O mundo da cibersegurança foi marcado por fraudes mais sofisticadas do que o normal nos últimos dias. Empresas de segurança descobriram um golpe complexo envolvendo a conta da Apple e um serviço que vende golpes praticamente prontos envolvendo phishing.
Além disso, um relatório de 2023 aponta que a quantidade de dados vazados na internet disparou, em especial por causa de ransomwares, inclusive com indícios de que isso vai desacelerare neste ano. Nem mesmo um time de futebol do Brasil escapou de ser alvo de uma invasão.
As 6 principais notícias de cibersegurança da semana
1. Bandidos fingem ser do suporte da Apple para resetar e roubar senha do iPhone
O site Krebs on Security identificou um novo e perigoso golpe contra usuários de iPhone. O método é bastante sofisticado e envolve até mesmo uma pessoa se passando pelo serviço de atendimento ao consumidor da marca.
A situação envolve primeiro múltiplos pedidos para você resetar a sua senha ou confirmar a autenticação em dois fatores — o que deve ser negado pelo usuário. Após você rejeitar todas as tentativas, começa a segunda fase da fraude, que envolve o telefonema falso.
The attackers made a led high effort focused attack on me, using OSINT data from People Data Labs and caller ID spoofing.
— Parth (@parth220_) March 23, 2024
First, around 6:36pm yesterday all of my Apple devices started blowing up with Reset Password notifications.
Because these are Apple system level alerts,… pic.twitter.com/vX1AZvoVoN
Pessoas que detectaram a tentativa de golpe antes que fosse tarde relatam que a ligação parece mesmo real e até algumas informações pessoais são confirmadas pelo "suporte" — o que significa que os dados vieram de algum banco de dados vazado ou obtido ilegalmente. Até o momento, a Apple não se pronunciou sobre o caso.
2. "Kit de phishing" vende golpes quase prontos para outros cibercriminosos
Pesquisadores da Netcraft encontraram um serviço sofisticado de phishing as a service (PhaaS), que comercializa "kits" para que outras pessoas apliquem golpes na internet. A plataforma mirava principalmente usuários de celular, usando o iMessage e mensagens RCS para escapar de mecanismos de segurança.
Alguns dos templates prontos do "kit" criminoso. (Imagem: Divulgação/Netcraft)Fonte: Netcraft
Chamada de Darcula, a rede de phishing tinha mais de 200 templates prontos que simulavam sites de empresas famosas, como empresas de entrega ou comércio eletrônico. A PhaaS fazia quase tudo sozinha após ser contratada, incluindo hospedar os sites automaticamente e criar moldes de mensagens falsas para fisgar vítimas.
A mensagem que inicia o golpe e é enviada para celulares. (Imagem: Divulgação/Netcraft)Fonte: Netcraft
O serviço foi criado na China e se disfarça principalmente de mensagens nos domínios .top e .press. Ele pode ser contratado para simular páginas de mais de 100 países e segue no ar mesmo após a denúncia.
3. Brecha no Microsoft Edge podia instalar extensões maliciosas sem permissão
O navegador Microsoft Edge tinha até o último mês uma brecha que permitia a instalação de extensões que poderiam resultar em crimes virtuais.
A falha CVE-2024–21388 explorava uma limitação no motor Chromium. Ela enganava o navegador a achar que uma API privada, normalmente usada para temas do navegador ou marketing, em uma extensão. Dessa forma, ela poderia se instalar no Edge sem precisar da permissão do usuário.
O caminho da instalação da extensão sorrateira no Edge. (Imagem: Reprodução/Guardio Labs)Fonte: Guardio Labs
Na prática, as extensões poderiam envolver rastreadores, malwares bancários ou programas para roubar suas senhas. Segundo o Guardio Labs, a vulnerabilidade foi corrigida pela Microsoft antes que ações mal intencionadas fossem realizadas.
4. Palmeiras apura possível ataque hacker que teria revelado informações confidenciais
O Palmeiras, atual bicampeão brasileiro de futebol da Série A, foi alvo de uma possível invasão virtual. No último domingo (24), um perfil na rede social X já deletado revelou supostas informações confidenciais sobre contratos de jogadores, parcerias comerciais e até salários de funcionários.
O invasor alegou ter acesso a centenas de contas de email do Palmeiras, incluindo até mensagens da presidente do time, Leila Pereira. O clube não confirmou a invasão, mas abriu uma investigação e prometeu "providências cabíveis".
5. Ciberataques e vazamentos de dados dispararam em 2023, diz relatório
Um novo relatório divulgado pela Flashpoint traçou o atual e procupante panorama da segurança digital. Segundo o estudo Global Threat Intelligence Report, vazamentos de dados aumentaram quase 35% em 2023 em comparação com o ano anterior.
Dos incidentes avaliados, 70% foram originados de acesso não autorizado a servidores de organizações, normalmente contendo nomes, documentos de identificação e até dados financeiros. A divulgação de dados após uma infecção por ransomware foi a causa mais comum, com informações batendo com relatórios de outras empresas.
Ransomwares seguem em alta. (Imagem: Getty Images)Fonte: GettyImages
Além disso, o ano atual promete ser de ainda mais riscos: só nos primeiros meses de 2024, a quantidade de dados vazados ou roubados subiu 429% em comparação com o ano anterior. Você pode acessar o relatório completo neste link (em inglês).
6. Empresa lança serviço que detecta e previne golpes de engenharia social
A Appdome criou uma ferramenta que, segundo a marca, é a primeira do mundo que previne ataques de engenharia social. Bastante em alta, esses crimes envolvem normalmente ligações por telefone ou mensageiros, como é o caso da falsa central de bancos.
Engenharia social é um risco especialmente no mobile. (Imagem: Getty Images)Fonte: GettyImages
Sem fazer gravações da ligação, a ferramenta da Appdome detecta chamadas suspeitas em tempo real e manda mensagens de alerta à possível vítima, perguntando se tudo está bem e falando que há uma possível atividade suspeita em andamento.
Chamado de Prevenção de Engenharia Social, o serviço é ativado de forma intuitiva pelo desenvolvedor que contrata os serviços da empresa e tem fácil implementação no ambiente mobile.
Essas foram as principais notícias do campo da proteção digital na semana. Recentemente, discutimos também como a regulamentação das IAs pode impactar o cenário da cibersegurança — clique aqui e confira.