Período 10/5 a 16/5. ZERO DIA é uma newsletter semanal que traz uma curadoria dos acontecimentos em inteligência de ameaças, segurança cibernética e crimes cibernéticos envolvendo o Brasil na última semana. O público-alvo é qualquer pessoa. ZD é publicada semanalmente.

No Brasil

Operações Fakemetria (PC SC) e Face Off (PF)

Em Abril, a Polícia Civil de Santa Catarina (SC) deflagrou a Operação Fakemetria com o objetivo de combater estelionatos com exploração de autenticação por reconhecimento facial.

O esquema era praticado por um funcionário, sem o conhecimento das empresas de telefonia em que trabalhava, consistindo em simular vendas regulares de linhas de celular aos clientes, quando na verdade se tratava da obtenção ilícita de validações de biometria para a abertura de contas e liberação de microcrédito simplificado em bancos digitais. A fraude somente era percebida pelas vítimas após ficarem negativas nos serviços de proteção ao crédito pelas instituições financeiras com as quais nunca mantiveram qualquer tipo de relacionamento. Estima-se que o golpe pode ter lesionado mais de 50 pessoas físicas e jurídicas entre clientes, fintechs do setor bancárias e operadoras de telefonia, com mais de 1500 reclamações relatando consignados não contratados ao órgão de proteção ao consumidor de Joinville somente nos últimos 12 meses.

Engenharia social, certo? Não se trata de um problema no método de autenticação. Esse tipo de golpe mostra como métodos e controles de segurança não acompanhados de educação de usuários servem apenas às instituições. A instituição financeira pode alegar que, tecnicamente, foi você de fato quem contratou crédito, independente da persuasão bem sucedida por terceiros.

O repórter Guilherme Tagiaroli (UOL) apurou que os principais bancos afetados foram Afinz, Will Bank e Digio, que aparentemente são menos criteriosos com a segurança na criação de contas. Tagliaroli falou sobre a Operação Fakemetria e sobre outros aspectos de segurança e privacidade envolvendo a autenticação biométrica por reconhecimento facial no episódio 70 do Podcast UOL Prime, Os riscos do reconhecimento facial. Se você já se incomodou com a coleta de biometria em qualquer portaria de prédio comercial ou residencial se identificará com a matéria.

Em minha opinião, grandes incidentes envolvendo dados biométricos coletados e armazenados por sistemas com segurança muito inferior à de bancos é apenas um acidente esperando para acontecer. Talvez já tenham acontecido e nunca saberemos, pois a população brasileira fica sabendo de vazamentos por fóruns underground e jornalistas, não pelas próprias organizações. Falei mais sobre vazamentos e a cultura do vazamento no Brasil na ZERO DIA de 5 de Maio.

/ Polícia Civil SC

Em 13 de Maio, a Polícia Federal (PF) deflagrou a Operação Face Off, que teve o objetivo de desarticular uma associação criminosa especializada em fraudar contas GOV.BR, utilizando técnicas avançadas de alteração facial para burlar sistemas de autenticação biométrica. As referidas técnicas avançadas não foram divulgadas, possivelmente por se tratar de uma investigação ainda em andamento e de um sistema de alto impacto sobre a sociedade.

Tanto cidadãos quanto empresas são afetados por fraudes contra o sistema GOV.BR, que foi introduzido em 2019 e foi gradualmente implantado em sistemas federais e estaduais. O sistema controla o compartilhamento de dados pessoais, armazena documentos (RG, CNH, CIN), provê autenticação e até assina documentos de vários tipos - DOC / DOCX (Microsoft Word), ODT (OpenDocument Text compatível com vários editores de texto), JPG, PNG ou PDF (Adobe Acrobat). O acesso indevido ao GOV.BR permite que o atacante execute ações em sistemas governamentais, obtenha documentos digitais assinados digitalmente e assine documentos.

O Serviço Federal de Processamento de Dados (Serpro) implantou a Verificação em Duas Etapas (2FA) no sistema GOV.BR, o que associa a conta a um telefone celular. Em caso de login em navegadores, é necessário gerar um Código de Acesso no celular, composto de 6 algarismos. Esse código é solicitado durante o processo de login em outro dispositivo. Esse recurso detém a maioria dos ataques, porém a maioria dos usuários parece não habilitá-lo.

Outro problema da Verificação em Duas Etapas do GOV.BR é que responsáveis por CNPJ precisam desabilitar essa verificação para que terceiros executem ações fiscais e financeiras em sistemas do governo em nome de seu CNPJ - escritórios de contabilidade, por exemplo. Isso é uma falha grave no sistema, que coloca em risco a conta pessoal GOV.BR de administradores de empresa. Esse problema poderia ser endereçado pela possibilidade de criação de procurações digitais que permitam que um usuário do GOV.BR atribua a outro CPF a capacidade de agir em seu nome em certos sistemas.

Além da ativação da Verificação em Duas Etapas, há o problema de muitos usuários que simplesmente ainda não criaram sua conta GOV.BR, o que viabiliza a criação de contas por terceiros mal intencionados. Em entrevista para o Canaltech, Rodrigo Fragola falou sobre as limitações do reconhecimento facial implementado no GOV.BR.

[…] a plataforma é feita para milhões de pessoas usarem. Então o sistema recorre à câmera como sensor, fator que limita o sistema. Além disso, a capacidade da câmera do celular varia pelo modelo de dispositivo. "Isso faz com que a empresa responsável pela autenticaçao deixe uma margem maior de erro para que não haja diversos bloqueios de acesso. Isso abre mais possibilidades para golpes", adiciona o especialista.

/ PF

Relacionado: G1

Sobre o Brasil

Kaleidoscope, uma operação de fraude em Android

Em 9 de Maio, o IAS Threat Lab da Integral Ad Science (IAS) publicou um artigo sobre uma operação de fraude em Android que eles batizaram de Kaleidoscope.

Mais de 20% desses usuários afetados estavam localizados na Índia, com focos significativos observados na Indonésia, Filipinas e Brasil. As infecções decorreram principalmente de instalações de aplicativos maliciosos por meio de lojas de aplicativos de terceiros, provavelmente impulsionadas por malvertising agressivo.

O esquema consiste em:

• Clonagem de Apps com uma diferença: Duas versões do mesmo app — uma limpa, uma maliciosa — que utilizam o mesmo app ID. A versão limpa é distribuída pela app store oficial Google (Google Play), que é protegida pelo Google Play Protect. O irmão gêmeo malicioso se esconde em app stores de terceiros. É bom lembrar que só é possível instalar aplicativos a partir de arquivos APK desabilitando um controle de segurança do Android. Muitas pessoas fazem isso buscando alguma VANTAGI (R), como não pagar pela compra ou assinatura de um aplicativo. O Tecmundo publicou recomendações sobre diversos desses APK paralelos - ChatGPT Plus, CapCut Pro (Bytedance), Spotify Premium, e até, acredite se quiser, Nubank.

• SDKs com novos nomes: Após a exposição do SDK CaramelAds em esquemas anteriores como o Konfety, os fraudadores mudaram de atitude — removendo identificadores e reempacotando códigos maliciosos em novos SDKs mais difíceis de detectar.

• Infraestrutura oculta: Uma rede de novos domínios empodera a comunicação entre dispositivos infectados e servidores de comando e controle, permitindo que pessoas ou grupos mal intencionados coordenem fraude em tempo real e coordenada em grande escala.

• Expansão contínua: IAS descobriu mais de 130 app IDs, incluindo 40 apps recentemente descobertos, associados com Kaleidoscope, o que leva a uma estimativa de 2.5 milhões de instalações fraudulentas por mês.

É muito fácil distribuir aplicativos com objetivos obscuros no Brasil com o nosso cenário de VANTAGI (R) Never Ends. No contexto do Brasil, possuir um celular Apple, que não permite a instalação de aplicativos de fora da única app store oficial, é uma proteção contra os próprios usuários.

Desativar a possibilidade de instalar apps desconhecidos é um tiro no pé e deve ser utilizado com muito critério. Na minha experiência pessoal de power user extremamente consciente de questões de segurança e privacidade, precisei fazer isso somente para instalar e atualizar apps de dispositivos fabricados na China que simplesmente não estavam no Google Play e quando utilizei a app store de FOSS (Free and Open Source Software) F-Droid. Recomendo que você dê uma olhada na lista de pacotes disponíveis no F-Droid. Há muitos aplicativos na categoria segurança, como o famoso Aegis Authenticator.

O relatório completo está disponível em KALEIDOSCOPE: The Continuous Evolution of Ad Fraud Exploiting App Stores as a Front (PDF). No documento PDF anterior há uma referência a um segundo documento PDF que contém IOC. Indicadores de Comprometimento em PDF deveria ser considerado um crime sem direito a fiança.

/ IAS

Brasil é lider em vítimas de stealer logs

Em 12 de Maio, a SOCRadar publicou um artigo introdutório sobre Stealer Logs. Se você ainda não sabe o que são Stealer Logs e Infostealers, deveria saber. No cenário atual de ameaças eles são tão críticos quanto Ransomware. Na verdade, muitas vezes Stealer Logs fazem parte da fase de Initial Access de Ransomware.

Stealer Logs são coleções estruturadas de informações confidenciais extraídas de dispositivos comprometidos. Após a infecção, o malware Infostealer coleta discretamente dados como credenciais de login, cookies do navegador, detalhes da carteira de criptomoedas e informações do sistema. Uma vez coletados, esses dados são organizados em logs que os invasores podem facilmente classificar, pesquisar e explorar.

O Brasil foi destaque no artigo como líder entre as econonomias emergentes:

A distribuição dos países afetados revela uma clara concentração de usuários afetados em mercados emergentes, com o Brasil liderando com 9,51%, seguido pela Índia (7,93%) e Indonésia (4,30%). Essas regiões podem ser particularmente vulneráveis ​​devido a uma combinação de alto crescimento do uso da internet, conscientização limitada sobre segurança cibernética e infraestruturas de proteção digital menos rigorosas.

Infostealers são uma das razões pelas quais ninguém deveria repetir senhas, pessoais ou profissionais. Colocado de uma maneira bem simples, não utilizar gerenciadores locais de senha como KeePassXC ou na nuvem como BitWarden, não utilizar autenticação em dois fatores (2FA) em qualquer aplicação possível e não aderir a Passkeys é garantia que você apareceu ou irá aparecer no Have I Been Pwned (HIPB) do Troy Hunt ou InfoStealers da Hudson Rock.

/ SOCRadar

Também foi interessante

Vazamento de 400 credenciais de acesso do Dataprev

A empresa estatal Dataprev, que tem o Instituto Nacional do Seguro Social (INSS) como um dos principais clientes, foi obrigada a reconhecer a auditores do Tribunal de Contas da União (TCU) que havia detectado o comprometimento de 400 credenciais de acesso a seus sistemas.

A Dataprev foi alvo de uma inspeção de auditores do Tribunal de Contas da União entre janeiro e agosto de 2023. A apuração levou à abertura de um processo sigiloso na Corte. Já na ocasião, como revelou o blog, os auditores informaram ao TCU que as falhas nesses sistemas de segurança dos dados de aposentados e pensionistas havia levado, só entre janeiro de 2022 a agosto de 2023 a fraudes no valor de R$ 1,4 bilhão.

A Dataprev informou ter identificado "60 dispositivos estranhos" instalados em suas redes. O comprometimento pode estar relacionado com o esquema de descontos em aposentadorias do INSS revelado pelo Metrópoles.

/ G1

Hacker de Araraquara é condenado junto com deputada

Em 14 de Maio, a Primeira Turma do Supremo Tribunal Federal (STF) decidiu condenar a deputada federal Carla Zambelli(PL-SP) a dez anos de prisão por coordenar invasão aos sistemas do Conselho Nacional de Justiça (CNJ) em 2023. O hacker Walter Delgatti Neto foi condenado na mesma ação a oito anos e três meses de prisão. Ambos terão que pagar R$ 2 milhões por danos materiais e morais coletivos.

Walter foi figura central na Vaza Jato, vazamento de dados ao estilo Edward Snowden que ocorreu em 2019 e causou diversas consequências diretas e indiretas ao universo político do país, notadamente sanções ao então juiz e atual Deputado Sérgio Moro (União-PR) e libertação do presidente Luiz Inácio Lula da Silva (PT).

/ UOL

Relacionado: Veja, CNN

Feedback pelo Substack ou @ronaldotcom (Blue Sky, Twitter). Aumento minhas fontes a cada dia, mas posso falhar como qualquer um de seus fornecedores de threat intel ;-)