Falha do Facebook Messenger é descoberta
Falha pode expor internautas a programas maliciosos e ataques crackers.
Por Guilherme Abati
Uma falha encontrada no Facebook Messenger pode expor internautas a programas maliciosos e ataques crackers. Assim, o problema faz com que o usuário envie malwares por meio de mensagens aos amigos da rede social.
Segundo o site The Inquirer, Nathan Power, pesquisador de segurança, encontrou a falha e a publicou em seu blog um comunicado sobre o problema no final de setembro. Porém, só no dia 26 de outubro o Facebook deu atenção ao problema.
O bug acontece da seguinte forma: um programa malicioso é enviado como anexo executável por mensagens. No entanto, o Facebook Messenger não permite que o usuário envie arquivos desse tipo. Nesses casos, aparece uma notificação de erro no upload.
Acontece que Power identificou uma oportunidade nas requisições das publicações (quando o usuário escreve a mensagem e clica em “Publicar”), ao serem enviadas aos servidores do Facebook. Foi encontrada uma variável (espaço de memória, no servidor, que guarda dados dentro do programa), que pode ser alterada pelo usuário. Essa variável está depois da checagem de tipo de arquivo e, portanto, o executável pode ser enviado.
Com isso, Power conseguiu enviar mensagens para os usuários da rede social com executáveis nocivos. A principal alerta é sobre a facilidade de ataques crackers no Facebook.
O Facebook se pronunciou minimizando o problema, afirmando que ataques em massa exigiriam um esforço extra do cracker, já que a rede usa técnicas de varredura do arquivo a fim de bloquear as mensagens. Mas há a possibilidade, e a vergonhosa falha, até o fechamento desta nota, ainda não havia sido fechada.
Para empreender o ataque, rackers enganam usuários para descobrir o código exclusivo de autorização da sessão de internet na rede social.
Novos ataques de engenharia social estão levando usuários do Facebook a expor tokens anti-CSRF associados às suas sessões de internet. O "cross-site request forgery" é um ataque que explora da confiança entre sites e internautas autenticados.
Da forma que a internet funciona, uma página pode teoricamente forçar o navegador do visitante para enviar uma solicitação de um outro site, onde o usuário é autenticado, portanto, pegando carona na sessão ativa invadida.
Leia também: Falha no Facebook permite enviar vírus para qualquer usuário
Para impedir que isto aconteça, os sites incorporam códigos exclusivos de autorização, conhecidos como tokens anti-CSRF nos seus formulários. Como os cibercriminosos não têm acesso a eles, pedidos maliciosos não podem ser feitos.
No entanto, pesquisadores de segurança da Symantec detectaram um novo tipo de ataque no Facebook em que as vítimas são e
nganadas para fornecer esses códigos manualmente, passando por um processo falso de verificação.
Os golpes começam com mensagens de spam de vídeos interessantes compartilhados nos murais dos usuários no Facebook entre usuários comprometidos. Essas mensagens têm links para páginas que copiaram a interface do YouTube.
Quando chegam a esses sites, as vítimas são instruídos a colar um código aleatório, supostamente gerado por um mecanismo anti-spam na página.
Na verdad
, esse código é obtido por meio de uma solicitação feita a um script do Facebook em segundo plano e contém o token de anti-CSRF atribuído pela rede social ao usuário.
Portanto, esse código é tudo que cibercriminosos precisam para fazer solicitações de autorização em nome da vítima. No exemplo apresentado pela Symantec, o token foi usado para propagar o golpe postando a mensagem de spam original no mural do usuário.
Este truque de engenharia social é parecido com o utilizado nos chamados ataques self-XSS, em que o usuário cola o código JavaScript na barra de endereço do navegador. O motivo da adoção do método do ataque CSRF ainda não é clara, já que ambos os ataques são igualmente difíceis de obter sucesso. Mas essa escolha pode ter a ver com os mecanismos de segurança implementados pelo Facebook no início deste ano para detectar e bloquear self-XSS.
Segundo a Symantec, o Facebook, informou que está trabalhando com fabricantes de navegadores para criar soluções que evitem esses ataques e está constantemente monitorando contas de comportamento suspeito.
"Os criminosos estão usando algumas realmente inovadoras técnicas de engenharia social para enganar as vítimas. Aconselhamos que os internautas mantenham seus softwares de segurança atualizados e não cliquem em nenhum link que pareça suspeito", aconselham os pesquisadores de segurança da Symantec.
(Lucian Constantin)
Conheça os 5golpes mais populares no Facebook e no Twitter
As redes sociais se tornam mais populares e, com elas, cresce o número de golpes e fraudes online. Conheça 5 ameaças que você deve evitar.
Cerca de três em cada dez usuários de redes sociais já experimentaram alguma forma de ameaça online como infecção por vírus ou tentativa de golpe, de acordo com uma recente pesquisa da empresa de segurança Webroot.
> 63% das empresas temem roubo de dados
Conforme aumenta a popularidade das redes sociais, elas se tornam mais atrativas aos criminosos que buscam gerar lucro a partir de fraudes na web.
Selecionamos cinco dos mais populares golpes detectados recentemente por analistas de segurança em serviços como o Facebook e Twitter. Confira:
1. Detalhes secretos sobre a morte de Michael Jackson
Notícias de celebridades sempre serão usadas por criminosos porque eles sabem que as pessoas adoram fofoca. O mais notável e recente episódio do tipo, a morte do ídolo pop Michael Jackson, já foi o tema de milhares de e-mails maliciosos que contém vírus em arquivos anexados, de acordo com empresas de segurança como a Sophos.
Tipicamente, mensagens maliciosas no Twitter e Facebook relacionam notícias de celebridades com links que, supostamente, possuem “informações secretas”. No caso de Jackson, algumas fraudes também prometem canções inéditas do astro e incentivam os usuários a fazerem downloads.
Outra prática comum dos ataques é oferecer uma atualização do software Adobe Flash para reproduzir o vídeo. Em vez de atualização, o arquivo instala um cavalo-de-troia ou outro programa malicioso no computador da vítima.
“Talvez o mais famoso vírus seja o twitter-suspende-contas-de-usuarios-afetados-pelo-virus-koobface”>Koobface”, disse o consultor sênior da Sophos Graham Cluley. “Tem havido mais alternativas no modo de roubar dados do seu computador. Uma vez comprometido, seu PC pode ser usado para envio de e-mails indesejados (spam), instalação de programas espiões (spyware), roubo de identidade ou ativação de ataques de negação de serviço”, explicou.
2. Estou numa cilada em Paris! Por favor, envie dinheiro
Essa fraude já foi reportada há vários meses, mas continua rodeando o Facebook: Um amigo envia, pelo comunicador instantâneo da rede social, uma mensagem dizendo que caiu numa armadilha em algum país estrangeiro e foi assaltado ou perdeu sua carteira num acidente. Ele precisa de dinheiro para voltar para casa rapidamente.
A pessoa do outro lado, na verdade, é um criminoso virtual que invadiu a conta de seu amigo.
“Geralmente chegam e-mails dizendo ‘apenas forneça seus dados bancários que nós faremos o depósito’. Os criminosos por trás desse golpe já ganharam milhões”, disse Cluley. O analista afirma que muitos golpes usam o nome do cônjuge ou dos filhos da vítima para fazer o e-mail parecer mais legítimo.
3. Meu Deus! Você viu essas fotos?
Tanto no Facebook quanto no Twitter – e também para usuários do Orkut – as fraudes que envolvem a pergunta acima são muito comuns. Atraindo a atenção por uma foto na qual o usuário supostamente aparece, ele é levado a uma tela falsa para login e senha. Essa página imita o Facebook mas, na verdade, rouba os dados inseridos.
Variações do golpe também usam frases como “É verdade o que disseram sobre você nesse blog”?, que leva a uma falsa página do Twitter que também rouba login e senha.
A dica é: se seu navegador apontar para outro endereço que não inicie por facebook.com ou twitter.com, saia do site imediatamente.
4. Teste seu QI
Membros do Facebook que decidiram recentemente usar um aplicativo que oferecia testes de quociente de inteligência (QI) foram surpreendidos negativamente ao perceberem que assinaram, sem querer, um serviço que custa 30 dólares ao mês.
O IQ Test parece com qualquer outro joguinho de perguntas (quiz) do Facebook. Porém, uma vez completado, pede ao usuário que insira o número do celular para receber os resultados. Com isso o usuário é cadastrado em um serviço de mensagens de texto. Muitas vítimas dizem que os termos de serviço são em letras tão pequenas que é quase impossível percebê-los.
Este é apenas um dos muitos exemplos de aplicativos do Facebook sendo usados para disseminar vírus nos computadores dos usuários.
Comunidades falsas
Nos Estados Unidos, uma comunidade do Facebook se dizia ser da área de recrutamento da Universidade de Butler, no estado de Indiana, voltada a alunos secundários que pretendiam entrar ingressar na instituição em 2013. A comunidade, na verdade, não pertencia à universidade e poderia estar sendo usada para roubar dados dos estudantes.
A melhor forma de evitar o perigo de entrar em comunidades falsas seria ignorar convites para comunidades enviados por usuários que não se conheça, afirmam os especialistas. Além de captar dados, é comum que nesses falsos grupos os usuários iniciem chats com os membros que instalam softwares maliciosos no PC da vítima.
Fonte: https://idgnow.uol.com.br/seguranca/2009/07/22/conheca-os-5-golpes-mais-populares-no-facebook-e-no-twitter/
Falhas mostram despreparo de sites de redes sociais
A semana começou a terminou do mesmo jeito: com ataques em alguma rede social. Na terça (21), Twitter. Na sexta (24) e sábado (25), Orkut. No domingo (26), Twitter e YouTube. De certa forma, a semana resume o mês, que no início teve um ataque às comunidades do Orkut, e em seguida dois dias seguidos de falhas no Twitter que permitiram a criação de vírus. O que esse cenário mostra é o despreparo das empresas que criam portais de internet para lidar com segurança. Entenda as falhas e por que elas são significativas na coluna Segurança para o PC de hoje.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários, que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
XSS – o Cross-site Scripting e o “vírus de perfil
Chamar os códigos que se espalharam pelas redes sociais de “vírus”, ou mesmo o termo mais técnico “worm”, é um certo abuso do termo. Vírus infectam o computador. Essas pragas são no máximo “vírus de perfis”, porque atuam somente no campo da rede social.
Isso acontece porque um site não tem permissão para colocar arquivos maliciosos no computador do internauta. Isso só é possível por meio de um download ou por meio da exploração de uma falha de segurança no navegador.
Para se espalhar de um perfil a outro, no entanto, basta uma falha no próprio site. A falha mais comum desse tipo é a chamada de Cross-site Scripting (XSS). É um tipo de brecha que permite ao atacante incluir um código no site.
Por exemplo, um tweet deve conter apenas texto e links. Não é possível – sem o uso de vulnerabilidades – que a simples visualização de um tweet faça com que você abra um site ou poste algo no serviço de microblog.
Proteções dos navegadores impedem que sites diferentes enviem comandos para outros. Por exemplo, o G1 não pode enviar comandos ao Orkut, mesmo que o Orkut esteja aberto no seu navegador.
Quando há uma falha de XSS, ela é interessante porque permite ao invasor incluir código no contexto daquele site. No caso do Twitter, uma falha de XSS permite que códigos sejam inseridos para realizar tarefas dentro do serviço de microblog – como, por exemplo, o envio de outros tweets.
Falhas de Cross-site Scripting são fáceis de evitar. Elas existem porque o desenvolvedor do site não fez alguma verificação no conteúdo enviado pelo internauta.
Há dois tipos de Cross-site Scripting, e uma falha de cada tipo atingiu o Twitter. No tipo persistente, a falha está em alguma página que fica armazenada no banco de dados. É o caso de um tweet ou recado do Orkut que, por si mesmo, já traz o vírus; normalmente, nesses casos, basta visitar uma página do site para ser “infectado”.
No XSS refletido, o outro tipo, o problema existe em uma página que não armazena os dados. Foi o caso da primeira falha no Twitter, em que era necessário clicar em um link para que a página aberta fizesse a postagem.
O Orkut foi alvo de um XSS permanente no sábado (25), que se espalhava por meio de recados. Bastava visualizar o recado.
O que é relevante nas brechas de XSS é que elas são consideradas de baixo risco por muitos. Esses problemas precisam servir como alertas: uma falha de XSS aliada a uma falha em um navegador web pode gerar pragas digitais perigosas que se espalham rapidamente. Isso até hoje não aconteceu, mas a crescente incidência desses problemas é preocupante.
A última falha explorada no Twitter, no domingo (26), era do tipo Cross-site Request Forgery. É um erro amador no qual o site não verifica a autenticidade de uma solicitação. Erros amadores também atingiram o Orkut e o YouTube, na questão das comunidades e dos títulos dos vídeos, respectivamente. Os sites simplesmente não verificam se as comunidades ou vídeos alterados pertenciam às pessoas que os estavam alterando.
São falhas que colocam em dúvida a existência de procedimentos que buscam revisar código em busca de problemas de segurança. Isso é, aparentemente, reflexo da preocupação dos sites em adicionar cada vez mais recursos, em detrimento da qualidade deles. Mas esse modelo parece estar mostrando sua fragilidade com os ataques
Lentidão e precariedade nas respostas
Comunidade do Orkut reunia usuários infectados.
Mesmo depois de recriada, chegou a ter 400 mil
perfis. (Foto: Reprodução)Cerca de 600 mil perfis podem ter sido atingidos pela falha no Orkut que se alastrou no sábado. A resposta do Google foi apenas: "Tomamos medidas rápidas para corrigir uma vulnerabilidade do tipo cross-site scripting (XSS) no 'orkut.com' que foi descoberta algumas horas atrás. Nossa análise do código de script não revelou qualquer atividade maliciosa. O problema agora já está resolvido, mas continuamos estudando a vulnerabilidade para ajudar a evitar problemas semelhantes no futuro.” A assessoria de imprensa da empresa não informou a hora exata em que o problema foi identificado ou corrigido.
No início do mês, a falha no Twitter estava em uma página de baixa relevância, no site para desenvolvedores. A equipe do site tentou corrigir a falha diversas vezes, mas uma nova maneira de explorar o problema era descoberta. O Twitter tinha como opção derrubar por completo a página vulnerável, o que só foi feito muitas horas após o ataque iniciar.
Nenhuma das falhas teve uma resposta exemplar por parte dos desenvolvedores. Os comunicados à imprensa foram limitados, pouco transparentes, e as informações aos usuários também foram limitadas.
Os portais pecam por não ter um canal comunicando usuários a respeito das falhas em andamento ou das que foram corrigidas e o que fazer para se proteger ou remediar o problema. O Twitter tem feito isso por meio do perfil @safety. No caso do Orkut, nem o blog oficial do Orkut, nem as páginas internas do site, nem o blog oficial de segurança do Google possuem qualquer informação sobre os ataques.
Orkut Exploits
Comunidade no Orkut se encontra em discutir
falhas de segurança. (Foto: Reprodução)Se as informações para os usuários chegam truncadas e restritas, as informações técnicas sobre as brechas, por outro lado, circulam sem grandes problemas. As falhas que atingiram o Orkut, o Twitter e o YouTube este mês, com exceção da que atingiu o Twitter neste domingo, têm algo em comum: quem descobriu ou explorou tem relação com a comunidade Orkut Exploits, existente no próprio Orkut – o maior afetado pelos problemas.
Na comunidade, os membros discutem as falhas e a cobertura que a imprensa realiza dos casos. A maior parte do conteúdo é apenas informativa; alguns poucos tópicos beiram o legalmente questionável, no entanto. Em um tópico, um membro da comunidade fornece senhas para acessar serviços do Serasa, por exemplo, que requerem assinaturas pagas.
Com falhas amadoras em serviços populares e informações facilmente disponíveis – como, aliás, deve ser –, é preciso que os usuários criem a consciência de que tudo pode ser feito de outro jeito. Sites precisam aprender algumas lições com aplicativos comuns, que recebem boletins de segurança e informações detalhadas de cada brecha corrigida. Hoje, falhas em programas on-line não são registradas, por exemplo, nos bancos dedados de vulnerabilidades oficiais.
No entanto, enquanto caminhamos em direção a uma época em que cada vez mais “programas” que usamos está online, “nas nuvens”, é preciso começar a questionar até que ponto é correta essa noção de que o aplicativo web deve ser tratado de forma diferenciada – ainda mais considerando as tentativas se tornar esses programas aparentemente nativos ao PC.
A coluna Segurança para o PC de hoje fica por aqui. Volto na quarta-feira (29). Deixe sua dúvida na área de comentários para o pacotão, e até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades.
