A ESET, empresa europeia líder em soluções de cibersegurança, reuniu quatro dos seus especialistas para prever as tendências mais relevantes da área em 2024. Neste mundo cada vez mais tecnologicamente interligado, é importante seguir de perto a evolução das ciberameaças para saber como se proteger das novas gerações de esquemas fraudulentos e malware.
Ransomware: Mais extorsão, resgates mais elevados, os mesmos atores Jakub Souček, Investigador Sénior de Malware: Com base nas nossas observações de 2023, em 2024 prevemos que os atores de ransomware sejam cada vez mais ativos e mais agressivos nos seus pedidos de resgate. No entanto, como os principais grupos de ransomware atuais se concentram na expansão dos seus programas de afiliados e esses esquemas empregam muitos dos cibercriminosos atualmente disponíveis e tecnicamente qualificados, não esperamos que um grande número de novos atores importantes surja em 2024. IoT: Potencialmente perigoso, mas negligenciado por muitos fabricantes e utilizadores finais Milan Fránik, Investigador de Malware: O malware IoT (“Internet das Coisas”) tem passado para a periferia das preocupações dada a sua difícil deteção, monitorização e mitigação muitas vezes inatingível. Ainda assim, representará um risco significativo em 2024, bem como nos próximos anos, uma vez que os dispositivos inteligentes podem ser facilmente explorados para criar grandes redes DDoS, redes de anonimização ou ser utilizados para o rastreio direcionado de utilizadores VIP. Embora estejam disponíveis normas de segurança adequadas para a proteção da IoT, nem todos os fabricantes estão dispostos a implementá-las. Os utilizadores finais também se mostram indiferentes ao facto de os seus dispositivos inteligentes realizarem atividades ilícitas, uma vez que isso não afeta a sua experiência. Ao mesmo tempo, os atacantes exploram um número cada vez maior de pontos fracos e tipos de dispositivos com uma proficiência alarmante. Por conseguinte, a monitorização da atividade maliciosa da IoT através de ‘honeypots’ e outras ferramentas será crucial para compreender e abordar as ciberameaças atuais e emergentes neste domínio no futuro. IA: Conteúdo malicioso acelerado, engenharia social e campanhas de desinformação Ondrej Kubovič, Especialista em Sensibilização para a Segurança: Observámos indícios de cibercriminosos que utilizam IA generativa para melhorar as suas campanhas de ataque atuais, especialmente no que diz respeito ao conteúdo utilizado para burla, phishing ou manipulação dos utilizadores. Em 2024, esperamos que essa tendência se acelere com a IA a tornar-se central para a geração de componentes de engenharia social dos ataques. Outras áreas em que as ferramentas alimentadas por IA poderão ter um efeito de aceleração são as campanhas de desinformação e ‘deepfake’ utilizadas por razões políticas, ideológicas (ou outras), demonstradas por exemplos como o áudio ‘deepfake’ divulgado um dia antes das eleições gerais eslovacas ou a multiplicidade de vídeos falsos difundidos através das redes sociais no contexto da atual guerra de Israel contra o Hamas. No domínio das ameaças financeiras, os investigadores demonstraram que a IA generativa pode ser utilizada de forma abusiva para escrever scripts para ‘web skimming’[1], o que poderá levar a um aumento de ameaças como o Magecart num futuro próximo. Android: Malware com aspeto mais confiável e de rápida disseminação; SpyLoan a espalhar-se para além das fronteiras atuais Lukáš Štefanko, Investigador de Malware: Para 2024, no Android, esperamos assistir a um crescimento contínuo de adware, clickers e apps ocultas, cujos operadores ganham dinheiro mostrando grandes quantidades de anúncios à vítima. Esta abordagem funciona porque muitos utilizadores não querem pagar pelas suas apps e, em vez disso, optam por versões falsas gratuitas, acompanhadas de malware, disponíveis em mercados de terceiros. Esperamos também que os operadores de malware aproveitem a IA para melhorar a qualidade linguística e a confiabilidade das suas apps e conteúdos maliciosos. A sua distribuição também se tornará mais fácil e rápida, dadas as capacidades generativas dos modelos de IA que podem criar novos websites com um simples clique. Um ponto de particular preocupação é a manifestação digital da usura representada pelas apps maliciosas SpyLoan, que registaram um crescimento alarmante de 285% em relação ao ano anterior. Embora predominantemente disseminadas através de mercados de terceiros, algumas instâncias destas apps também foram retiradas do Google Play, onde poderão ressurgir em 2024. Além disso, prevemos que a influência geográfica das apps SpyLoan se expanda para além da América Central e do Sul e do Sudeste Asiático, onde são mais prevalecentes atualmente. Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Tendencias-para-2024 [1] https://en.wikipedia.org/wiki/Web_skimming Quando compra um novo smartphone, é provável que procure a melhor relação qualidade-preço. Se está à procura de um dispositivo topo de gama, mas não quer pagar muito por ele, as ofertas de fabricantes menos conhecidos farão provavelmente parte da sua lista. De facto, no mercado ferozmente competitivo dos smartphones, a escolha pode até ser difícil, uma vez que alguns concorrentes pouco conhecidos, mas de topo de gama, podem, em muitos aspetos, rivalizar com os produtos de topo de titãs tecnológicos estabelecidos, como a Apple, a Samsung e a Google.
No entanto, como revela a ESET, empresa europeia líder em soluções de cibersegurança, se optar por esta via é essencial proteger-se com software de segurança, como o ESET Mobile Security. Embora os telemóveis destinados aos que se preocupam com o preço possam não ser muito caros, perdem quando avaliados em função de critérios como o reconhecimento da marca, as tecnologias de telecomunicações concorrentes e, nalguns casos, a segurança global e a privacidade dos dados. O prestígio (ou a falta dele) e as políticas de preços associadas a alguns fabricantes também têm impacto na perceção do público - afinal, o smartphone evoluiu para um dos principais símbolos de estatuto do nosso tempo. Nalguns aspetos, até mesmo alguns dispositivos de ponta podem ser relegados para a categoria de gama média ou até mesmo para a categoria económica. Especialmente nesta última, os smartphones vêm muitas vezes carregados com versões mais antigas do Android e têm menos, ou nenhum, apoio pós-venda. Muitas vezes, não recebem nem atualizações de funcionalidades nem de segurança, recebem-nas tardiamente ou apenas durante um curto período de tempo, e os seus fabricantes podem até ser totalmente excluídos do ecossistema de apps da Google Play Store. Como demonstrado por vários casos em que os telemóveis foram enviados com malware diretamente de fábrica, a segurança da cadeia de fornecimento é outro motivo de preocupação. Multiverso Android? Com uma quota de mercado de mais de 70%, ou seja, cerca de 3,3 mil milhões de utilizadores ativos, o Android mantém a sua posição como o sistema operativo móvel líder a nível mundial. No entanto, nem tudo é igual no mundo dos Androids. Entre os smartphones com Android com todas as funcionalidades, a Samsung lidera com uma quota de mercado de quase 35%, enquanto a sua quota no mercado total de smartphones ascende a 20%, logo atrás da Apple. A Samsung está a liderar o grupo graças à sua capacidade de inovação e à elevada qualidade dos seus produtos, que apresentam várias opções para todos os orçamentos. Mas essa liderança também tem a ver com o facto de os seus telefones beneficiarem de salvaguardas de segurança integradas no Google Play e de muitos dos seus telefones virem com atualizações de software durante períodos de tempo mais longos do que a maioria dos seus concorrentes no fragmentado ecossistema Android. Em última análise, tudo isto garante uma integração otimizada do hardware e do software e, por extensão, melhora a experiência do utilizador e a segurança. Entretanto, os novos telemóveis, por exemplo, do gigante tecnológico chinês Huawei, estão impedidos de entrar na Google Play Store desde 2019. A fim de manter a sua presença no mercado global, a empresa, que possui a sua própria gama de modelos de smartphones topo de gama, criou o seu próprio sistema operativo chamado HarmonyOS. Este sistema operativo é largamente baseado no Android Open-Source Project (AOSP), disponível gratuitamente. No entanto, estas exclusões do Google Play podem ter implicações de segurança para os utilizadores finais. Segurança coletiva Para além das funcionalidades de segurança integradas no Android, os utilizadores também beneficiam de segurança alargada através da própria Google Play Store e das suas salvaguardas Play Protect pré-ativadas. Este ambiente de apps Android oficialmente sancionado está integrado nos telemóveis dos fabricantes de smartphones que estão em conformidade com os regulamentos da EU e dos EUA. A segurança da loja é apoiada pela App Defense Alliance do Google, que foi lançada em novembro de 2019 e conta com a ESET como membro. A Google Play Store é o lar de mais de 2,6 milhões de apps e quase todos elas poderiam, em teoria, ter "funcionalidades adormecidas" maliciosas invisíveis no momento do upload ou, como foi o caso do malware Ahmyth, recentemente descoberto pela ESET, receber uma atualização maliciosa mais tarde num incidente também destacado no relatório Threat Horizons de agosto de 2023 do Google. Quando as ameaças são detetadas em lojas preocupadas com a segurança, como a Samsung Galaxy Store e até mesmo a Google Play Store, os seus operadores agem rapidamente para remover as apps. Como tal, os dispositivos Android estão em risco de vários tipos principais de malware. Estes são os trojans bancários, que roubam credenciais de início de sessão e podem mesmo contornar a autenticação de dois fatores (2FA). Outra ameaça é representada pelos trojans de acesso remoto (RATs), que podem espiar as vítimas e receber comandos diretos dos atacantes para roubar dinheiro, credenciais ou dados, sequestrar contas de redes sociais e gravar chamadas telefónicas. Há também o ransomware para Android que se propaga frequentemente através de ligações maliciosas em websites seguros ou em mensagens de correio eletrónico. Manter as pessoas a salvo deste tipo de riscos é fundamental para a missão da Alliance. A segurança diz-nos respeito a todos A maioria dos dispositivos Android vem equipada com interfaces gráficas (“launchers”) do fabricante sobre a versão básica do Android e oferece acesso ao Google Play. Existem também fornecedores que estabeleceram uma posição no mercado com outros sistemas operativos baseados em AOSP, mas as suas lojas de apps e as apps nelas disponíveis não são controladas pela App Defense Alliance. A utilização de lojas de apps de terceiros ou de outros locais não controlados pode ser tentadora, uma vez que apresentam apps que poderá não encontrar nas lojas principais ou oferecem alternativas totalmente de código aberto (FOSS) que contornam as restrições regionais - ou simplesmente não foram criadas por um gigante tecnológico com o qual não quer partilhar os seus dados. E embora algumas destas lojas possam ser devidamente regulamentadas e geridas por empresas legítimas, existem também centenas de lojas de apps com processos de verificação menos rigorosos, ou mesmo inexistentes. Surge um resultado final, em que os riscos de apps e lojas de apps alternativas têm maior probabilidade de afetar algumas marcas de telemóveis do que outras, e é uma preocupação especialmente para quem não tem acesso ao sistema operativo e aos ambientes de apps autênticos da Google. [Nota: Mesmo as pessoas que decidem dispensar as salvaguardas integradas nos telemóveis Android suportados pelo Google Play e instalar apps de fora da loja de apps oficial podem, ou poderão em breve, utilizar o scanner em tempo real da loja para verificar apps de outras fontes]. Cuidado nunca é demais Não faltam exemplos de riscos envolvendo lojas de apps de terceiros e fabricantes de telemóveis, incluindo aqueles de que provavelmente nunca ouviu falar. Vamos analisar pelo menos alguns que surgiram ao longo dos anos:
Aqui há monstros A ESET Research continua a detetar ameaças móveis, incluindo aquelas que têm como alvo os utilizadores de software de lojas de terceiros ou malware distribuído em mensagens ou em websites. Ameaças recentes, como o spyware Kamran, escondido numa app de notícias no Paquistão e descarregando diretamente de um website de notícias legítimo, mostram apenas um dos muitos problemas com apps não verificadas. Depois de descarregar a app e aceitar os seus termos, a app começou a recolher dados como contactos, eventos do calendário, registos de chamadas, informações de localização, ficheiros do dispositivo, mensagens SMS, imagens e muito mais. É muito provável que não seja da região de Guilguite-Baltistão, no Paquistão. No entanto, independentemente do local onde vive, é provável que utilize uma grande variedade de apps que o ajudam com operações bancárias, fornecem atualizações de notícias importantes ou servem apenas de entretenimento. Seja qual for o preço, a marca ou o sistema operativo do seu telemóvel, deve explorar o mundo online com precaução. Escolher a opção de segurança multicamada Entre outras coisas, a campanha de Kamran revelou a importância do local onde os utilizadores obtêm as suas apps, bem como a necessidade de várias camadas de segurança nos dispositivos móveis. Simplesmente, o arsenal de ameaças e os diversos métodos de ataque disponíveis para os criminosos – independentemente da localização – exigem proteção. Por esta razão, soluções como o ESET Mobile Security não só bloqueiam o malware, como apresentado no caso Kamran, mas também oferecem uma proteção abrangente que verifica e bloqueia sites potencialmente prejudiciais e vem equipada com proteção de pagamento, anti-phishing e capacidades antirroubo proativas. Desde spyware como o Kamran até outras ameaças descobertas pela ESET, o EMS ajuda muito a protegê-lo contra estas ameaças. De facto, o EMS teria apanhado o Kamran duas vezes – em primeiro lugar, através da funcionalidade Anti-Phishing que teria impedido o acesso à página e, em segundo lugar, graças ao seu módulo Antivírus que teria analisado a app maliciosa antes e durante o processo de instalação, bloqueando-a eficazmente. Quer seja por necessidade ou por sentido de aventura, se estiver a mergulhar nas águas desconhecidas dos telemóveis baratos de fabricantes obscuros, lojas de apps de terceiros e apps não convencionais, poderá enfrentar uma viagem perigosa. Neste tipo de viagem, dar prioridade à segurança é uma obrigação. A coisa mais fácil que pode fazer é descarregar uma solução de segurança testada pelo tempo, como o ESET Mobile Security, repetidamente premiado por testadores de terceiros como AV-Comparatives e outros. Tomando como ponto de partida que um simples antivírus já não basta para proteger a vida digital, a ESET propõe uma abordagem integrada da cibersegurança doméstica para utilizadores de todos os níveis de experiência. A ESET, a maior empresa europeia especialista em cibersegurança, anunciou hoje o lançamento da sua nova oferta inovadora e integrada para utilizadores domésticos. Com mais de 30 anos de experiência no mercado, a ESET está a unificar o seu portfólio de produtos de consumo amplamente difundidos. Em particular, a ESET apresenta três novos níveis de subscrição orientados para o consumidor, proporcionando uma proteção da vida digital ampla e fiável com novas funcionalidades como Virtual Private Network (VPN) e uma extensão de Privacidade e Segurança do Browser. Respondendo à procura dos consumidores por uma abordagem tudo-em-um que permita uma utilização fácil e intuitiva com todas as novas funcionalidades, a ESET introduziu uma versão melhorada do ESET HOME, a plataforma de gestão de segurança das licenças dos produtos e de funcionalidades complementares. Está disponível em todos os principais sistemas operativos – Windows, macOS, Android e iOS – e inclui visibilidade das redes domésticas e dispositivos inteligentes conectados. Plataforma de gestão de segurança completa Para responder às necessidades dos utilizadores domésticos por uma administração eficaz dos vários aspetos da segurança digital, a ESET tornou o ESET HOME numa plataforma integrada. Com o ESET HOME, é possível gerir dispositivos, fazer compras online, ativar e renovar subscrições, descarregar ou atualizar soluções de segurança, e ativar as funcionalidades de segurança VPN, Gestor de Palavras-Passe e muito mais. Para melhorar a experiência do utilizador e simplificar a gestão da plataforma, a ESET efetuou várias alterações na interface, incluindo introduzir o seu Estado Geral de Proteção, que permite aos utilizadores visualizar o nível de proteção nas suas casas numa janela única. Esta janela combina a validade das licenças de um utilizador, bem como o estado de segurança dos dispositivos ligados à conta em três categorias: Protegido, Atenção Necessária e Alerta de Segurança. Estas alterações visam proporcionar aos utilizadores uma proteção de ponta, com o mínimo de intervenção para configurar o produto. O ESET HOME é um portal web fácil de utilizar e uma aplicação móvel disponível para iOS e Android. Explore os novos níveis de subscrição e as suas funcionalidades Com este lançamento, são também introduzidos três níveis de subscrições: ESET HOME Security Essential, ESET HOME Security Premium e ESET HOME Security Ultimate. Os níveis de subscrições oferecem uma proteção completa, desde o nível de entrada de proteção até ao nível máximo, cobrindo as necessidades complexas dos utilizadores e dos seus agregados familiares em termos de privacidade e segurança na vida digital. As subscrições do ESET HOME Security estão disponíveis em todos os principais sistemas operativos – Windows, macOS, Android e iOS.
De acordo com Ricardo Neves, Marketing Manager na ESET Portugal: “Estas novas soluções elevam a proteção dos dispositivos para um novo patamar de sofisticação. Os utilizadores vão beneficiar de uma proteção mais abrangente adaptada às necessidades de segurança cada vez mais exigentes.” Para mais informações, por favor visite www.eset.pt. Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Novas-solucoes-de-seguranca-para-utilizadores-domesticos/
O novo relatório da ESET visa monitorizar as atividades de grupos que devido às suas fortes ligações a outros estados são habitualmente designados de grupos avançados de Advanced Persistent Threat – ou grupos APT. A ESET, empresa europeia especialista em cibersegurança, divulgou o seu mais recente relatório sobre as atividades de grupos de ameaça organizados – designados grupos Advanced Persistent Threat (APT) – selecionados que foram observados, investigados e analisados pelos investigadores da ESET de abril de 2023 até o final de setembro de 2023.
A investigação da ESET descobriu campanhas de ciberataque levadas a cabo por grupos APT alinhados com a China na União Europeia (UE) que exploraram vulnerabilidades para extrair dados de entidades governamentais e organizações associadas. Além disso, o relatório acompanha a evolução da ciberguerra conduzida pela Rússia na Ucrânia, desde atividades de sabotagem a espionagem. Grupos APT em manobras de ciberespionagem na UE O novo relatório APT da ESET descreve as operações na UE de dois grupos APT alinhados com a China não identificados anteriormente. O primeiro, o DigitalRecyclers, comprometeu repetidamente uma organização governamental na UE desde 2018, usando ferramentas desenvolvidas por agentes maliciosos do Paquistão, na última década. O segundo grupo APT, o PerplexedGoblin, usa uma backdoor descoberta pela ESET em novembro de 2022 para atacar também uma organização governamental na UE. Já os grupos APT Sednit e Sandworm, alinhados com a Rússia, o grupo APT Konni, alinhado com a Coreia do Norte, e os grupos APT Winter Vivern e SturgeonPhisher, geograficamente não atribuídos, exploraram também vulnerabilidades em software desde o WinRAR, até ao Outlook, para atingir várias organizações governamentais na Europa e na Ásia Central. A evolução da ciberguerra na Ucrânia O principal alvo dos grupos APT alinhados com a Rússia continuou a ser a Ucrânia, onde a ESET descobriu novas versões de malware destinado a eliminar dados e aplicações – ou wipers. Enquanto alguns grupos têm como alvo os utilizadores do Telegram para tentar extrair informações ou, pelo menos, alguns metadados relacionados com o Telegram, outros utilizam ativamente o serviço para publicitar as suas operações de sabotagem. O grupo APT mais ativo na Ucrânia continuou a ser o Gamaredon, que melhorou significativamente as suas capacidades de recolha de dados através do redesenvolvimento de ferramentas existentes e da implantação de novas ferramentas. Relatórios técnicos para proteção estratégica Versões técnicas detalhadas dos relatórios de atividade de grupos APT são produzidas pela ESET para clientes privados que visam ajudar as organizações encarregues de proteger os cidadãos, infraestruturas nacionais críticas e ativos de elevado valor contra ciberataques a outros países. As descrições completas dessas atividades foram anteriormente fornecidas exclusivamente a esses clientes. Mais informações sobre os relatórios APT PREMIUM da ESET, que fornecem insights de alta qualidade, estratégicos, acionáveis e táticos sobre ameaças à cibersegurança, estão disponíveis no site da ESET Threat Intelligence. Para mais informações técnicas, consulte o relatório APT no WeLiveSecurity. Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Relatorio-de-Atividades-de-Grupos-APT-Abr-Set-2023
Devido ao seu já considerável historial de ciberataques, bem como às suas fortes ligações ao governo da Coreia do Norte, o grupo de ciberespionagem Lazarus é atualmente designado um grupo de Advanced Persistent Threat – ou grupo APT. Investigadores da ESET, empresa europeia especialista em cibersegurança, descobriram um ataque do grupo APT Lazarus contra uma empresa aeroespacial em Espanha, no qual o grupo utilizou várias ferramentas com o objetivo final de promover ações de ciberespionagem. Um grupo com fortes ligações ao governo da Coreia do Norte, o Lazarus obteve acesso inicial à rede da empresa em Espanha no ano passado, após uma campanha altamente direcionada de phishing (também designada de spearphishing), onde operadores do grupo se fizeram passar por recrutadores da Meta – a empresa por detrás do Facebook, Instagram e WhatsApp.
Para levar a cabo o ataque, o grupo APT Lazarus distribuiu malware que executava ações específicas que os atacantes desejavam realizar (ou payload) de um novo tipo, que a ESET designou de LightlessCan. Este payload é uma ferramenta complexa e, possivelmente, em evolução que exibe um elevado nível de sofisticação no seu design e operabilidade, representando um avanço significativo nas capacidades maliciosas quando comparado com outras ferramentas. Na primeira abordagem aos funcionários da empresa visada, o recrutador impostor contactou as vítimas através do LinkedIn Messaging, uma funcionalidade da plataforma de rede social profissional LinkedIn, enviando-lhes dois desafios de programação supostamente necessários como parte do processo de recrutamento, que a vítima descarregou e executou num dispositivo da empresa. A investigação da ESET foi capaz de reconstruir os passos iniciais de acesso e analisar o conjunto de ferramentas utilizadas pelo Lazarus graças à cooperação com a empresa aeroespacial afetada. O Lazarus enviou vários payloads para os sistemas das vítimas, o mais notável dos quais o trojan de acesso remoto (Remote Access Trojan – RAT) sofisticado e anteriormente não documentado LightlessCan. O trojan imita as funcionalidades de uma vasta gama de comandos nativos do Windows, normalmente utilizados de forma fraudulenta pelos agentes maliciosos, permitindo uma execução discreta dentro do próprio RAT em vez de execuções visíveis na consola. Esta mudança estratégica aumenta a dissimulação, tornando a deteção e análise das atividades do grupo APT mais difícil. Outro mecanismo usado para minimizar a exposição foram os execution guardrails – um conjunto de protocolos e mecanismos de proteção implementados para salvaguardar a integridade e a confidencialidade do payload durante a sua implementação e execução, impedindo eficazmente a desencriptação em máquinas não visadas, como as dos investigadores de segurança. O Lazarus (também conhecido como HIDDEN COBRA) é um grupo APT de ciberespionagem com fortes ligações à Coreia do Norte que está ativo desde, pelo menos, 2009. A diversidade, o número e a excentricidade na implementação das campanhas do Lazarus definem este grupo, que executa os três pilares das atividades cibercriminosas: ciberespionagem, cibersabotagem e procura de ganhos financeiros. As empresas aeroespaciais não são um alvo invulgar para os grupos APT alinhados com a Coreia do Norte. O país efetuou vários testes de mísseis avançados que violam as resoluções do Conselho de Segurança das Nações Unidas. Para mais informações técnicas sobre o grupo APT Lazarus, o seu último ataque e o LightlessCan, consulte o artigo completo no WeLiveSecurity. Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Lazarus-ataca-empresa-aeroespacial/ Os emails de phishing são uma arma predileta de criminosos para roubar dados pessoais dos utilizadores e instalar malware nos seus dispositivos. Mas é possível atenuar o dano causado pelo primeiro clique no link errado. O phishing caracteriza-se por tentativas de ataque, muitas vezes por email ou websites fraudulentos, em que agentes maliciosos fazem-se passar por pessoas ou entidades de confiança para manipular as vítimas a ceder informações sensíveis, clicar em links maliciosos, entre outros. Entre todas as categorias de ciberameaças detetadas pela telemetria da ESET, empresa europeia líder em soluções de cibersegurança, os ataques de phishing em emails foram das principais ameaças para os utilizadores em Portugal na primeira metade do ano[i]. Erros ortográficos, gramática estranha, linguagem urgente ou ameaçadora, falta de contexto – tudo isto são sinais comuns de ataques de phishing em emails.
No entanto, algumas ameaças de phishing são mais difíceis de detetar. Algumas envolvem um investimento significativo de tempo e um planeamento meticuloso por parte dos agentes maliciosos, que até examinam as comunicações anteriores das suas vítimas, o que acaba por tornar o ataque altamente convincente e bem-sucedido. Basta um deslize e uns segundos para ser vítima de um ataque de phishing – e nem mesmo os profissionais de TI estão isentos deste risco! Uma mensagem de email aparentemente inócua pode conter um link no qual deve clicar antes que, jura o seu autor, “seja tarde demais”. Considerando a popularidade dos ataques de phishing em emails em Portugal, é importante para os utilizadores conhecerem as suas opções após se aperceberem que clicaram no sítio errado. A ESET deixa 10 passos essenciais: 1. Não forneça mais informações Digamos que recebeu um email de uma loja online que levanta suspeitas, mas clicou no link do corpo do email sem pensar muito ou apenas por curiosidade. O link envia-o para um website que parece legítimo, mas as dúvidas persistem na sua mente. A abordagem mais simples é não partilhar qualquer informação adicional. Não introduza o seu login nem forneça os detalhes da sua conta bancária. Se os cibercriminosos só queriam os seus dados e não comprometeram o seu dispositivo com malware, é provável que tenha acabado de escapar a um ataque pior. 2. Desligue o seu dispositivo da Internet Alguns ataques de phishing podem levá-lo a dar aos agentes maliciosos acesso ao seu computador, smartphone ou outro dispositivo. Estes podem instalar malware, recolher informações sobre si e o seu dispositivo ou obter controlo remoto do dispositivo comprometido. Para reduzir os danos, é imperativo agir rapidamente. Comece por desligar o dispositivo comprometido da Internet. Se utilizar um PC com uma ligação por cabo, basta desligar o cabo de Internet do seu computador. Se estiver ligado através de Wi-Fi, desligue-o nas definições do dispositivo ou ligue o modo de avião no seu smartphone. 3. Faça backup dos seus dados Desligar-se da Internet impedirá que mais dados sejam enviados para o servidor malicioso, mas os seus dados continuam a estar em perigo. Deve fazer um backup dos seus ficheiros, principalmente dos documentos sensíveis ou dos ficheiros com elevado valor pessoal, como fotografias e vídeos. No entanto, fazer backup dos seus dados depois de terem sido comprometidos pode ser arriscado, uma vez que podem já ter sido comprometidos por malware. É provável que faça backup do malware juntamente com as fotografias da sua última festa de aniversário. Em vez disso, deve fazer backup dos seus ficheiros regularmente e de forma preventiva. Se o malware atingir o seu dispositivo, pode recuperar os seus dados a partir de um disco rígido externo, uma pen USB ou serviço de armazenamento na cloud. 4. Efetue uma verificação de malware e outras ameaças Execute uma verificação completa do seu dispositivo utilizando software anti-malware de um especialista em cibersegurança, enquanto o dispositivo ainda está desligado da Internet. Se o processo de verificação não encontrar qualquer risco potencial, mas ainda tiver dúvidas, contacte o seu fornecedor de cibersegurança. E se ainda não estiver a utilizar qualquer software anti-malware multicamada com funcionalidades anti-phishing, arranje um! 5. Considere uma reposição de fábrica A reposição de fábrica significa repor o smartphone no seu estado original, removendo todas as apps e ficheiros instalados. No entanto, alguns tipos de malware podem persistir no seu dispositivo mesmo após uma reposição total, mas é provável que a limpeza do seu dispositivo móvel ou computador remova com êxito qualquer ameaça. Lembre-se de que uma reposição de fábrica é irreversível e irá limpar todos os dados armazenados localmente. Nunca é demais sublinhar a importância de efetuar backups regulares! 6. Reponha as suas passwords Os emails de phishing podem induzi-lo a divulgar os seus dados sensíveis, tais como números de identificação, detalhes bancários e de cartões de crédito ou credenciais de acesso. Mesmo que não forneça os seus dados, é possível que, se tiver malware instalado no seu dispositivo, este possa localizá-los. Se pensa que este é o caso, principalmente se os emails de phishing lhe pedirem para fornecer um login específico, deve alterar imediatamente as suas credenciais de login, especialmente se reciclar a mesma password em várias contas. Estas situações realçam a importância de utilizar nomes de utilizador passwords únicos para diferentes serviços online. 7. Contacte bancos, autoridades e fornecedores de serviços Se introduziu dados bancários/cartões de crédito ou dados de acesso a um website com acesso aos seus cartões, informe imediatamente o seu banco. O seu cartão pode ser bloqueado ou congelado para evitar futuras fraudes, e pode evitar ou minimizar qualquer perda financeira. Não se esqueça de verificar se o seu banco (ou outro serviço de pagamento comprometido) tem uma política de reembolso para as vítimas de burlas. Para evitar que outras pessoas caiam no mesmo esquema, é importante também contactar as autoridades locais. 8. Detete as diferenças Os criminosos que conseguem entrar com sucesso num dos seus dispositivos ou contas podem tentar estabelecer a sua presença durante o máximo de tempo possível. Podem alterar os seus logins, endereços de email, números de telefone ou qualquer coisa que os ajude a solidificar a sua posição na sua conta. Reveja a sua atividade nas contas das redes sociais, as informações bancárias e o seu histórico de encomendas de compras online. Se, por exemplo, detetar algum pagamento que pareça estranho, desconhecido ou não autorizado, comunique-o, altere as suas credenciais e peça um reembolso. 9. Procure dispositivos não reconhecidos Se os agentes maliciosos roubaram os detalhes da sua conta, é provável que tenham tentado iniciar sessão a partir do seu próprio dispositivo. A maioria das plataformas de redes sociais mantém um registo das suas sessões de login atuais nas definições de privacidade. Verifique-o e force o fim de sessão em qualquer dispositivo desconhecido. 10. Notifique os seus amigos, contactos, fornecedores de serviços e empregador Por vezes, os cibercriminosos utilizam a sua lista de contactos numa conta comprometida para espalhar ligações de phishing ou spam. Tenha em atenção este facto e tome medidas para evitar que outros sejam vítimas do mesmo esquema. Se um ciberataque estiver relacionado com as suas contas de trabalho ou com dispositivos emitidos pela sua entidade patronal, siga as regras da sua empresa para lidar com ciberincidentes e comunique imediatamente o caso à sua chefia e ao departamento de TI. Os principais serviços de email, como o Outlook ou o Gmail, também oferecem ferramentas para denunciar emails de phishing diretamente da sua caixa de entrada. Imagem: https://fotos.aempress.com/WhiteHat/ESET/Ataques-de-phishing-em-Portugal [i] A ameaça com maior expressão em Portugal entre dezembro de 2022 e maio de 2023 (H1 2023) foi a ameaça de email HTML/Phishing.Agent trojan, que constituiu 27,67% das deteções no período. Esta ameaça refere-se a documentos HTML maliciosos enviados por email, que, quando abertos num navegador web, remetem o utilizador para um site de phishing (Fonte: telemetria da ESET para Portugal em H1 2023). No mês do regresso ao trabalho, a ESET mantém-no a par das 5 principais tendências que marcam a paisagem atual das ciberameaças. O regresso ao trabalho depois do período de férias é um momento propício para passar em revista as principais tendências que caracterizam as ciberameaças da atualidade. Afinal, ficar um passo à frente das tendências do cibercrime é uma parte integral do combate contra agentes maliciosos: por um lado, da parte dos consumidores e empresas, que necessitam de continuar a aumentar as suas defesas; por outro, da parte de especialistas como a ESET, que fornecem soluções avançadas de cibersegurança. Relatórios europeus recentes, quer da Europol, quer da agência britânica de serviços de segurança National Crime Agency (NCA), fornecem uma fotografia valiosa da atual paisagem de ameaças para funcionários de TI e consumidores na Europa. Desde Estados “arranjados” com grupos de cibercrime organizado, até uma epidemia de fraudes, passando pela normalização do cibercrime, são vários os motivos para querer ficar atento – e protegido. As 5 tendências do cibercrime a ter em conta 1. Estados associados a cibercriminosos Atividades patrocinadas pelo Estado e o cibercrime foram, durante anos, áreas bastante distintas. A primeira girava em torno da ciberespionagem e/ou de ataques destrutivos destinados a promover objetivos geopolíticos e militares. A segunda centrava-se, de forma mais simplista, em ganhar dinheiro. Segundo a NCA, estamos a assistir cada vez mais a uma convergência entre as duas. Esta convergência não se manifesta apenas no facto de alguns agentes utilizarem técnicas de cibercrime para roubar dinheiro ao Estado. Ou no facto de alguns governos ignorarem atividades do ransomware e de outros grupos. “No último ano, começámos a ver Estados hostis começarem a utilizar grupos de crime organizado – nem sempre da mesma nacionalidade – como proxies,” alerta Graeme Biggar, chefe da NCA. “É uma evolução que nós e os nossos colegas do MI5 e do policiamento de combate ao terrorismo estamos a acompanhar de perto.” Não é a primeira vez que os peritos, incluindo a ESET, se apercebem de uma ligação crescente entre o crime organizado e os Estados-nação. De facto, há apenas três meses, os investigadores da ESET escreveram sobre o interessante caso do grupo denominado Asylum Ambuscade, que se situa entre o crime e a espionagem. 2. O roubo de dados está a alimentar uma epidemia de fraude No Reino Unido, a fraude representa atualmente 40% de toda a criminalidade, sendo três quartos dos adultos visados em 2022, quer por telefone, quer pessoalmente ou online, de acordo com a NCA. Isto deve-se, em parte, a um fluxo contínuo de dados comprometidos que chegam aos mercados da dark web. A Europol vai mais longe, afirmando que os dados são a “mercadoria central” da economia do cibercrime, alimentando a extorsão (por exemplo, ransomware), a engenharia social (por exemplo, phishing) e muito mais. Os próprios dados vendidos nesses mercados não são cada vez mais apenas informações estáticas, como detalhes de cartões, mas compilados a partir de múltiplos pontos de dados recuperados do dispositivo de uma vítima, afirma a Europol. A cadeia de abastecimento da cibercriminalidade, desde o roubo de dados até à fraude, pode envolver muitos intervenientes. Esta economia baseada em serviços é surpreendentemente eficaz. No entanto, a NCA afirma que estes serviços profissionais também podem ajudar as autoridades policiais, “fornecendo um rico conjunto de alvos que, quando interrompidos, têm um impacto desproporcionado no ecossistema criminoso”. 3. As mesmas vítimas são frequentemente objeto de vários ataques A forma como o submundo do cibercrime funciona atualmente significa que mesmo as organizações que acabaram de ser atacadas podem não conseguir respirar de alívio por o pior já ter passado. Hoje, os cibercriminosos vendem a vários agentes de ameaças o acesso às mesmas organizações. Isto significa que o mesmo conjunto de credenciais empresariais comprometidas pode estar a circular entre vários agentes de ameaças, diz a Europol. 4. O phishing continua a ser surpreendentemente eficaz O phishing tem sido um dos principais vetores de ameaça desde há muitos anos e continua a ser uma via privilegiada para obter logins e informações pessoais, bem como para implementar malware de forma dissimulada. Continua a ser popular e eficaz porque os seres humanos continuam a ser o elo mais fraco da cadeia de segurança, defende a Europol. A utilização generalizada de kits de phishing ajuda a automatizar e a baixar a fasquia para os cibercriminosos menos capazes tecnicamente, com a ESET descobriu recentemente no caso “Telekopye”. A Europol também alerta para o facto de já estarem a ser utilizadas ferramentas de IA generativa para criar vídeos deepfake e escrever mensagens de phishing mais realistas. 5. O comportamento criminoso é cada vez mais normalizado entre os jovens Os sites da dark web foram desde sempre um local de comércio não só de dados roubados e ferramentas de ataque, mas também de conhecimento. De acordo com a Europol, esta situação persiste atualmente, com os utilizadores a procurarem e a receberem recomendações sobre como evitar a deteção e como tornar os seus ataques mais eficazes. Tutoriais, FAQs e manuais de instruções oferecem ajuda em campanhas de fraude, lavagem de dinheiro, exploração sexual de crianças, phishing, malware e muito mais. Talvez mais preocupante seja o facto de os sites e fóruns clandestinos – alguns dos quais funcionam na Internet “de superfície” – serem também utilizados para recrutar jovens, segundo a Europol. Os jovens estão especialmente expostos: um relatório de 2022 citado pela Europol afirma que 69% dos jovens europeus já cometeram pelo menos uma forma de cibercriminalidade ou de dano ou risco online, incluindo branqueamento de capitais e pirataria digital. Para mais informação sobre tendência da paisagem atual de ciberameaças também pode consultar o mais recente Relatório de Ameaças da ESET, que resume as principais estatísticas dos sistemas de deteção da especialista europeia. Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Tendencias-da-paisagem-de-ciberameacas/ O Telekopye é um kit de ferramentas que atua como um bot do Telegram e que ajuda atacantes com menor conhecimento técnico a enganar as suas vítimas. Investigadores da ESET, empresa europeia líder em soluções de cibersegurança, descobriram um kit de ferramentas que ajuda agentes maliciosos com menor experiência técnica a cometer cibercrimes. Designado “Telekopye”, o kit está implementado como um bot de Telegram e possui capacidades que incluem criar websites de phishing, enviar SMS e emails de phishing, e criar falsas capturas de ecrã. Segundo a telemetria da ESET, a ferramenta Telekopye está ativa desde 2015 e encontra-se em desenvolvimento ativo. Várias pistas apontam para a Rússia como o país de origem dos autores e utilizadores desta ferramenta. “Descobrimos o código-fonte de um kit de ferramentas que ajuda tanto os agentes maliciosos que eles não precisam de ser particularmente versados em TI, mas apenas de ser persuasivos para com as vítimas. Este kit de ferramentas é implementado como um bot de Telegram que, quando ativado, fornece vários menus fáceis de navegar na forma de botões clicáveis que podem acomodar muitos cibercriminosos de uma só vez,” explica o investigador da ESET, Radek Jizba. “As vítimas desta operação fraudulenta são designadas ‘Mamutes’ pelos agentes maliciosos. Por uma questão de clareza, e seguindo a mesma lógica, referimo-nos nas nossas conclusões aos cibercriminosos que utilizam o Telekopye como Neandertais.” O Telekopye foi transferido várias vezes para o VirusTotal, principalmente da Rússia, Ucrânia e Uzbequistão. Estes são os países a partir dos quais os atacantes normalmente operam, com base na língua utilizada nos comentários do código e na localização da maioria dos mercados visados. Apesar de os principais alvos dos cibercriminosos serem mercados online populares na Rússia, como o OLX e o YULA, a ESET também observou alvos que não são nativos da Rússia, como o BlaBlaCar ou o eBay, e até outros que não têm nada em comum com a Rússia, como o JOFOGAS e o Sbazar. A ESET conseguiu recolher várias versões do Telekopye, o que sugere um desenvolvimento ativo. O kit de ferramentas tem várias funcionalidades diferentes que os agentes maliciosos podem utilizar em toda a sua extensão. Estas incluem o envio de emails de phishing, a criação de páginas web de phishing, o envio de mensagens SMS, a criação de códigos QR e a criação de falsas capturas de ecrã. Além disso, algumas versões do Telekopye podem armazenar dados da vítima (normalmente detalhes de cartões ou endereços de email) no disco onde o bot é executado. Os cibercriminosos não transferem o dinheiro roubado das vítimas para as suas próprias contas. Em vez disso, todos os agentes maliciosos usam uma conta Telekopye partilhada, controlada pelo administrador do Telekopye. O Telekopye mantém um registo do sucesso de cada atacante, registando as contribuições associadas a essa conta partilhada – quer num simples ficheiro de texto, quer numa base de dados SQL. Consequentemente, os cibercriminosos são pagos pelo administrador do Telekopye deduzindo as taxas de administração. Os grupos de cibercriminosos que utilizam o Telekopye estão organizados numa hierarquia de cinco classes, do menor para o maior privilégio. Os atacantes das classes superiores pagam taxas de comissão mais baixas. “A maneira mais fácil de saber se está a ser alvo de um agente malicioso do Telekopye, ou de qualquer outro atacante, é procurar anomalias, erros e discrepâncias na linguagem utilizada. Insista na troca presencial de dinheiro e bens sempre que possível quando negociar bens em segunda mão em mercados online e evite enviar dinheiro a não ser que tenha a certeza do seu destino,” aconselha Jizba. Para informação técnica sobre esta investigação, consulte o artigo dedicado no WeLiveSecurity. Imagem: https://fotos.aempress.com/WhiteHat/ESET/Telekopye/ A ESET Research, braço de investigação da empresa europeia de cibersegurança ESET, descobriu um novo grupo de ciberespionagem, o MoustachedBouncer. O seu nome deve-se à sua presença na Bielorrússia e está alinhado com os interesses do governo local. Ativo desde pelo menos 2014, o grupo visa exclusivamente as embaixadas estrangeiras, incluindo as europeias, na Bielorrússia. Desde 2020, o MoustachedBouncer tem sido capaz de efetuar ataques adversary-in-the-middle (AitM) ao nível do ISP, na Bielorrússia, para comprometer os seus alvos. O grupo usa dois conjuntos de ferramentas que a ESET chamou de NightClub e Disco. A investigação foi apresentada durante a conferência Black Hat USA 2023 a 10 de agosto, pelo investigador da ESET Matthieu Faou.
De acordo com a telemetria da ESET, o grupo tem como alvo as embaixadas estrangeiras na Bielorrússia, e a ESET identificou quatro países cujos funcionários das embaixadas foram visados: dois da Europa, um do Sul da Ásia e um de África. A ESET estima que o MoustachedBouncer está muito provavelmente alinhado com os interesses da Bielorrússia e é especializado em espionagem, especificamente contra embaixadas estrangeiras na Bielorrússia. O MoustachedBouncer utiliza técnicas avançadas para comunicações de Comando e Controlo (C&C), incluindo a interceção de redes ao nível do ISP para o implante Disco, emails para o implante NightClub e DNS num dos plugins NightClub. Embora a ESET Research monitorize o MoustachedBouncer como um grupo separado, encontrou elementos que fazem com que estime com baixa confiança que ele está a colaborar com outro grupo de ciberespionagem ativo, o Winter Vivern, que teve como alvo funcionários do governo de vários países europeus, incluindo a Polónia e a Ucrânia, em 2023. “Para comprometer os seus alvos, os operadores do MoustachedBouncer adulteram o acesso à Internet das suas vítimas, provavelmente ao nível do ISP, fazendo o Windows acreditar que está por detrás de um portal cativo. Para os intervalos de IP visados pelo MoustachedBouncer, o tráfego de rede é redirecionado para uma página aparentemente legítima, mas falsa, do Windows Update,” afirmou Matthieu Faou, investigador da ESET que descobriu o novo grupo de ciberespionagem. “Esta técnica de adversary-in-the-middle ocorre apenas contra algumas organizações selecionadas, talvez apenas embaixadas, e não em todo o país. O cenário do AitM lembra-nos os grupos cibercriminosos Turla e StrongPity, que instalaram software trojanizado em tempo real ao nível do ISP.” “Embora não se possa descartar totalmente o comprometimento dos routers para realizar ataques AitM nas redes das embaixadas, a presença de capacidades de interceção legal na Bielorrússia sugere que a manipulação do tráfego está a acontecer ao nível do ISP e não nos routers dos alvos,” explica o investigador da ESET. Desde 2014, as famílias de malware utilizadas pelo MoustachedBouncer evoluíram, e uma grande mudança ocorreu em 2020, quando o grupo começou a utilizar ataques adversary-in-the-middle. O MoustachedBouncer opera as duas famílias de implantes em paralelo, mas numa determinada máquina, apenas uma é implantada de cada vez. A ESET acredita que o Disco é usado em conjunto com ataques AitM, enquanto o NightClub é usado para vítimas em que a interceção de tráfego ao nível do ISP não é possível devido a uma mitigação, como a utilização de uma VPN encriptada em que o tráfego da Internet é encaminhado para fora da Bielorrússia. “A principal conclusão é que as organizações em países estrangeiros onde a Internet não é de confiança devem utilizar um túnel VPN encriptado para um local de confiança para todo o seu tráfego de Internet, de modo a contornar quaisquer dispositivos de inspeção de rede. Devem também utilizar software de cibersegurança atualizado e de alta qualidade,” aconselha Faou. O implante NightClub utiliza serviços de email gratuitos, nomeadamente o serviço de webmail checo Seznam.cz e o fornecedor de webmail russo Mail.ru, para roubar dados. A ESET acredita que os atacantes criaram as suas próprias contas de email, em vez de comprometerem contas legítimas. O MoustachedBouncer concentra-se no roubo de ficheiros e na monitorização de discos, incluindo os externos. As capacidades do NightClub também incluem a gravação de áudio, a captura de screenshots e o registo de teclas premidas. Para mais detalhes técnicos sobre o MoustachedBouncer, leia o artigo completo aqui. Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/MoustachedBouncer/ A ESET, empresa europeia líder em soluções de cibersegurança, divulgou dados exclusivos para Portugal que revelam a prevalência das ameaças detetadas em emails na primeira metade do ano. A telemetria da ESET, cujos resultados foram recentemente compilados num Relatório de Ameaças correspondentemente ao período de dezembro de 2022 a maio de 2023 (ou H1 2023), fornece sinais valiosos da atual paisagem de ciberameaças para os utilizadores em Portugal. Entre todas as ciberameaças nas várias categorias registadas pela ESET em H1 2023, a ameaça com maior expressão no território português foi a ameaça de email HTML/Phishing.Agent trojan, que constituiu 27,67% das deteções. Esta ameaça, que na sua categoria específica representa mais de um terço das deteções (35,1%), refere-se a documentos HTML maliciosos enviados por email que, quando abertos num navegador web, remetem o utilizador para um site de phishing. Tipicamente, esse site fraudulento terá a aparência legítima de um fornecedor de serviços bancários, pagamento ou rede social. Como acontece habitualmente com ciberameaças de elevada expressão, a HTML/Phishing.Agent Trojan registou um grande número de deteções a nível global. Esta ameaça de email teve especial incidência no Japão, Estados Unidos e Reino Unido. Além das ameaças de email relacionadas com tentativas de phishing, outra ameaça de email em destaque em Portugal durante a primeira metade do ano foi a DOC/Fraud Trojan (7,5% das deteções na sua categoria), que, à imagem do que a ESET registou globalmente, reflete um crescimento das tentativas de sextortion. Esta ameaça cobre sobretudo documentos Microsoft Word com vários tipos de conteúdos fraudulentos, distribuídos como anexos de email. Os principais tipos de anexo de email maliciosos em Portugal na primeira metade de 2023 foram os scripts (66,07%), que são muitas vezes utilizados por cibercriminosos para automatizar processos em tentativas de phishing. Os executáveis (14,48%) e os documentos de Office (10,8%) também foram anexos maliciosos populares entre cibercriminosos na primeira metade do ano. Para mais informações, consulte o Relatório de Ameaças H1 2023 da ESET. Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Ameacas-de-email-lideram-ciberameacas-em-Portugal/ |
Marcas e Empresas
All
Data
January 2024
|