O pessoal da Kaspersky Lab soltou uma nota alertando sobre os perigos na hora do saque do Fundo de Garantia do Tempo de Serviço (FGTS). De acordo com a empresa, cibercriminosos estão utilizando técnicas de phishing e malware para conseguir dados de cidadãos que têm alguma quantia para sacar no banco — são mais de 4,8 milhões de brasileiros que já podem receber o pagamento, nascidos entre janeiro e fevereiro.
O Facebook também é alvo dos cibercriminosos
"Para disseminar os ataques os criminosos têm usado sites falsos, e-mails maliciosos e posts em redes sociais, tudo com o objetivo de distribuir trojans bancários, alterar o roteador da vítima e assim roubar dados pessoais", notou a Kaspersky.
Mais perigoso, por se tratar de um ambiente mais relaxado, o Facebook também é alvo. Isso porque os hackers black hat estão criando páginas falsas para ludibriar usuários e roubar dados sensíveis.
“A tendência é que os ataques com estes temas aumentem conforme o governo vai liberando o dinheiro”, afirma Thiago Marques, analista de segurança da Kaspersky Lab no Brasil. “A quantidade de sites não oficiais trazendo supostas informações dos saques, alguns deles pedindo informações pessoais do visitante podem ser usados em golpes onde seria possível até mesmo sacar indevidamente o dinheiro das vítimas”, informa o analista. (Tem empresa? entenda o que é segurança de informação e saiba como lidar com dados sigilosos – Patrocinado )
A técnica de phishing é usada dessa maneira para conseguir os dados via plataformas de email
Veja agora como é uma página falsa no Facebook voltada para fins maliciosos
Uma falha no site do Ministério da Educação (MEC) estava expondo os dados pessoais de cidadãos brasileiros. Segundo o grupo de pesquisa e hacking HatBash, um API exposto permitia que qualquer pessoa realizasse consultas e pegasse informações como datas de nascimento, nomes completos, nomes de parentes e números de CPF. Dessa forma, "um cibercriminoso com boa engenharia social poderia puxar esses dados e causar problemas aos cidadãos", notou o grupo.
O TecMundo entrou em contato com o Ministério da Educação alertando sobre o problema, que foi resolvido em poucas horas pelo MEC.
"O que muita gente pode fazer é gerar CPFs aleatórios e praticar algum crime", comentou o HatBash. "Com engenharia social também é possível puxar informações mais críticas, como telefone e endereço". Além do âmbito virtual, o grupo notou que as informações obtidas no site poderiam ser utilizadas para crimes no mundo real, como táticas para sequestro, por exemplo.
O que cibercriminosos podem fazer?
Também conversamos com M. Toledo, 2° secretário-geral do Partido Pirata, para entender um pouco mais o que a exposição desses dados poderia causar: "Só com o CPF é possível habilitar linhas telefônicas em celulares pré-pagos, já que não existe nenhuma forma de verificação. Com CPF e nome completo, a pessoa vai poder solicitar diversos serviços".
'' Abrir contas em bancos para solicitar empréstimos e outras linhas de crédito''
Como exemplo, Toledo cita que criminosos podem solicitar cartões de crédito, cartões de loja e realizar até compras no nome de cidadãos. Isso aconteceria pela capacidade de conseguir segunda via de contas e comprovantes de residência. "Pode, ainda, em posse de nome completo, CPF e comprovante de residência — o qual pode ser facilmente falsificado também — abrir contas em bancos para solicitar empréstimos e outras linhas de crédito", nota.
O que era a falha?
Abaixo, um exemplo de como isso acontecia. Veja o script:
Dessa maneira, as informações no site do Ministério da Educação eram apresentadas assim
Postar um comentário