Diogo Cata Preta

feeds

Falha permite cria√ß√£o de phishing ‘perfeito’ com certificado digital falso

RIO – Uma falha em dom√≠nios “htpps” descoberta por pesquisadores pode colocar em risco internautas que informam dados pessoas acreditando estar em sites seguros na web. A vulnerabilidade permite que certificados de seguran√ßa falsos sejam interpretados como verdadeiros pela maioria dos navegadores.

Os dom√≠nios “https” s√£o considerados mais seguros por utilizarem algoritmos de criptografia. A falha, segundo o IDG Now, est√° em um desses algoritmos, o MD5, que pode ser ludibriado. Nesse caso o navegador informaria que o site √© seguro, quando ele se trata de uma c√≥pia. Os pesquisadores conseguiram ainda criar uma autoridade certificadora falsa, o que permitira criar ataques de phishing imposs√≠veis de identificar. Por isso, eles defendem que o MD5 n√£o seja mais considerado uma algoritmo seguro para certificados digitais.

Um ataque de phishing pode fazer com que o internauta seja redirecionado a um site falso ao acesso a página do seu banco, por exemplo. Com essa vulnerabilidade recém-descoberta o navegador poderia dar um certificado digital falso atestando que o site é legítimo. Ao digitar seus dados nesse site, eles iriam para criminosos e não para o banco.

Especialistas corrigem falha que permitia golpe banc√°rio online

Especialistas em computação lançaram um programa que corrige uma falha de segurança nos navegadores da internet.

A falha permitia que criminosos redirecionassem os usuários para páginas falsas, mesmo quando digitavam o endereço correto no navegador.

Isso fazia com que os usu√°rios navegassem por p√°ginas falsas de bancos e cart√Ķes de cr√©dito, se sujeitando ao golpe conhecido como phishing, que leva usu√°rios a passar, sem saber, dados banc√°rios e financeiros a terceiros.

Grandes empresas como a Microsoft est√£o distribuindo o software que corrige a falha.

“As pessoas devem ficar preocupadas, mas elas n√£o precisam entrar em p√Ęnico”, disse o especialista Dan Kaminsky, um dos especialistas que descobriu a falha.

Segundo ele, esse tipo de problema é inédito.

Ele descobriu a falha h√° seis meses ao navegar pelo Domain Name System (DNS), um sistema que √© usado para converter endere√ßos da internet em seq√ľ√™ncias num√©ricas.

Ao burlar o DNS, criminosos redirecionavam endereços para sites falsos de bancos, onde os usuários acabavam revelando dados pessoais, como senhas bancárias.

Em março, Kaminsky reuniu grandes empresas de computação Рcomo Microsoft, Sun e Cisco Рe formou uma equipe para investigar uma solução para o problema.

“Isso nunca foi feito antes e √© uma grande tarefa”, disse ele.

Os especialistas não têm certeza de quantas vezes a falha dos navegadores foi usada. Os usuários devem receber a atualização automaticamente.

A Microsoft lançou a atualização na terça-feira.

Apple: a√ß√Ķes deixam vulner√°veis usu√°rios do iTunes e do iCal

Conhecida por oferecer produtos e softwares mais resistentes a amea√ßas virtuais, a fabricante americana Apple volta a ser tema de a√ß√Ķes de criminosos digitais e pragas eletr√īnicas. Em uma delas, o servi√ßo de download de m√ļsicas, filmes e seriados iTunes est√° sendo usado por hackers mal intencionados como chamariz de um falso site criado como um espelho do portal da Apple para roubar dados de usu√°rios.

Segundo informa√ß√Ķes do CNet.com, os phishers – criminosos digitais que criam armadilhas para seq√ľestrar dados, chamadas de ‘phishing’ – criaram uma p√°gina semelhante ao iTunes para solicitar informa√ß√Ķes pessoais, como n√ļmero do cart√£o de cr√©dito e seguro-social, na tentativa de concluir uma falsa compra de arquivos digitais.

Em outra frente, uma empresa de seguran√ßa, a Core Security, divulgou um alerta ap√≥s constatar que o iCal, aplicativo de c√°lculos e compromissos da Apple para plataforma Mac OS, possui brechas de seguran√ßa que podem tornar os usu√°rios vulner√°veis a a√ß√Ķes de especialistas em criar c√≥digos maliciosos para a invas√£o de computadores, informou o brit√Ęnico The Register.

Vírus noticiando morte de Chávez circula pela internet

A empresa de segurança da informação Panda Security adverte que vêm circulando e-mails divulgando em espanhol a falsa notícia da morte do presidente da Venezuela, Hugo Chávez.

Morte de ChavezTrata-se de uma armadilha “phishing”, um trote de criadores de v√≠rus de computador, que propaga um programa malicioso (malware) capaz de infectar o sistema do incauto que clicar no link que aparece no corpo da mensagem. Nos e-mails podem aparecer frases do tipo “CHAVEZZ MURIOO! ALL FIIN OBSERVA SU TRAGICO FIN”, acompanhadas de outras como “LO MAS ESPERADO DEL A√ĎOOO!” – “VEE EL VIDEO MAS ESPERADO DEL A√ĎO”.

O link maligno contido na mensagem leva o usu√°rio a executar um arquivo que cont√©m o trojan “HostChange.B”, que aponta para uma p√°gina falsa onde √© feita uma tentativa de coletar dados banc√°rios da v√≠tima. A empresa oferece a ferramenta gr√°tis “Infected or not” para detec√ß√£o online deste e outros trojans e malwares em geral, no atalho, onde √© poss√≠vel acionar o procedimento ActiveScan 2.0.