Vulnerabilidade no Git é anunciada
Um agente mal-intencionado pode criar um diretório “.git” acima do diretório de trabalho atual de uma vítima, permitindo a execução de comandos em seu nome. É recomendada a atualização para a versão 2.35.2, especialmente se o Git é usado em uma máquina com mais de um usuário ou a versão para Windows é utilizada. O GitHub não é afetado pela vulnerabilidade. As informações são do blog do GitHub.
Atlassian sofre grave interrupção de serviços
O time de engenharia estaria “trabalhando 24 horas por dia” para resolver o incidente, precisando reconstruir a funcionalidade de serviços em um processo complexo, com várias etapas de validação para garantir a integridade de dados. Por volta das 5h30 desta segunda-feira, cerca de 35% de sua base de usuários já conseguia acessar serviços. A Atlassian é dona do Jira, Confluence, Trello e Bitbucket, entre outros. As informações são da página de status da Atlassian.
CEO da Microsoft faz alerta sobre trabalho remoto
Satya Nadella afirma que o bem-estar de funcionários pode sofrer com dias de trabalho que não terminam. Um estudo realizado pela empresa identificou um terceiro pico na produtividade de seus funcionários à noite, com base na atividade do teclado de seus computadores – o dia possui geralmente dois picos de produtividade, um na parte da manhã e outro à tarde. Nadella pede que gestores definam normas e expectativas claras, sem pressionar por respostas a emails ou outras mensagens depois do expediente. As informações são do site Slashdot.
Você sabe identificar spam?
Alguns detalhes são primordiais e vamos lembrá-los para que não passem despercebidos por conta de falta de uso.
É fato de que os criminosos melhoram as formas de convencer de que são e-mails oficiais e utilizam imagens e textos bem parecidos com os enviados por empresas idôneas. Isso dificulta a identificação com toda certeza e, para quem não tem muita pratica, ficar explorando detalhes da mensagem pode ser exaustivo ou desestimulante. Mas perceba que por conta das pessoas ainda caírem nesses golpes a quantidade de e-mails que recebemos só aumenta. Há formas automatizadas de efetuar essas detecções, mas por conta das inovações sempre passa alguma coisa, ou mesmo o contrário.
O início: Se não pediu, suspeite.
Você não pediu, não efetuou qualquer intervenção com a empresa alvo, verifique o endereço do remetente. No exemplo abaixo você verá que a marca não tem nada a ver com o domínio de envio (domínio é @domínio.com.br). Se você não conhece o domínio não clique em nenhuma solicitação do conteúdo da mensagem. Você conhece? Calma, ainda pode ter algo errado.
Oba! Promoção! De graça??!?!
Outro ponto é o texto da mensagem, sempre trazem vantagens ou solicitam uma ação do usuário rápida. ‘Clique agora!’ já não é mais usado, mas como no exemplo abaixo: ‘Não fui eu’, pode ser clicado por impulso. Na mensagem é informado que houve uma alteração na forma de controle de acesso à conta, porém, o endereço de e-mail não tem sequer conta para compras (contato@)!
Erros de grafia e gramática (sim, língua portuguesa) também precisam ser considerados como ponto negativo e indicativos de spam. Os erros grosseiros denunciam facilmente, mas como falamos anteriormente, até nisso os criminosos estão melhorando. No exemplo abaixo não temos erros, mas a forma de tratamento, o texto informa que foi detectada uma alteração, sendo que o costume desse tipo de informativo é: você fez uma alteração na sua conta. Esses e-mails tem caráter informativo, logo, indicam ação executada, alguns trazem a opção para os casos de ‘não tenha sido você’.
Olhando mais de perto.
No botão ‘Não fui eu’, passando o mouse sobre e sem clicar, é mostrado o endereço: https://new-xxxxxxxxxx-nn.a.run.app/. Entre os problemas, lembre-se do domínio, empresas idôneas usam seu endereço em todos os links e botões. Para os mais interessados, a extensão .app é um domínio gTLD (generic top-level domain) comprado pelo Google em 2015 para aplicativos web – o Google manda spam? Não. Mas a extensão é usada para registrar aplicativos, ou seja, o domínio quando chamado pode executar scripts ou comandos que são evocados de outros lugares sem que conseguíssemos identificá-los, não que isso não seja possível com os conhecidos .com e .com.br, mas o uso da extensão .app dificulta ação de algumas proteções antivirus e dos navegadores. Uma outra forma é usar os compactadores de endereços para isso e camuflar o verdadeiro destino.
Estou protegido por alguma ferramenta?
Na maioria das vezes, podemos confiar na detecção do serviço antispam que, por conta do volume, acabam exagerando e até mesmo e-mails validos entram na regra. Há maneiras de criar regras baseadas em assuntos, IP de origem ou mesmo conteúdo da mensagem. Não é aconselhado, de maneira alguma, desativar essa proteção. Mas nesse exemplo foi fácil identificar:
Ainda bem que são somente e-mails!
Não. O volume de SMSs spammers aumentaram consideravelmente e devemos ter os mesmos cuidados: checar remetente; não clicar em links enviados sem solicitação; verificar o conteúdo da mensagem. Checar o remetente tem sido um pouco difícil por conta de uso de envio por ferramentas que usam um número conhecido e isso dificulta a identificação, mas de qualquer forma se a comunicação pelo número é conhecido por outros serviços suspeite caso venha para mais de uma origem. O exemplo abaixo é utilizado pelas Lojas Besni e também por spammers, pois o endereço da Enel é www.enel.com.br.
Temos também as versões em Whatsapp e Telegram, seguem quase a mesma forma de abordagem: oferecem serviços, vantagem ou uma oportunidade de emprego. Há casos que simplesmente envia um ‘olá’, quando respondemos a ação em seguida é automatizada e passa informações ou serviços.
Onde coletam nossos dados e telefones?
Sempre que há grandes vazamentos de informações de sites em que os dados de usuários, invasão de sistemas, entre outros. Esses eventos que hoje precisam ser informados publicamente por conta da LGPD (Lei Geral de Proteção de Dados Pessoais, 2018) antes não eram noticiados. Sabemos de casos inclusive que haviam vendas no centro de São Paulo de mídia com um volume de dados roubado de grandes empresas.
Mas não é somente dessa forma, o método preferido de coleta de informação é por Engenharia Social (fizemos um post recente sobre o assunto). Por ele, os criminosos conseguem os dados e as vezes de outras pessoas indiretamente ligadas as vitimas. Em um mundo digital, os dados são cada vez mais valiosos.
Mesmo com leis e recursos para a investigação e prisão de criminosos que praticam esse tipo de crime, ainda há o problema de não se ter uma fonte única e exclusiva. Os criminosos roubam a identidade de empresas e pessoas na internet e se passam por elas para disseminar os scripts e apagam os rastros – por isso a importância de aumentar a segurança de servidores e autenticação de usuários, mas isso é outro assunto. O fato é que o mesmo método de Engenharia Social é utilizado também para ter esse tipo de privilégio em sistemas e se passar por pessoas honestas e passam a credibilidade necessária para obter os dados de terceiros.
Como a Etwas Informática pode me ajudar?
Em nosso ambiente de hospedagem criamos regras antispam com endereços coletados por nossos clientes e com isso temos um rede que trabalha com a automação. Temos trabalhado para que nossos clientes não sejam as origens com rotina de verificação de sites e integridade de código em nosso ambiente.
Nossa consultoria pode auxiliar a definir estratégias de treinamento para prevenção e controle de dados para sua empresa e seus funcionários.
Acompanhe nosso blog e mídias sociais para dicas e informação sobre spam e falhas de segurança.
Ainda sobre o assunto...
Veja que os hackers fazem com dados vazados: https://www1.folha.uol.com.br/mercado/2022/03/hackers-abriram-500-mil-contas-falsas-com-emails-vazados-no-brasil-diz-estudo.shtml
Hackers invadem MailChimp para roubar bases de emails de clientes voltados a finanças e moedas digitais
Os criminosos obtiveram acesso a ferramentas internas de suporte após funcionários da companhia caírem em um ataque de engenharia social. Os hackers estavam atrás de bases de emails específicas – em um dos ataques, usuários da carteira digital Trezor receberam um email falso, contendo um arquivo que permitiria o roubo de moedas digitais caso fosse instalado. As informações são do site Bleeping Computer.