Portugués

Ameaças Cibernéticas aos Jogos Olimpicos no Rio de Janeiro

Você está planejando visitar o Brasil durante os Jogos Olímpicos? Ou pretende assistir tudo online? Nesse blog queremos falar sobre as ameaças que podem afetar os visitantes que planejam viajar ao Brasil para assistir os Jogos, ou mesmo as pessoas que somente querem assisti-lo online. Na primeira parte falaremos sobre ataques de phishing que atingem aos que querem comprar, ou até mesmo ganhar os ingressos; na segunda parte falaremos sobre redes WiFi inseguras e o resultado de um wardriving que fizemos nas ruas da cidade do Rio e Janeiro, visitando os mesmos lugares onde turistas e atletas estarão durante os Jogos. Na terceira parte falaremos sobre ameaças físicas que podem atingir os recarregam seus celulares em totem USB disponíveis em aeroportos e lugares públicos, o problema da clonagem de cartões de crédito e dos chupa-cabras, que diretamente podem afetar os visitantes dos jogos no Rio.

Ameaças Olímpicas querem enganar você

Seguramente o tema dos Jogos Olímpicos é altamente atrativo para os cibercriminosos. Eles sempre usam temas populares em seus ataques, como fizeram com a Copa do Mundo em 2014, um evento que monitoramos de perto, onde o montante dos ataques registrados foi impressionante, especialmente no Brasil. Mas dessa vez, foi um pouco diferente para os Jogos Olímpicos – o número de ataques tem sido bem menor, comparado com os que presenciamos nas prévias da Copa do Mundo. Há várias razões que explicam essa diferença, uma delas é o fato do COI (Comitê Olímpico Internacional), juntamente com o COB (Comitê Olímpico Brasileiro) mantém um SOC (Security Operation Center) bastante ativo, reportando incidentes de phishing e malware e trabalhando para removê-los do ar. Como resultado o número de ataques distribuídos e ativos, atingindo os usuáriso finais acaba sendo bem pouco.

Entretanto, os cibercriminosos não veêm limites e sempre buscam formas criativas de promover seus ataques. Nós encontramos e bloqueamos diversos deles, como o registro de domínios maliciosos, falsas promoções divulgadas em redes sociais, e claro, sites falsos usados para vendas de ingressos fraudulentos. Essas foram as armas dos criminosos para tentar enganar os usuários.

Domínios maliciosos, muito maliciosos

A maioria dos ataques sempre começam com o registro de um domínio que claramente demonstra seu potencial malicioso. Desde o começo do ano nós monitoramos a criação de novos domínios na internet, registrados com o nome da cidade que irá receber os jogos, numa regularidade diária. Nós descobrimos muitos ataques e concluímos que os criminosos estão constantemente registrando novos domínios, que é o começo de um ataque bem planejado. Nossa denylist contém mais de 230 desses domínios maliciosos.

Muitos desses domínios foram registrados por contas de webmail gratuito, ou usando proteção dos dados whois, escondendo os dados do verdadeiro dono. Muitos desses domínios descritos acima estão em estado dormente, não ativos, esperando o momento certo de começar o ataque (especialmente estes que prometem streaming gratuito dos jogos). Outros desses domínios foram usados para hospedar sites falsos de ecommerce, onde ingressos fraudulentos foram negociados, ou ainda hospedaram phishing e malware, ou foram usados para disseminar alguma falsa promoção. Outro ponto interessante é que alguns desses domínios já estão usando os novos gTLD (Generic Top Level Domain), aprovados pelo ICANN recentemente (como os domínios .tech e outros usados em ataques.

“Nós vamos te pescar”

Não são somente usuários finais que são vítimas de ataques de phishing: os organizadores dos Jogos Olímpicos também foram atacados, pois para os cibercriminosos é muito valioso ter em mãos as credenciais de uma pessoa trabalhando no evento e que tem acesso aos recursos usados pelo COB. Em nosso monitoramento de domínios encontramos em fevereiro passado um ataque direcionado bastante interessante, feito contra os empregados do COB (Cômite Olímpico Brasileiro), usando um domínio mascarado como o portal de acesso de uma Intranet. O objetivo do ataque é claro: roubar as credenciais de empregados do COB. Esta era a aparência da página configurada nesse domínio, quando ativa. Seguramente este não foi o único ataque recebido por eles:

brazil_olympics_new_01

Phishing direcionado aos empregados do COB: roubo de credenciais

Os ataques de phishing mais comuns seguramente são os que atingem os usuários finais – pois eles são distribuídos massivamente, roubando credenciais de muita gente. Esses ataques podem ser feitos por criminosos sem muito conhecimento. Vimos muitas campanhas de phishing circulando com o tema dos Jogos Olímpicos, em diversas cores e formatos. Um bastante popular foi esse, que prometia ingressos grátis, o sorteio de um automóvel, usando o nome de uma empresa de cartão de crédito. Para participar do tal sorteio, você teria que informar o número do seu cartão, que claro, seria clonado:

brazil_olympics_new_02

Ingressos e promoções falsos, prejuízos reais

A maioria dos e-mails falsos enviados por cibercriminosos brasileiros usaram esse mote: ingressos grátis para assistir os Jogos. Algumas dessas mensagens apontavam para sites falsos. Este é um bom exemplo, de uma campanha muito bem-feita, com visual profissional, prometendo a compra de ingressos direto, sem a necessidade de sorteios:

brazil_olympics_new_03

Outros sites falsos ainda usaram como isca o preço baixo, o que é particularmente atrativo para pessoas que deixaram para comprar os ingressos de última hora. Esse exemplo abaixo fazia exatamente isso, oferecia diferentes ingressos:

brazil_olympics_new_04

Se você acreditar, comprar e pagar, não receberá ingresso nenhum. E os preços eram bastante convidativos, com opções de pagar com Boletos ou transferência bancária. Os “ingressos” da Cerimônia de Abertura eram vendidos por 1800 reais; um jogo da Seleção Brasileira de Futebol por apenas 150 reais:

brazil_olympics_new_05

Sabemos que a maioria dos ingressos já foram vendidas, portanto abra o olho com sites que oferecem ingressos a preço de banana – é muito provável que se trata de uma cilada.

Criminosos também usaram redes sociais para disseminar seus ataques. O Facebook foi o mais usado para isso, como essa página fraudulenta usada para divulgar falsos sorteios dos ingressos:

brazil_olympics_new_06

Se você quer assistir os jogos, agora talvez seja tarde para comprar ingressos em canais oficiais. Aliás, não recomendamos que você compre ingressos em canais não oficiais, ou mesmo recomprando ingressos oficiais você pode ser dar muito mal fazendo isso. A probabilidade de se levar gato por lebre nesse momento é muito alta. Talvez o melhor a fazer é acompanhar os jogos pela TV ou em algum streaming online, mas tenha cuidado: essa será a última cartada dos cibercriminosos, que seguramente tentarão infectar seu computador, ao buscar um streaming dos jogos para assistir no seu celular ou computador.

Segurança WiFi

Quando viajamos, costumeiramente precisamos de conexão com a Internet, as vezes até com maior urgência do que quando estamos em casa. E isso é natural pois tiramos muitas fotos, queremos compartilhar detalhes da viagem em redes sociais e queremos nos comunicar com nossos familiares. Entretanto, os plano de roaming de dados internacionais geralmente são muito caros, esta é a principal razão de procurarmos alternativas como redes WiFi gratuitas, ou mesmo mais baratas que o roaming. Cibercriminosos sabem disso e todo ano eles configuram falsos access points ou eles simplesmente comprometem redes WiFi legítimas e as programam para interceptar e manipular as conexões feitas pelo navegador da vítima.

O foco dos criminosos são as senhas, cartões de crédito e outros dados pessoais sensíveis. Redes WiFi abertas e mal configuradas são atualmente as preferências dos criminosos.

Por esta razão nós dirigimos pelas 3 maiores áreas dos Jogos Olímpicos no Rio e passivamente monitoramos as redes WiFi disponíveis, que seguramente serão usadas pelos visitantes que estarão assistindo os jogos. Visitamos a área do Comitê Olímpico Brasileiro, o Parque Olímpico e os estádios do Maracanã, Maracanãzinho e o Engenhão.

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Rodando um software rápido de reconhecimento, em 2 dias e nas áreas marcadas com a estrela no mapa acima, encontramos ao redor de 4500 access points únicos localizados nas áreas mencionadas.

A maioria das redes encontradas usam o padrão 802.11n:

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Isso significa que a maioria do hardware usado nessas redes WiFi é novo e especialmente bom para trabalhar com multimídia, alcançando velocidades acima de 600Mbps e trabalhando não somente em 2.4Ghz, 2.5Ghz, mas também em 5Ghz.

Entretanto, referente a segurança podemos dizer que 18% de todas as redes WiFi na área pesquisada é insegura e configurada incorretamente. Isso significa que todos os dados recebidos e enviados por essas redes não são protegidos por nenhum tipo de chave de criptografia.

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Podemos ver que, adicionalmente, 7% de todas as redes usam a criptografia WPA-Personal. Este algoritmo é considerado obsoleto hoje e com um esforço mínimo, pode ser quebrado. Em nossa opinião isso é especialmente ruim pois os usuários conectados a essas redes podem acreditar que atualmente estão protegidos, quando na realidade a rede pode ser comprometida por um atacante, que pode fazer diferentes tipos de ataques para manipular o tráfego e os dados do usuário conectado a ela.

Portanto, ao redor de ¼ de todas as redes WiFi na área onde serão realizados os Jogos Olímpicos são inseguros ou configurados com protocolos de criptografia fraca, onde cibercriminosos podem comprometê-las e então preparar certas circunstâncias técnicas para capturar o tráfego e a navegação das vítimas e roubar seus dados sensíveis.

É possível usar redes WiFi abertas e ainda assim ter uma navegação segura? A resposta é sim, entretanto, somente quando você usa uma conexão VPN (Virtual Private Network). Nós altamente recomendamos, independente da rede WiFi onde se está conectado, usar uma conexão VPN enquanto estiver viajando, assim o tráfego do seu dispositivo será criptografado, mesmo sendo enviado por uma rede insegura. Assim mesmo que alguém consiga comprometer essa rede WiFi, não será possível ter acesso aos seus dados, pois eles estarão cifrados pela VPN.

Porém, nem todos os provedores de VPN atualmente oferecem bons serviços. Alguns deles são vulneráveis a ataques de vazamentos de requisições DNS. Isso significa que, mesmo que seus dados sensíveis são enviados a internet via VPN, essas requisições DNS são enviadas em texto plano aos servidores de DNS configurados no access point da rede WiFi usado na conexão. Nesse cenário um criminoso pode saber ao menos em quais sites você está navegando, e então, se ele tiver acesso a esse rede WiFi, pode configurar um servidor DNS malicioso. Isso basicamente significa que, a próxima vez em que você digitar o endereço do seu banco no navegador, o endereço IP buscado pelo navegador será um falso ou malicioso. Então, mesmo usuários experientes podem se tornar vítimas fáceis de criminosos que usam essa técnica. Quase não há limites para criminosos quando eles têm controle e acesso às requisições DNS feitas pelo seu navegador.

Portanto, antes de usar uma conexão VPN, certifique-se de que ela não possui esse problema de vazamento de requisições DNS. Se o seu provedor de VPN não mantém seus próprios servidores DNS, você deve considerar usar outro provedor de VPN ou então usar um software que o faça, por exemplo, o DNSCrypt, assim suas requisições DNS serão cifradas. Por favor, lembre-se que isso parece um pequeno detalhe, mas que pode se converter em um grande problema de segurança para você.

Uma formula simples deve ser essa: qualquer rede onde você estiver conectado, use uma conexão VPN, que tenha seu próprio servidor DNS. Não confie em nenhuma configuração local, pois você não pode saber se o access point onde você está conectado está comprometido ou não.

Segurança Física

Outro ponto importante que chama nossa atenção quando viajamos é a segurança física. Nem tudo que se parece útil e seguro é exatamente como deveria ser. Criminosos geralmente usam coisas corriqueiras para disseminar seus ataques, em situações onde a necessidade o faz pensar nos riscos que está correndo. Vamos falar sobre esse tema, que envolve situações corriqueiras e que podem comprometer a segurança dos nossos dispositivos.

Totens de carregadores de celular via USB

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Como mencionado anteriormente, o uso de telefones celulares quando você está viajando é algo importante. Trata-se de um desafio grande mantê-lo com bateria suficiente para usá-lo o dia todo. Com o intuito de ajudar os viajantes e turistas, muitas cidades estão investindo em totens de carregamento de celular que podem ser encontrados facilmente em shopping center, aeroportos, taxis, cafeterias, etc. A maioria deles oferecem conectores para a maioria dos modelos de telefone, assim como conexões USB que podem ser usadas para recarregar seu telefone, usando seu próprio cabo.

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Alguns modelos desses carregadores também oferecem tomadas, que podem ser usadas com o seu cabo de carregamento do celular.

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Carregadores disponíveis no aeroporto internacional do Rio de Janeiro. Qual opção você acredita ser a mais segura?

Quando conectado via USB, um atacante pode executar comandos com o objetivo de obter algumas informações do seu celular, como o modelo, número IMEI, número do telefone, o status da bateria, entre outros. Com essa informação é possível preparar um ataque para o modelo específico de telefone que você possui e então infectá-lo, e assim coletar suas informações pessoais.

Isso não significa que você nunca deve recarregar seu celular estando fora de casa, mas deve fazê-lo seguindo algumas regras a fim de proteger você e seu dispositivo contra esse tipo de ataque. Aqui estão algumas dicas:

  • Sempre use seu carregador e evite comprar e usar cabos de fabricantes desconhecidos
  • Use a tomada para recarregar seu celular, ao invés da porta USB, especialmente quando for usar um totem em aeroportos ou outros locais públicos.
  • Não use os cabos de carregamento que ficam nos totens ou em taxis.

Os “chupa-cabras”

Os ataques de “chupa-cabras” no Brasil e em outros países da América Latina são formas comuns de ataques, usadas por criminosos para clonar seu cartão de crédito, seja ao usar um caixa eletrônico ou pagando uma conta em um PoS qualquer. De tempos em tempos nós vemos nas notícias sobre gangues fazendo esse tipo de ataque em alguma parte do país.

Há diferentes tipos de chupa-cabras em uso no Brasil, o mais comum é o que apenas instala um leitor de cartões e uma câmera para gravar sua senha e copiar a tarja magnética do cartão.

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Chupa-cabra que instala uma camera e grava a sua senha

Para este tipo de chupa-cabra, você pode se proteger simplesmente escondendo o teclado ao digitar sua senha, isso basta para evitar que sua senha seja roubada pela câmera usada pelo dispositivo.

Infelizmente esse método não ajuda em todos os casos, pois há alguns tipos de chupa-cabras onde os criminosos substituem o caixa eletrônico inteiro, incluindo o teclado e a tela. Nesses casos, ao digitar a senha, ela será gravada no caixa eletrônico falso.

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Caixa Eletrônico falso: tudo para clonar seu cartão

A fim de evitar este tipo de ataque é importante estar atento de algum sinal suspeito ao usar o caixa eletrônico, como:

  • Verifique se a luz verde, presente no leitor do cartão está acessa (presente em alguns caixas eletrônicos. Geralmente os criminosos substituem o leitor com uma versão que não mostra luz alguma.
  • Antes de começar a usar o caixa eletrônico verifique se há partes do caixa eletrônico que podem estar soltas ou faltando. Nesses casos, busque outro caixa eletrônico.
  • Esconda o teclado ao digitar sua senha.

A clonagem de cartões de crédito

Infelizmente no Brasil é conhecido por ser um paraíso aos clonadores de cartão de crédito; não é difícil encontrar alguém que já teve seu cartão clonado enquanto viajava pelo país. Isso atinge não só os brasileiros, mas também os turistas que pretendem vir ao país para ver os Jogos Olímpicos no Rio.

Cartões de crédito e débito são largamente usados no Brasil, quase todos os lugares os aceitam como método de pagamento, incluindo vendedores de rua. Atualmente muitos deles preferem receber pagamentos com cartões para evitar problemas com dinheiro.

Os bancos brasileiros são referência no mundo quando se fala do combate a clonagem de cartão de crédito, assim como foram pioneiros ao adotar tecnologias de proteção baseadas em chip, como uma forma de proteger seus clientes contra esses ataques; isso torna a clonagem de cartão muito mais difícil. Porém, foi uma questão de tempo para que criminosos brasileiros começassem a clonar cartões com chip, usando algumas falhas presentes nas implementações das transações EMV.

Nós sabemos que criminosos brasileiros trocando informações sobre como executar um ataque contra cartões com chip a fim de coletar informações e então escrevê-las em outro cartão, usando algumas ferramentas.

Ameaças Cibernéticas aos Jogos Olimpicos Rio 2016

Programa usado para salvar a informação num smart card

É realmente difícil proteger-se contra esse tipo de ataque, porque geralmente o ponto de venda (ou maquininha de cartão) foi modificada para coletar e salvar a informação do seu cartão, que será posteriormente coletada pelo criminoso, algumas vezes usando tecnologias sem fio; o criminoso não precisa ter acesso físico a maquininha adulterada, ele pode coletar esses dados via bluetooth.

Uma boa solução para os bancos é enviar notificações via SMS para cada transação feita com seu cartão. Mesmo que isso não impeça que seu cartão seja clonado, isso irá lhe alertar sobre transações fraudulentas assim que elas ocorrem, isso lhe dará chance de contatar o banco e assim bloquear seu cartão.

De qualquer forma, existem alguns passos simples que podem ser tomados para reduzir a chance de ter seu cartão clonado:

  • Nunca dê o seu cartão ao atendente, se por algum motive ele não pode trazer a maquininha de cartão até você;
  • Se a máquina parece suspeita, mude a forma de pagamento. É sempre bom carregar algum dinheiro para essas situações;
  • Antes de digitar sua senha, assegure-se de estar na tela correta para fazê-lo. Algumas vezes o atendente lhe entrega a máquina na opção de digitar o valor da compra, e ao digitar sua senha, a mesma poderá ser vista na tela.

Para todos que forem visitar o Brasil durante os Jogos Olímpicos no Rio de Janeiro, desejamos uma boa e segura viagem. Aos atletas que farão esse lindo espetáculo do esporte, que vença o melhor!

Ameaças Cibernéticas aos Jogos Olimpicos no Rio de Janeiro

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada