos decisórios e estratégicos dentro das organizações. Este ano o evento torna-se internacional. Estarão participando do evento representantes de TI de toda a América Latina.

Para mais informações sobre este evento acesse http://www.cnasi.com.br/.

Sem comentários »

O e-mail que tem circulado na Web de sorteio de ingressos para os jogos Pan-Americanos 2007 é falso. A mensagem alega que o internauta foi sorteado com entradas para a cerimônia de encerramento da competição.

Segundo o especialista em segurança Denny Roger, esse vírus parece ser apenas um teste de disseminação. “Às vezes o desenvolvedor do vírus cria um esquema de spam combinado com vírus só para testar a técnica”. De acordo com Roger, dos 31 softwares de antivírus utilizados no teste, apenas quatro não conseguiram detectar a praga. Entre os programas que não detectaram o vírus estão FileAdvisor, Microsoft, NOD32v2 e VirusBuster.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=8460

Sem comentários »

São Paulo - Crackers já exploram o acidente com o avião da TAM para realizar crimes online. Golpe instala cavalos-de-tróia na máquina da vítima.

Está circulando pela internet um e-mail falso sobre o acidente do vôo 3054 da TAM que instala um cavalo de tróia na máquina do usuário.

O e-mail com o título “Informativo TAM – 21h (17/07/2007)”, é enviado pelo remetente “ouvidoria@tam.com.br. O Corpo do e-mail contém informações já divulgadas na imprensa, como o número antigo de tripulantes (170), telefone disponibilizado para as vítimas e telefone falso da assessoria de imprensa da TAM.

Ao final do e-mail lê-se a mensagem: “Clique aqui para assistir ao vídeo gravado pelo circuito interno da infraero”. O link na verdade instala um cavalo-de-tróia na máquina do usuário, que serve para instalar um outro malware para roubar senhas. O malware baixado é o “Banload.cdl”. Segundo a Kaspersky o Banload.cdl é um malware utilizado para baixar outros malwares, como um “keylogger” utilizado para roubar senhas.

É preciso tomar cuidado, pois em um relatório enviado pelo analista de segurança de redes, Denny Roger, muitos antivírus não conseguiram detectar o malware.

A Websense também realizou o teste e identificou a existência dos malwares, um trojan de download e outro para roubo de senhas. Uma nota sobre a ação dos crackers foi divulgada, a fim de alertar os usuários.

Os supostos telefones da assessoria de imprensa, informados no e-mail, são de uma pessoa sem nenhuma ligação com a TAM. “Estou recebendo ligações desde às 19h30 de ontem”, afirmou por telefone a pessoa, que não quer seu nome divulgado.

Segundo Marcos Prado, gerente de desenvolvimento de canais da WebSense para a América Latina, assuntos com grande repercussão tendem a ser utilizados em golpes.

“Como este caso traz uma repercussão grande, não só no Brasil como lá fora, é bem provável que as pessoas utilizem esse assunto para conduzir o internauta a um site de phishing onde serão instalados keyloggers” afirma Marcos.

Nestes casos a Websense recomenda não acessar links e mensagens recebidas de pessoas desconhecidas. Passando o mouse sobre o hiperlink, sem clicá-lo, revela o endereço para qual você será direcionado.

Fonte: http://idgnow.uol.com.br/seguranca/2007/07/18/idgnoticia.2007-07-18.2263542869/

Sem comentários »

Os e-mails falsos, utilizando o acidente aéreo da TAM, que aconteceu nesta terça-feira (17/07), como chamariz, devem surgir a partir do próximo sábado (21/07), alerta Denny Roger, especialista em segurança. “Os crackers costumam preferir o fim de semana para disseminar pragas virtuais e roubar dados confidenciais como senhas bancárias ou números de cartões de crédito”, confirma Roger.

Roger explica que durante a semana os crakers começam a preparar o vírus. “Eles pegam um Trojan pronto e fazem algumas alterações, criando assim uma variante, para que ele não seja identificado por antivírus”. Depois disso, os golpistas passam a procurar servidores fora do Brasil que tenham alguma vulnerabilidade que permita a invasão. “Mas é na sexta-feira de madrugada que eles dão inicio ao ataque para hospedar o vírus no servidor internacional escolhido”. No sábado de manhã, afirma Roger, é quando eles dão início à disseminação entre internautas.

O especialista afirma que eles dão preferência aos fins de semana porque é quando as empresas estão fechadas. “Os servidores internacionais ficam mais vulneráveis nos finais de semana por não ter ninguém trabalhando na área de TI das empresas e não ter como desativar os vírus. Eles também tiram vantagem do fuso horário”.

Além disso, os crackers costumam focar os ataques em usuários domésticos, que são mais vulneráveis do que empresas, justifica Roger. “As empresas estão protegidas por antispams e antivírus”.

Já a preferência por servidores internacionais é feita por dificultar a investigação do ataque. “Para saber quais as técnicas utilizadas no golpe é preciso ter acesso ao servidor invadido. Mas quando esta máquina está em outro país é praticamente impossível conseguir ter acesso a ela. Geralmente as empresas invadidas apenas apagam o vírus e sem as provas é impossível rastrear o criminoso”.

Confira o ciclo da disseminação

Primeira etapa: durante a semana o cracker escolhe um Trojan pronto e faz alterações no código para não que ele não seja pego por antivírus.

Segunda etapa: o cirminoso procura servidores vulneráveis em outros países também durante a semana.

Terceira etapa: cracker invade e hospeda o Trojan no servidor internacional, geralmente nas sextas-feiras de madrugada.

Quarta etapa: no sábado de manhã ele dá continuidade ao processo com o disparo de spams (e-mails falsos) com algum assunto que desperte a atenção dos internautas como pano de fundo. No Brasil, por exemplo, ele poderia usar o acidente da TAM, que aconteceu nesta terça-feira (17/07)

Etapa final: o vírus começa a agir nas máquinas dos usuários contaminados para roubar informações, apagar arquivos ou qualquer outra atividade que varia de acordo com o que vírus foi programado para fazer.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=8435

Sem comentários »

Chief Security Officer coloca a segurança na linha de frente dos negócios. Por Denny Roger.

Chief Security Officer (CSO) é o executivo que comanda a equipe ou a área de segurança da informação de uma empresa. Este profissional é geralmente subordinado ao CIO (Chief Information Officer), mais conhecido como diretor de Tecnologia da Informação (TI) - antigamente chamado de gerente ou diretor do CPD (Centro de Processamento de Dados).

Este profissional é o responsável pelas áreas de risco, segurança da informação e conhecimento da empresa. Com o crescente aumento dos incidentes de segurança, a área de Tecnologia da Informação tornou-se complexa e difícil de ser administrada. São tantas as tecnologias de segurança e novas ameaças (vírus de computador, hackers, crackers, funcionários internos etc.) que dificilmente encontramos profissionais qualificados para exercerem tal cargo.

O CSO é mais uma prova de que o profissional de segurança passou de uma posição técnica para a linha de frente dos negócios da empresa. Isso ocorre porque o CSO, o Security Officer e o Analista de Segurança são responsáveis pela definição e implementação da estratégia de segurança da empresa. Outra responsabilidade é garantir a compatibilidade da empresa em que atua com as melhores e mais atualizadas práticas mundiais.

Cada vez mais valorizado, este pode ganhar salários de até 20 mil reais, além de polpudos bônus anuais ou semestrais, se atingir suas metas. São profissionais escassos e muito disputados no mercado.

A sua carreira pode ter sido construída dentro da empresa, mas este profissional costuma ser melhor avaliado se vier de fora. Geralmente é uma pessoa mais ligada à tecnologia do que às áreas administrativas.

Sua formação pode vir das áreas técnica, administrativa (menos comum) e até de área nenhuma - muitos são ‘gênios’. Se existe uma área onde profissionais de sucesso são autodidatas é nesta.

Geralmente os CSOs são profissionais que dependem pouco dos valores corporativos das empresas. Suas carreiras são feitas em várias delas. Mudar é preciso e faz bem a eles.

Atualmente as organizações estão criando cargos novos para os CSOs, às vezes com nomes e formas de se reportar diferentes, que vão do diretor financeiro ao próprio presidente.

Após o episódio de 11 de setembro estes profissionais passaram a ser muito valorizados, tendo suas características pessoais, geralmente pouco comuns, mais aceitas. Têm preferência por trabalhar em horários flexíveis e de forma remota. Em grandes corporações, os CSOs precisam estar sempre em contato com a matriz e seguir suas orientações. Ao mesmo tempo precisam conhecer muito bem o “underground” local.

No Brasil, as maiores preocupações dos CSOs têm sido a aquisição e a implementação de ferramentas de segurança e programas de treinamento de funcionários da empresa.

Sim, programas de treinamento de funcionários da empresa. Em 2006, mais de 35% dos incidentes de segurança ocorridos em companhias nas quais presto serviços, foram originados por funcionários internos.

Nesta hora, a responsabilidade sobre o assunto passa pelo diretor de Recursos Humanos e esbarra até no presidente. O que leva os funcionários a serem responsáveis por tão elevado percentual? Esse número preocupa e acaba se tornando um desafio para todos. Como reduzir esses incidentes? E como fazer com que os funcionários internos respondam mais aos treinamentos e programas de conscientização?

Denny Roger é especialista em análise de risco, projetos de redes seguras e perícia forense. Atuou como Security Officer de instituições financeiras no Brasil e é autor do curso Segurança da Informação em Ambientes de Rede. E-mail: denny@dennyroger.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2007-07-17.0103123348

Sem comentários »

Aconteceu hoje em São Paulo a terceira edição do Seminário de Computação Forense, organizado pelo Instituto de Desenvolvimento de Eventos em Tecnologia (IDETI) e o ISACA - atendendo aos profissionais de Governança de TI - São Paulo Chapter.

Foi uma grande satisfação poder colaborar com o evento como palestrante. Apresentei a perícia realizada no trojan utilizado na operação Cavalo de Tróia II, técnicas de ataque utilizando o Google, técnicas de cross site scripting, link spoofing e ação, na prática, do Cavalo de Tróia programado para roubar senhas de internet banking.

O público presente que participou com perguntas recebeu cadernos da Batori.

O evento contou ainda com a participação dos colegas e especialistas em perícia forense Fábio Ramos (AXUR), Giuliano Giova (Instituto Brasileiro de Peritos em Comércio Eletrônico e Telemática) e Renato Opice Blum (Opice Blum Advogados Associados).

Abraços,

Denny Roger
denny@dennyroger.com.br
www.dennyroger.com.br

Sem comentários »

A partir do dia 01 de julho de 2007 a ISO 17799 mudou para ISO 27002.

A norma sobre boas práticas para a gestão da segurança da informação agora faz parte da série 27000 - Information Security Management Systems.

As empresas que tem como objetivo a certificação na área da segurança da informação, utilizam a ISO 27001, mais a ISO 17799 (que agora mudou para ISO 27002).

Para adquirir a sua norma, acesse http://www.abntnet.com.br/fidetail.aspx?FonteID=24970.

Abraços,

Denny Roger
denny@dennyroger.com.br
www.dennyroger.com.br

Sem comentários »

Uma empresa de Santos, litoral sul de São Paulo, seria responsável pela tentativa de golpe virtual em nome da companhia aérea GOL. A constatação foi feita pelo especialista em segurança Denny Roger.

Segundo ele, a falsa mensagem diz que o cliente recebeu a confirmação de compra de uma passagem com trecho entre São Paulo e Porto Alegre pela Gol Linhas Aéreas Inteligentes. Caso a pessoa não reconheça a compra, ela deve clicar para entrar no site da companhia ou entrar em contato por um número 0800. É justamente nesse momento que o criminoso virtual tentará roubar os dados da pessoa por meio de um trojan. Essa praga está programada para fazer download de outro vírus na Internet.

Roger adverte que a mensagem é falsa e que e o internauta deve deletar o e-mail e não clicar em nenhum link e nem ligar para o número indicado. “A recomendação é utilizar um programa de antivírus, firewall pessoal e um software que monitora qualquer alteração no registro do Windows”, diz. O experte ressalta ainda que o ponto fraco desse tipo de proteção é que tanto usuários quanto profissionais de TI não conseguem identificar o que podem permitir ou não na alteração do registro do programa. “Sendo assim, acabam permitindo qualquer tipo de alteração ou desabilitando o recurso que protege as alterações no registro”, observa.

O especialista revela ainda que ao rastrear a origem da mensagem chegou à empresa:

SOCIEDADE VISCONDE DE SAO LEOPOLDO
documento: 058.191.008/0001-62
endereço: av. Conselheiro Nébias, 300, 3º andar
endereço: 11015-002 - Santos - SP
país: BR”

O corpo da mensagem diz:
Saída: SAO-Congonhas-SP (CGH)
Chegada: Porto Alegre-RS (POA)
Subtotal: R$ 329,62
*Taxa de embarque inclusa.
* Caso desconheça esta compra, cancele imediatamente clicando aqui.
SAC GOL
0300 789 2121
http://www.voegol.com.br

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=8318

Sem comentários »