Tap here to download the Cisco News Mobile App for the best Cisco Network mobile experience!

Escondidos à vista de todos

Escondidos à vista de todos
A Cisco Talos trabalha continuamente para garantir que nossos conhecimentos sobre ameaças cibernéticas abranjam tanto as mais recentes, como também novas versões de ameaças antigas, como o spam. Muitas vezes, isso significa perseguir os cibercriminosos onde quer que eles estejam. Porém, ao invés de atuar através de servidores escondidos em algum endereço misterioso na dark web, um número surpreendentemente grande de cibercriminosos prefere operar totalmente às claras, usando mídias sociais. Por exemplo, o Facebook abriga dezenas de grupos que funcionam como um mercado on-line para cibercriminosos. A Talos identificou spam vindo de serviços anunciados nesses grupos no Facebook em nossos dados de telemetria, indicando um potencial impacto desses grupos nos clientes da Cisco.
Escondidos à vista de todos READ FULL ARTICLE

Escondidos à vista de todos

Ghassan Dreibi
Cisco América Latina
Diretor de Cibersegurança

April 29, 2019
  • Press Release

  • 251

  • Save

  • Notícias Corporativas, Liderança, Segurança

A Cisco Talos trabalha continuamente para garantir que nossos conhecimentos sobre ameaças cibernéticas abranjam tanto as mais recentes, como também novas versões de ameaças antigas, como o spam. Muitas vezes, isso significa perseguir os cibercriminosos onde quer que eles estejam. Porém, ao invés de atuar através de servidores escondidos em algum endereço misterioso na dark web, um número surpreendentemente grande de cibercriminosos prefere operar totalmente às claras, usando mídias sociais. Por exemplo, o Facebook abriga dezenas de grupos que funcionam como um mercado on-line para cibercriminosos. A Talos identificou spam vindo de serviços anunciados nesses grupos no Facebook em nossos dados de telemetria, indicando um potencial impacto desses grupos nos clientes da Cisco.

Nos últimos meses, a Cisco Talos rastreou vários grupos no Facebook nos quais atividades obscuras (na melhor das hipóteses) e ilegais (na pior) costumam ocorrer. A maioria desses grupos utiliza nomes bastante óbvios, tais como “Spam Professional”, “Spammer & Hacker Professional”, “Buy Cvv On THIS SHOP PAYMENT BY BTC” e “Facebook hack (Phishing)”. Apesar de terem nomes óbvios, alguns desses grupos conseguiram permanecer no Facebook por até oito anos e, nesse tempo, atraíram dezenas de milhares de membros.

Ao todo, a Talos compilou uma lista de 74 grupos no Facebook cujos membros se comprometiam a cumprir uma série de tarefas inescrupulosas e questionáveis, tais como vender e trocar informações bancárias e de cartão de crédito roubadas, roubar e vender cadastros de contas de uma variedade de sites e oferecer ferramentas e serviços de envio de spam. Juntos, esses grupos tinham aproximadamente 385 mil membros.

Qualquer pessoa que tenha uma conta no Facebook consegue facilmente localizar esses grupos na rede social. Uma simples busca por grupos com palavras-chave como “spam”, “carding” ou “CVV” normalmente retorna vários resultados. É claro que, uma vez que se entra em um ou mais grupos como esses, os próprios algoritmos do Facebook passam a sugerir grupos semelhantes, fazendo com que fique ainda mais fácil achar novos grupos que reúnem criminosos. Para coibir esse tipo de violação, o Facebook parece depender de denúncias de atividade ilegal ou ilícita feitas pelos usuários.

Inicialmente, a Talos tentou derrubar um por um desses grupos, por meio do recurso de denúncia do Facebook. Embora alguns grupos tenham sido removidos imediatamente, outros só tiveram algumas postagens específicas retiradas do ar. No fim, depois de contatos com a equipe de segurança do Facebook, a maioria dos grupos maliciosos foi rapidamente retirada, mas novos grupos continuam aparecendo e alguns deles ainda estavam ativos quando este artigo foi publicado. A  Talos continua cooperando com o Facebook para identificar e derrubar o máximo de grupos possível.

Não se trata de um problema novo para o Facebook. Em abril de 2018, o repórter Brian Krebs, especialista em segurança cibernética, alertou o Facebook sobre dezenas de grupos na rede social nos quais hackers ofereciam uma variedade de serviços, incluindo carding (roubo de informações de cartão de crédito), fraude eletrônica, fraude de restituição de imposto e ataques distribuídos de negação de serviço (DDoS). Meses mais tarde, apesar de os grupos específicos identificados por Krebs terem sido desabilitados permanentemente, a Talos descobriu um novo conjunto de grupos, alguns com nomes notavelmente parecidos, quando não idênticos, aos dos grupos denunciados pelo jornalista.

Dentro da feira livre de crimes on-line

Muitas das atividades nessas páginas são totalmente ilegais. Por exemplo, a Talos descobriu vários posts em que os usuários vendiam números de cartão de crédito e seus respectivos códigos de segurança (CVV), às vezes com documentos de identidade ou fotos das vítimas.

 

Outros produtos e serviços também eram divulgados. Vimos spammers oferecendo acesso a longas listas de e-mail, criminosos oferecendo ajuda para movimentar grandes quantias de dinheiro e vendendo contas shell de várias organizações, inclusive governamentais.

Vimos até mesmo usuários oferecendo serviços de falsificação/edição de documentos de identidade.

Na maioria das vezes, esses vendedores exigiam pagamento em criptomoedas. Outros lançam mão dos chamados “middlemen” (atravessadores), que atuam como intermediários entre o comprador e o vendedor da informação e recebem uma porcentagem dos lucros. Esses usuários normalmente estimulavam o uso de contas PayPal para concluir a transação.

Não fica claro, com base nesses grupos, até que ponto alguns desses usuários são bem-sucedidos ou reais. Reclamações são frequentemente postadas por membros dos grupos que foram enganados por outros membros. Na maioria dos grupos existe uma etiqueta e um modelo a serem seguidos nas postagens. Normalmente, os vendedores descrevem o que têm e o que querem. Quase todas as transações são “you first” (grafado como “U_f”, “uf” etc.), ou seja, a pessoa interessada em fazer a compra ou troca tem que pagar, ou entregar o serviço ou produto, primeiro. Como muitos outros grupos no Facebook, esses grupos de golpistas também funcionam como fóruns onde eles contam piadas sobre algumas de suas campanhas que deram menos certo.


 

Estelionatários à solta
Uma coisa é certa: muito embora alguns membros desses grupos pareçam estar lá só para trapacear outros membros, há os que estão por aí cometendo crimes que aparecem nos dados da Talos. Por exemplo, o post abaixo é de um dos grupos que a Talos estava monitorando. Na publicação, o golpista anuncia serviços de spam, prometendo descarregar seu e-mail de phishing, que fingia ser da Apple, em caixas de entrada do Hotmail e do Yahoo. Prestativo, ele incluiu uma captura de tela que mostrava o spam que recebeu em sua caixa de entrada.

A Talos conseguiu localizar exemplos desse mesmo phishing em nossos dados de telemetria. Segundo as amostras de e-mail recuperados pela Talos para análise, os invasores anexaram um arquivo de PDF que imitava uma nota fiscal da Apple. O PDF incluía links para visualizar ou cancelar a compra.

Uma análise feita no Threat Grid – plataforma de análise de malware – indicou que, quando o usuário clica em visualizar ou cancelar o pedido de compra, o link direciona a vítima para um website de phishing alocado em um domínio recém-registrado: appleid[.]apple.com.verifysecureinfomanage.info. O site de phishing em si foi criado com o “16Shop”, um infame kit de phishing conhecido por mirar usuários da Apple.

A investigação do Cisco Umbrella indica que o endereço IP utilizado para hospedar o domínio de phishing também abriga muitos domínios suspeitos, que provavelmente foram usados para golpes parecidos no passado.

Este não é o único exemplo que encontramos em relação a esse tipo de atividade ilícita seguida por postagens em grupos no Facebook que vendiam as mesmas ferramentas, técnicas ou serviços usados pelo criminoso. Alguns membros de grupos mostram o que fazem de fato quando se trata desse tipo de crime on-line.

Conclusão
As mídias sociais criaram ferramentas que permitem que pessoas de todo o mundo se encontrem e compartilhem ideias. Esta é uma das características que definem as redes sociais virtuais. No entanto, os algoritmos computacionais que nos ajudam a nos conectar, sugerindo amigos ou grupos, não são inteligentes o suficiente para distinguir as atividades benignas das antiéticas ou de fato ilegais. Por enquanto, o Facebook aparentemente conta apenas com o autopoliciamento dessas comunidades, ao que, por razões óbvias, essas comunidades criminosas são reticentes. Como consequência disso, um número significativo de golpistas cibernéticos tem proliferado atividades ilegais e lucrado com elas. Operando impunemente, esses invasores põem à prova as defesas cibernéticas de empresas de todos os lugares. Trata-se de uma empreitada de alto risco, pois um invasor que entre minimamente em uma organização pode causar danos consideráveis. 

Para combater adversários tão motivados, precisamos trabalhar juntos. As plataformas de mídias sociais devem manter seus esforços, tanto manuais quanto automatizados, para identificar e remover grupos maliciosos. Equipes e fornecedores de segurança devem trabalhar juntos para efetivamente compartilhar informações, tomar medidas e informar nossos clientes. As empresas precisam ser diligentes em seus esforços de proteção e higiene cibernética. E, por fim, os consumidores precisam estar o mais informados e céticos possível. Ataques como o Spam atingem indivíduos como ponto de entrada.

Observação: ao encontrarem grupos maliciosos no Facebook, usuários podem notificar o Facebook sobre eles usando a ferramenta de denúncia, que fica no menu suspenso no topo da página do grupo, clicando no botão “Mais”.
 

Also post on Post
0 Comments