ZERO DIA é uma newsletter semanal que traz uma curadoria dos acontecimentos em inteligência de ameaças, segurança cibernética e crimes cibernéticos envolvendo o Brasil na última semana. O público-alvo é qualquer pessoa. ZD é publicada semanalmente.

No Brasil

Vazamento de dados da XP Inc.

Em 24 de Abril, a XP Investimentos, subsidiária da XP Inc., anunciou um vazamento de dados. De acordo com a Agência Reuters, entre as informações vazadas, estavam:

• dados cadastrais, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade;

• dados sobre os produtos financeiros contratados, sem os respectivos detalhamentos, limitando-se às informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário;

• dados como o número da conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março.

Você pode estar pensando “que bom ver as empresas Brasileiras jogando aberto sobre seus incidentes” ou “que bom que os vazamentos no Brasil diminuíram - acho que a LGPD está fazendo efeito”. Bem, não. O comunicado da XP Inc. está tão escondido nos sites corporativos que só o encontrei com Google.

Os vazamentos não diminuíram, apenas não estamos mais sabendo deles. Melhor asim? Em 18 de Abril, BreachForums (BF), o principal fórum underground (bem não era tão underground assim porque era facilmentente encontrável) temático sobre vazamentos, saiu do ar supostamente por iniciativa dos próprios administradores. Um bom resumo do fica online, fica offline, polícia chegou, polícia foi embora está no artigo BreachForums is Offline: A New Twist or Just Another Cyber Shenanigan? (SOCRadar). Eu particularmente acho que a polícia já está lá há muito tempo.

Esse fórum era observado de perto por pesquisadores de threat intelligence, empresas de threat intelligence e jornalistas. Agora todos precisarão buscar outra fonte até BF ou similar voltar ao ar - novamente. Até lá, todos ficaremos com a sensação quentinha e reconfortante que os vazamentos acabaram e que empresas e pessoas estão cuidando melhor de seus dados. / XP Inc.

Relacionado: Canaltech, Metrópoles, G1, Folha de São Paulo

Pesquisador Brasileiro Renato Amaral reporta duas vulnerabilidades no Instagram

Em 23 de Abril, o Tecmundo publicou uma matéria sobre duas vulnerabilidades no Instagram descobertas por Renato Amaral, um pesquisador Brasileiro que é destaque no Leaderboard do programa de bug bounty da Meta. No momento, ele é o número 2 do placar mundial. Em 2024, ele foi o número 14. Bug Bounty é o nome popular de programas de recompensas monetárias em troca de relato de vulnerabilidades, que podem ser operados pela própria organização afetada ou empresas terceiras que fazem esse trabalho.

As vulnerabilidades não foram descritas tecnicamente por restrições impostas pela Meta e tampouco tem CVE associados por se tratarem de falhas consideradas lógicas. No entanto, o Tecmundo reproduziu a descrição que o próprio Amaral forneceu:

Basicamente a falha dava permissão de anunciante nas contas do Instagram, aí com essa permissão eu conseguia criar um anúncio e publicar uma foto no perfil das contas profissionais. […] A foto, como é foto de anúncio, não aparece no feed da pessoa, mas ela era publicada dentro da conta da pessoa […] Havia a possibilidade de criar um anúncio no perfil da Magazine Luiza, por exemplo, vendendo algum produto. Dentro do Instagram, se tornaria um produto vendido pela própria Magalu, mas o link seria falso, com rota alterada. […] A falha afetava todas as contas que estão como profissionais no Instagram, praticamente todas as contas grandes de empresas e influencers são profissionais. Não tinha o que a pessoa fazer. Mesmo que ela acessasse a publicação pelo link na conta dela, ela não conseguia excluir porque dava erro, era uma publicação atrelada a anúncio sem possibilidade de exclusão.

Para mais informações sobre essas vulnerabilidades, leia o artigo exclusivo da Tecmundo. Se alguém encontrar o perfil de Renato Amaral, por favor me avise. Ele é bem discreto. / Canaltech

Fantástico mostra o universo de Robocalls do Brasil

Em 27 de Abril, o Fantástico levou ao ar uma matéria sobre robocalls no contexto do Brasil. Este tipo de ligação é utilizado por empresas de telemarketing que desejam aumentar a qualidade de sua base de contatos pela “prova de vida” - ligações que testam se há um humano por trás daquela linhe e, portanto, cliente em potencial.

Infelizmente, eu também desisti de atender a ligações de números que não conheço. Isso naturalmente causou certos impactos em minha vida pessoal e profissional, mas a situação saiu do controle no país. As autoridades de comunicações estão tentando, mas ainda não obtiveram sucesso em conter as robocalls, mesmo com iniciativas do governo como Não Me Perturbe, que limitam ao menos ligações de instituições financeiras e operadoras de telefonia.

Privacidade é uma preocupação constante minha, em todos os aspectos de minha vida, mas apesar disso decidi utilizar serviços de caller ID que inicialmente condenei. Compartilhar seus contatos com empresas como Hiya ou TrueCaller é o preço a se pagar para saber um pouco mais sobre quem liga para seu número.

Se você não gosta de pagar por software, certas operadoras oferecem o serviço gratuitamente para clientes pós-pagos. A Claro é uma dessas operadoras que oferece o serviço. Celulares Samsung possuem uma versão limitada de Hiya embutida que precisa ser ativada na configuração Proteção ID de chamada e spam (Caller ID and spam protection).

Outra sugestão simples que tenho é ter um número de celular somente para aplicativos de mensagem - Whatsapp, Telegram, Signal. Isso reduz consideravelmente sua superfície de spam, tanto comercial quanto de ataques cibernéticos.

Outra sugestão é ativar o chat Rich Communication Services (RCS) no aplicativo embutido que seu celular tem para mensagens SMS. RCS, colocado de maneira simples, é a próxima geração de SMS, com segurança e privacidade aprimoradas.
/ Fantástico

Sobre o Brasil

Brasil está fora dos planos de expansão do Ransomware Anubis

Em 23 de Abril, a Secureworks publicou um artigo sobre modelos inovadores de afiliados de dois grupos em particular, Anubis e DragonForce. Brasil e seus companheiros de BRICS estão fora da área que é alvo do grupo.

O anúncio especifica que vítimas em determinadas regiões e setores são excluídas. Assim como acontece com muitos grupos de ransomware, os operadores do Anubis restringem ataques a organizações em estados pós-soviéticos. Além disso, excluem os países que compõem a organização intergovernamental BRICS (Brasil, Rússia, Índia, China, África do Sul, Egito, Etiópia, Indonésia, Irã e Emirados Árabes Unidos).

O post original do fórum XSS confirma a informação do artigo, que destaca que Anubis tem três sub-modelos de afiliados:

1. RaaS – a abordagem tradicional ,que envolve criptografia de arquivos e oferece aos afiliados 80% do ransom.

2. Data Ransom – uma opção de extorsão exclusiva para roubo de dados, na qual os afiliados recebem 60% do ransom

3. Accesses Monetization – um serviço que ajuda os criminosos a extorquir vítimas que já comprometeram e oferece aos afiliados 50% do ransom. A restrição a países integrantes do BRICS está nesse modelo.

Não sei se fico feliz ou triste pela discriminação contra o Brasil e outros países do BRICS. Sei ele eles estão em início de carreira, com somente sete ataques documentados, mas claramente eles não estudaram bem o mercado do Brasil. Temos um mercado pujante de seguros cibernéticos, que em minha opinião mais atrapalham do que ajudam, mas isso é o que acho, não o que eu sei. Sei que prevenir ataques a organizações é tão difícil quanto proteger carros contra batidas e que seguro faz sentido. Estava procurando por uma análise objetiva para dar base a meu achismo e parece que encontrei. O pesquisador Tom Meurs, dos Países Baixos, chegou a uma conclusão objetiva sobre seguros cibernéticos em seu trabalho Double-Extortion Ransomware: A Study of Cybercriminal Profit, Effort, and Risk (PDF).

Uma das conclusões mais marcantes da pesquisa é que empresas com seguro cibernético pagam em média 2,8 vezes mais resgate do que empresas sem seguro. Os criminosos cibernéticos tentam deliberadamente descobrir se uma empresa está segurada. Tom explica: "Depois de obter acesso a um sistema, eles procuram ativamente por documentos com nomes como 'seguro' ou 'apólice'. Essas informações extras dão aos cibercriminosos uma melhor posição de negociação, o que leva a pagamentos de resgate mais altos."

Para uma análise do trabalho de Meurs, leia o artigo Ransomware in SMEs: Cybercriminals increase ransom payments for cyber insurance (Holandês). Para mais informações sobre DragonForce, o outro grupo analisado, leia o artigo original.
/ Secureworks

Também foi interessante

IA pode aumentar o alcance de ameaças cibernéticas Brasileiras

Em 2 de Maio, The Register publicou uma matéria sobre o impacto de IA na fluência de ataques de phishing, ou seja, na qualidade de variantes de um mesmo idioma. Chester Wisniewski, global field CISO da Sophos fez algumas declarações que podem ser interessantes para quem acompanha o cenário de ameças do Brasil.

Moradores da província francófona Quebec conseguem identificar mensagens de spam rapidamente porque elas geralmente são escritas em francês tradicional, em vez do Quebequense (Québécois) [variante do idioma Francês]. Mas sistemas de IA podem facilmente gerar Québécois convincente, facilitando a captura das vítimas.

Uma tendência semelhante é observada com spam em português. Considerando que a população do Brasil é cerca de 20 vezes maior que a de Portugal, os golpistas historicamente privilegiaram o português brasileiro em suas campanhas. Agora, com a IA capaz de produzir conteúdo em português europeu, os moradores de Portugal estão encontrando cada vez mais dificuldade em discernir tentativas de phishing elaboradas em seu estilo linguístico local.

Poderia levar o texto para a polêmica imaginária recente entre Brasil e Guiana Brasileira Portugal, mas não concordo com a inferioridade de Portugal. Atualmente, Portugal é uma potência em crescimento em segurança cibernética e quero apenas estreitar os laços com os companheiros ibéricos. Em segurança cibernética, somos a Guiana Portuguesa. Generative AI makes fraud fluent – from phishing lures to fake lovers / The Register

Prisão do Hacker de Araraquara é mantida; STF marca para maio julgamento da Deputada Zambelli por invasão ao sistema do CNJ

Em 23 de Abril, a Primeira Turma do STF (Supremo Tribunal Federal) manteve a prisão do hacker Walter Delgatti e marcou o julgamento da Deputada Carla Zambelli (PL-SP) para 9 de Maio, por plenário virtual. A PGR acusa Zambelli de ter orientado Delgatti a invadir sistema do CNJ para produzir um falso mandado de prisão. Mais informações sobre o caso na ZERO DIA de 3 de Fevereiro. / UOL

Relacionado: Veja, CNN, Isto É, Poder360, Metrópoles [1,2]

Feedback pelo Substack ou @ronaldotcom (Blue Sky). Aumento minhas fontes a cada dia, mas posso falhar como qualquer um de seus fornecedores de threat intel ;-)