1) Os criminosos estão usando novas ameaças como Man-in-the-Browser para interceptar dados durante transações online, visando principalmente instituições financeiras.
2) Estas ameaças inserem cavalos de troia nos navegadores para manipular transações bancárias online e transferir fundos para contas laranjas.
3) Vários vetores como spear phishing, sites de redes sociais e downloads automáticos estão ajudando na disseminação destas ameaças de forma exponencial.
O manual traz orientações - como os riscos de divulgar informações bancárias por e-mail e telefone, e cuidados com mensagens atribuídas a bancos e que podem conter códigos maliciosos ou induzir acesso a páginas falsas - para que o usuário possa utilizar sites bancários com mais segurança.
1) Cross-site scripting (XSS) é um tipo de ataque que permite a execução de scripts maliciosos nos navegadores da vítimas. Isso pode permitir o roubo de cookies e sessões, permitindo ao atacante se passar pela vítima.
2) Roubo de sessão refere-se à possibilidade de um atacante interceptar a comunicação entre dois computadores e roubar o identificador de sessão, permitindo-o se passar pelo usuário naquela sessão.
3) Ataques de negação de serviço não buscam roubar dados,
O documento discute os tipos de ataques financeiros digitais como phishing, account takeover e engenharia social e fornece dicas para se proteger destes golpes. Também apresenta tecnologias que podem ajudar no combate a ameaças cibernéticas e discute os desafios atuais com o crescimento de pagamentos digitais e adoção do Pix no Brasil.
The document discusses the emerging threat of man-in-the-browser attacks that can modify online transactions without the user's knowledge. These attacks circumvent all existing authentication methods by targeting transactions after authentication. Potential solutions discussed include developing a secure, hardened browser without extensions or scripts that is tightly coupled to cryptography. However, there would be no way for servers to reliably identify use of a secure browser versus an insecure one.
O manual traz orientações - como os riscos de divulgar informações bancárias por e-mail e telefone, e cuidados com mensagens atribuídas a bancos e que podem conter códigos maliciosos ou induzir acesso a páginas falsas - para que o usuário possa utilizar sites bancários com mais segurança.
1) Cross-site scripting (XSS) é um tipo de ataque que permite a execução de scripts maliciosos nos navegadores da vítimas. Isso pode permitir o roubo de cookies e sessões, permitindo ao atacante se passar pela vítima.
2) Roubo de sessão refere-se à possibilidade de um atacante interceptar a comunicação entre dois computadores e roubar o identificador de sessão, permitindo-o se passar pelo usuário naquela sessão.
3) Ataques de negação de serviço não buscam roubar dados,
O documento discute os tipos de ataques financeiros digitais como phishing, account takeover e engenharia social e fornece dicas para se proteger destes golpes. Também apresenta tecnologias que podem ajudar no combate a ameaças cibernéticas e discute os desafios atuais com o crescimento de pagamentos digitais e adoção do Pix no Brasil.
The document discusses the emerging threat of man-in-the-browser attacks that can modify online transactions without the user's knowledge. These attacks circumvent all existing authentication methods by targeting transactions after authentication. Potential solutions discussed include developing a secure, hardened browser without extensions or scripts that is tightly coupled to cryptography. However, there would be no way for servers to reliably identify use of a secure browser versus an insecure one.
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
O documento discute os riscos de segurança na internet, como o acesso livre à informação também torna as informações pessoais disponíveis, colocando os usuários em risco de ataques e fraudes.
Fraudes eletrônicas segurança de redes -pptCarlos Melo
O documento discute as fraudes digitais no Brasil, incluindo o cenário atual com falta de políticas de segurança e certificações em empresas. Também aborda estatísticas de incidentes cibernéticos reportados, tipos comuns de fraude como engenharia social, malware e phishing, além das leis penais aplicáveis.
1) O documento discute segurança da informação, incluindo hackers, ataques informáticos e vírus.
2) É fornecida uma lista de 20 cuidados para evitar ataques e vírus, como não abrir arquivos de desconhecidos e instalar um antivírus.
3) O documento conclui que a segurança da informação é importante para proteger dados valiosos de indivíduos e organizações.
O documento discute o que são "bots" e "botnets", como são criados e usados para ataques de negação de serviço distribuídos e envio de spam. Ele também aborda as vulnerabilidades exploradas por bots, os riscos envolvidos para usuários e organizações, e formas básicas de defesa, como manter antivírus atualizado e não clicar em links desconhecidos.
O documento fornece informações sobre vários tipos de golpes cibernéticos comuns e dicas para se proteger, incluindo phishing, malware, ransomware, sextortion, clonagem de WhatsApp e golpes financeiros. Ele também discute a importância da conscientização sobre segurança cibernética.
1) A autenticação multi-fator e out-of-band surgiram para combater ataques aos sistemas de login, exigindo mais de um fator de autenticação de diferentes canais.
2) Criminosos passaram a instalar malware nos computadores para roubar dados durante transações bancárias on-line após o login.
3) Governos e empresas precisam evoluir constantemente seus sistemas de segurança para fazer frente à agilidade dos cibercriminosos.
Protegendo Seu Computador Dos VíRus E Trojansguest7eb285
Vírus e Trojans são programas maliciosos que infectam computadores. Vírus se replicam sozinhos enquanto Trojans permitem invasores acessarem computadores. É importante manter softwares atualizados e usar antivírus para se proteger dessas ameaças.
1) O relatório analisa as tendências globais de ameaças cibernéticas em 2008, com foco na atividade maliciosa na América Latina e migração de criminosos para regiões emergentes.
2) Os criminosos digitais estão cada vez mais atacando usuários em sites legítimos com alto tráfego por meio de códigos maliciosos.
3) O número de códigos maliciosos, especialmente trojans, continua crescendo e os criminosos se organizam para obter ganhos financeiros por meio de ph
1) O relatório analisa as tendências globais de ameaças cibernéticas em 2008, com foco na atividade maliciosa na América Latina e migração de criminosos para regiões emergentes.
2) Os criminosos digitais estão cada vez mais atacando usuários em sites legítimos com alto tráfego por meio de códigos maliciosos nesses sites.
3) O número de códigos maliciosos, spam e phishing continuam crescendo, com os criminosos se organizando para obter ganhos financeiros com dados ro
Tcvb2 marco gomes_segurança informáticaMarco Gomes
O documento discute segurança da informação, incluindo hackers, vírus e ataques cibernéticos. Ele fornece detalhes sobre diferentes tipos de ameaças como roubo de identidade, bots e malware, e oferece conselhos sobre como se proteger, como manter sistemas atualizados e usar antivírus e firewalls.
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
O documento discute as principais ameaças de segurança cibernética no segundo trimestre de 2011, incluindo a prevalência de falsos antivírus e exploit toolkits, em particular o Blackhole. Também destaca o crescimento de malwares assinados com certificados falsos, ameaças para dispositivos móveis como smartphones, e riscos crescentes associados a mídias sociais.
Este artigo visa demonstrar os perigos do cibercrime em suas mais variadas vertentes, principalmente, uma de suas modalidades mais comuns, as fraudes com cartões de crédito, além das mediadas que as empresas ligadas ao setor vêm tomando para evitar tais ocorrências, lançando mão das mais modernas técnicas de desenvolvimento de aplicativos baseados em IA (Inteligência Artificial), visando o combate a tais práticas nocivas em ambientes virtuais, buscando a melhor proteção para os usuários.
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
1. O documento discute técnicas de segurança de dados em smartphones, comparando diferentes métodos e apresentando vulnerabilidades.
2. O objetivo é esclarecer os usuários sobre como se proteger de ataques cibernéticos como malwares e spams em dispositivos móveis.
3. As principais ferramentas de segurança discutidas incluem antivírus móveis e métodos para identificar, autenticar e autorizar ações online.
O documento discute a segurança da informação e privacidade na era digital. Aborda conceitos como segurança da informação, segurança nacional, comércio eletrônico e privacidade. Também discute ameaças como cookies, web bugs, spywares e formas de proteger dados pessoais.
O documento fornece orientações sobre como evitar golpes e ameaças cibernéticas, discutindo cuidados com senhas, links e informações pessoais on-line. Descreve tipos comuns de ameaças como spywares, phishing, worms, ransomware e vírus, explicando como cada um funciona e os riscos envolvidos. Enfatiza a importância de manter softwares e sistemas atualizados para melhor segurança.
O documento discute os riscos de segurança na internet, descrevendo vários tipos de ameaças digitais como vírus, worms, trojans, ransomware e ataques de negação de serviço. Também explica como esses programas maliciosos funcionam e como se espalham para infectar outros computadores.
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Security
O que é a extorsão cibernética? Como é que o ransomware é utilizado nos ataques dos cibercriminosos? O que fazer se for vítima de extorsão cibernética?
A Panda Security responde a todas estas perguntas e dá-lhe algumas recomendações e conselhos para prevenir ciberataques em nossa Guia Prático de Segurança para Prevenir a Extorsão Cibernética.
Nós, em Panda, desenvolvemos a primeira solução que garante a monitorização contínua de 100% dos processos activos: Adaptive Defense 360
http://promo.pandasecurity.com/adaptive-defense/en/
1) A segurança na internet é cada vez mais rara com o crescimento de golpes, fraudes e delitos contra usuários, especialmente no Brasil e na China.
2) Os cavalos de tróia que roubam informações via spam são a maior ameaça.
3) É preciso tomar cuidados como não clicar em links suspeitos, criar senhas fortes e manter dados pessoais em local seguro.
This document provides guidance on configuring two-factor authentication for the IBM Security SiteProtector system using various plug-ins, including RADIUS, certificates/smart cards, LDAP, and default passwords. It includes code examples for setting up authentication using a RADIUS token protocol or smart card with user principal name mapping. Requirements and considerations are discussed for smart card usage, certificate validation, and property encryption.
1. The document analyzes the risks of using SMS-based two-factor authentication for user authentication and transaction authentication.
2. It outlines threats including eavesdropping, man-in-the-middle attacks, SMS delays and losses, lack of coverage, and increasing costs.
3. The document recommends using message authentication codes instead of random numbers or hashes for signatures to protect against attacks. It also suggests verifying transaction data is unchanged when signatures are submitted.
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
O documento discute os riscos de segurança na internet, como o acesso livre à informação também torna as informações pessoais disponíveis, colocando os usuários em risco de ataques e fraudes.
Fraudes eletrônicas segurança de redes -pptCarlos Melo
O documento discute as fraudes digitais no Brasil, incluindo o cenário atual com falta de políticas de segurança e certificações em empresas. Também aborda estatísticas de incidentes cibernéticos reportados, tipos comuns de fraude como engenharia social, malware e phishing, além das leis penais aplicáveis.
1) O documento discute segurança da informação, incluindo hackers, ataques informáticos e vírus.
2) É fornecida uma lista de 20 cuidados para evitar ataques e vírus, como não abrir arquivos de desconhecidos e instalar um antivírus.
3) O documento conclui que a segurança da informação é importante para proteger dados valiosos de indivíduos e organizações.
O documento discute o que são "bots" e "botnets", como são criados e usados para ataques de negação de serviço distribuídos e envio de spam. Ele também aborda as vulnerabilidades exploradas por bots, os riscos envolvidos para usuários e organizações, e formas básicas de defesa, como manter antivírus atualizado e não clicar em links desconhecidos.
O documento fornece informações sobre vários tipos de golpes cibernéticos comuns e dicas para se proteger, incluindo phishing, malware, ransomware, sextortion, clonagem de WhatsApp e golpes financeiros. Ele também discute a importância da conscientização sobre segurança cibernética.
1) A autenticação multi-fator e out-of-band surgiram para combater ataques aos sistemas de login, exigindo mais de um fator de autenticação de diferentes canais.
2) Criminosos passaram a instalar malware nos computadores para roubar dados durante transações bancárias on-line após o login.
3) Governos e empresas precisam evoluir constantemente seus sistemas de segurança para fazer frente à agilidade dos cibercriminosos.
Protegendo Seu Computador Dos VíRus E Trojansguest7eb285
Vírus e Trojans são programas maliciosos que infectam computadores. Vírus se replicam sozinhos enquanto Trojans permitem invasores acessarem computadores. É importante manter softwares atualizados e usar antivírus para se proteger dessas ameaças.
1) O relatório analisa as tendências globais de ameaças cibernéticas em 2008, com foco na atividade maliciosa na América Latina e migração de criminosos para regiões emergentes.
2) Os criminosos digitais estão cada vez mais atacando usuários em sites legítimos com alto tráfego por meio de códigos maliciosos.
3) O número de códigos maliciosos, especialmente trojans, continua crescendo e os criminosos se organizam para obter ganhos financeiros por meio de ph
1) O relatório analisa as tendências globais de ameaças cibernéticas em 2008, com foco na atividade maliciosa na América Latina e migração de criminosos para regiões emergentes.
2) Os criminosos digitais estão cada vez mais atacando usuários em sites legítimos com alto tráfego por meio de códigos maliciosos nesses sites.
3) O número de códigos maliciosos, spam e phishing continuam crescendo, com os criminosos se organizando para obter ganhos financeiros com dados ro
Tcvb2 marco gomes_segurança informáticaMarco Gomes
O documento discute segurança da informação, incluindo hackers, vírus e ataques cibernéticos. Ele fornece detalhes sobre diferentes tipos de ameaças como roubo de identidade, bots e malware, e oferece conselhos sobre como se proteger, como manter sistemas atualizados e usar antivírus e firewalls.
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
O documento discute as principais ameaças de segurança cibernética no segundo trimestre de 2011, incluindo a prevalência de falsos antivírus e exploit toolkits, em particular o Blackhole. Também destaca o crescimento de malwares assinados com certificados falsos, ameaças para dispositivos móveis como smartphones, e riscos crescentes associados a mídias sociais.
Este artigo visa demonstrar os perigos do cibercrime em suas mais variadas vertentes, principalmente, uma de suas modalidades mais comuns, as fraudes com cartões de crédito, além das mediadas que as empresas ligadas ao setor vêm tomando para evitar tais ocorrências, lançando mão das mais modernas técnicas de desenvolvimento de aplicativos baseados em IA (Inteligência Artificial), visando o combate a tais práticas nocivas em ambientes virtuais, buscando a melhor proteção para os usuários.
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
1. O documento discute técnicas de segurança de dados em smartphones, comparando diferentes métodos e apresentando vulnerabilidades.
2. O objetivo é esclarecer os usuários sobre como se proteger de ataques cibernéticos como malwares e spams em dispositivos móveis.
3. As principais ferramentas de segurança discutidas incluem antivírus móveis e métodos para identificar, autenticar e autorizar ações online.
O documento discute a segurança da informação e privacidade na era digital. Aborda conceitos como segurança da informação, segurança nacional, comércio eletrônico e privacidade. Também discute ameaças como cookies, web bugs, spywares e formas de proteger dados pessoais.
O documento fornece orientações sobre como evitar golpes e ameaças cibernéticas, discutindo cuidados com senhas, links e informações pessoais on-line. Descreve tipos comuns de ameaças como spywares, phishing, worms, ransomware e vírus, explicando como cada um funciona e os riscos envolvidos. Enfatiza a importância de manter softwares e sistemas atualizados para melhor segurança.
O documento discute os riscos de segurança na internet, descrevendo vários tipos de ameaças digitais como vírus, worms, trojans, ransomware e ataques de negação de serviço. Também explica como esses programas maliciosos funcionam e como se espalham para infectar outros computadores.
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Security
O que é a extorsão cibernética? Como é que o ransomware é utilizado nos ataques dos cibercriminosos? O que fazer se for vítima de extorsão cibernética?
A Panda Security responde a todas estas perguntas e dá-lhe algumas recomendações e conselhos para prevenir ciberataques em nossa Guia Prático de Segurança para Prevenir a Extorsão Cibernética.
Nós, em Panda, desenvolvemos a primeira solução que garante a monitorização contínua de 100% dos processos activos: Adaptive Defense 360
http://promo.pandasecurity.com/adaptive-defense/en/
1) A segurança na internet é cada vez mais rara com o crescimento de golpes, fraudes e delitos contra usuários, especialmente no Brasil e na China.
2) Os cavalos de tróia que roubam informações via spam são a maior ameaça.
3) É preciso tomar cuidados como não clicar em links suspeitos, criar senhas fortes e manter dados pessoais em local seguro.
This document provides guidance on configuring two-factor authentication for the IBM Security SiteProtector system using various plug-ins, including RADIUS, certificates/smart cards, LDAP, and default passwords. It includes code examples for setting up authentication using a RADIUS token protocol or smart card with user principal name mapping. Requirements and considerations are discussed for smart card usage, certificate validation, and property encryption.
1. The document analyzes the risks of using SMS-based two-factor authentication for user authentication and transaction authentication.
2. It outlines threats including eavesdropping, man-in-the-middle attacks, SMS delays and losses, lack of coverage, and increasing costs.
3. The document recommends using message authentication codes instead of random numbers or hashes for signatures to protect against attacks. It also suggests verifying transaction data is unchanged when signatures are submitted.
This document discusses two-factor authentication and its importance for securing PHIN systems. It analyzes different two-factor authentication methods like digital certificates, one-time passwords, and biometrics. Digital certificates support open standards and interoperability for automated B2B authentication and messaging. One-time passwords provide mobility but require digital certificates for server authentication. The document proposes two approaches: Approach A uses passwords and client certificates for users and Approach B uses key-fobs for users but requires managing two infrastructures. It concludes by emphasizing strong authentication, authorization, and identity management for perimeter security.
Two-factor authentication provides a more secure method of authentication than simple passwords alone. It adds a second factor of authentication, such as a one-time password (OTP) generated on a user's device, in addition to a username and password. The white paper explores how OTPs delivered via software or text message can provide two-factor authentication without hardware tokens. It also discusses standards-based OTP generation algorithms and integrating two-factor authentication with remote access systems.
The SecurAccess Two Factor Authentication solution provides strong, affordable, and convenient authentication without tokens or additional devices. It transforms any mobile phone into an authentication token by sending one-time passcodes via SMS. This eliminates hardware costs while providing enhanced security. The solution can be deployed on-premise or as a fully managed hosted service to maximize efficiencies and reduce costs.
Rackspace offers two-factor authentication services using RSA SecurID technology to provide secure remote access for businesses with high security needs. Each RSA authenticator token generates a unique password every 60 seconds that must be combined with a user PIN to authenticate, providing stronger security than passwords alone. Customers can choose between the RSA SecurID Appliance 130 or 250 and purchase authenticator tokens in bundles of varying sizes. Rackspace manages the dedicated RSA appliances and tokens for customers.
Oklahoma City implemented two-factor authentication using Quest Defender to improve security of its networks and systems. It evaluated several solutions and chose Defender as it integrated seamlessly with its existing Active Directory without requiring additional infrastructure. Defender provided a cost-effective solution for two-factor authentication across the city's 5,000 users and improved productivity by eliminating the need for complex passwords. The city saw a smooth rollout of Defender and high user adoption due to features like self-registration and temporary tokens.
PortalGuard is a software solution that provides five layers of authentication functionality including two-factor authentication. It can enforce two-factor authentication for accessing cloud applications directly, via VPN using RADIUS, or during self-service password resets. PortalGuard delivers one-time passwords (OTPs) for verification via SMS, email, voice call, printer, or transparent tokens. It has configurable OTP settings and supports standard RADIUS authentication for VPN access. Implementation requires server-side software installation on IIS servers and optional client-side software for additional features.
This document discusses two-factor authentication as a stronger method for authenticating to online accounts compared to just a username and password. It explains that two-factor authentication requires two separate factors, such as something you know (a password) and something you have (a phone), to gain access. As an example, it describes how Google implements two-factor authentication for Gmail by requiring a password and sending a unique verification code to the user's phone. The document recommends enabling two-factor authentication whenever available as it provides stronger protection against compromised passwords.
This document is a request for proposals from New York eHealth Collaborative (NYeC) seeking a vendor to implement a statewide two-factor authentication solution. The solution must comply with NIST SP 800-63-1 Level 3 requirements and balance security, usability, and adoption. It will enable secure access to patient health information across the Statewide Health Information Network for New York (SHIN-NY) by users accessing via regional health information organizations (RHIOs), electronic health records (EHRs), and other systems. The statewide solution will provide identity and access management services including identity proofing, credential issuance, and token management to authenticate users before granting access to SHIN-NY data and related uses
This document discusses two-factor authentication in enterprises and outlines a vision for a "united" enterprise multi-credential system. It claims that using a single enterprise credential does not fully address authentication needs due to technical and privacy limitations. Currently, different two-factor authentication schemes like OTP, PKI, and CardSpace are managed separately, making unified deployment difficult. The presented vision is based on work on KeyGen2, which would allow an entity to issue and manage multiple user credentials through a single provisioning step, while each credential is optimized for specific use cases. This could offer users multiple authentication options through a single interface.
The document proposes novel one, two, and three-factor authentication methods for mobile devices based on public key cryptography without certificates. The methods provide strong security while being easy to implement and deploy. In the one-factor method, the device authenticates using a stored key pair. In the two-factor method, the key pair is regenerated from the user's passcode. In the three-factor method, the key pair is regenerated from the passcode and a biometric sample, providing stronger authentication.
This document discusses two-factor authentication in the banking sector, specifically evaluating its performance for automated teller machines (ATMs). It provides background on ATMs, including a brief history of their development from the late 1960s onward. It describes how two-factor authentication works for ATM transactions, requiring both the physical ATM card and a personal identification number (PIN). The document examines different factors of authentication and classifications of factors into things the user has, knows, and is (biometrics).
Green Armor Solutions offers Identity Cues Two Factor, a two-factor authentication system that provides maximum security and convenience. It delivers true two-factor authentication without relying on password resets or software downloads. Identity Cues Two Factor also uniquely provides two-way authentication by using visual cues to inform users whether they are interacting with a legitimate website or a criminal clone. As the most user-friendly two-factor system, it typically requires no extra steps or user training during login.
HOTPin is a new two-factor authentication system from Celestix that delivers one-time passwords to users' mobile phones and PCs to provide highly secure authentication at low cost. It integrates fully with Microsoft IAG 2007 SSL VPN software and deploys on Celestix WSA appliances. By putting OTPs on mobile phones rather than using expensive hardware tokens, HOTPin drives down the per-user costs of two-factor authentication solutions.
This document discusses how online gaming is a lucrative market for fraudsters, with account hacking being a major threat due to insecure static passwords used for authentication. It introduces VASCO's two-factor authentication solution using DIGIPASS devices as a way to securely identify and protect users by replacing insecure passwords with strong, constantly changing one-time passwords at each login. This solution drastically reduces the risk of fraud while providing scalability and customization options for online gaming operators.
This document discusses NetSuite's two-factor authentication security offering. It enhances security by requiring users to have both a physical token and password to access company data. Two-factor authentication provides increased protection against unauthorized access and is often required by regulated industries. With NetSuite's solution, the token generates a unique code each time the user logs in that must be entered along with their username and password for verification. This simplifies deployment of two-factor authentication compared to other vendors who require customers to implement it themselves.
Interoute offers a Managed Secure Remote User Authentication service that replaces static passwords with personalized one-time passwords via a token. This two-factor authentication reduces online identity theft. The service can be used with Interoute's Roaming Access VPN or with the customer's own applications and networks. Interoute supports the service with hardware or software tokens and provides a third-party portal for token management. Customers are responsible for enrolling their own end users once tokens are provisioned.
Two Factor Authentication (TFA) is being implemented by the Federal Student Aid office to improve security of student data and comply with government mandates. TFA requires users to verify their identity with two independent factors, such as a password and physical token, reducing the risk of unauthorized access through keyloggers. Over 96,000 federal employees and school administrators will be issued tokens to access the FSA systems containing over 80 million student records. The rollout of TFA will occur between Fall 2011 and Fall 2012 across all participating schools and administrative systems.
Cryptomathic white paper 2fa for bankingHai Nguyen
This document provides an overview of two-factor authentication for banking, including: threats to internet banking like phishing; a range of authentication methods like hardware tokens, SMS codes, and smart cards; and factors to consider in the business case for deployment like customer acceptance, confidence, and cost savings. It aims to help financial institutions understand opportunities for security, business growth, and reduced costs through two-factor authentication.
1. ENTENDENDO A AMEAÇA
MAN-IN-THE-BROWSER (MITB)
Análise e mitigação de ameaças para
instituições financeiras
White Paper
Contexto
Os criminosos cibernéticos estão usando métodos cada vez mais novos e avançados para
atingir usuários on-line. Uma das ameaças de crescimento mais rápido hoje em dia é a do
cavalo de Troia MITB (Man-In-The-Browser). As ameaças man-in-the-browser fazem parte
da evolução natural dos crimes cibernéticos, resultado da segurança on-line reforçada e
da maior conscientização do consumidor. A propagação das ameaças man-in-the-browser
está sendo auxiliada por ataques de spear phishing, pela popularidade dos sites de
redes sociais e pelo aumento de drive-by downloads. No último ano, houve um aumento
exponencial no número destas ameaças contra instituições financeiras, inclusive contra
o mercado de bancos de varejo europeus e o de bancos corporativos norte-americanos.
Introdução às ameaças Man-In-The-Browser
A ameaça man-in-the-browser foi criada para interceptar dados enquanto eles passam
por uma comunicação segura entre um usuário e um aplicativo on-line. Um cavalo de
Troia se incorpora a um aplicativo de navegação do usuário e pode ser programado para
ser acionado quando o usuário acessar sites on-line específicos, como o site de um
banco on-line. Depois de ativado, o cavalo de Troia man-in-the-browser pode interceptar
e manipular quaisquer informações enviadas on-line pelo usuário em tempo real. Várias
famílias de cavalos de Troia são usadas para realizar ameaças MITB, inclusive Zeus/SpyEye,
URLzone, Silent Banker, Sinowal e Gozi. Alguns cavalos de Troia MITB são tão avançados
que simplificaram o processo de cometer fraudes, programados com recursos que
automatizam totalmente o processo, desde a infecção até a retirada do dinheiro. Entre
os recursos adicionais oferecidos pelos desenvolvedores de cavalos de Troia MITB estão:
• Injeção de HTML para exibir páginas criadas por engenharia social (ou seja, injeção de
um campo em uma página solicitando o número do cartão de débito e do código PIN do
usuário, bem como o nome de usuário e a senha).
• Pop-ups HTML ou JavaScript para comunicar-se com a vítima em tempo real (ou seja,
solicitações para a vítima digitar uma senha válida de uso único ou revelar respostas
para suas perguntas secretas).
• Interação em tempo real dos cavalos de Troia com os bancos de dados das contas de
laranjas para ajudar na transferência de fundos.
2. PÁGINA 2
O fluxo básico de uma ameaça MITB é o seguinte1
:
1. Um usuário é infectado por um cavalo de Troia MITB.
2. Após o início de uma sessão bancária on-line, o cavalo de Troia é posto em ação e
inicializa os recursos do MITB.
3. O usuário passa por todos os estágios de autenticação, inclusive autenticação de dois
fatores quando necessário. O cavalo de Troia aguarda silenciosamente o log-in bem-
sucedido e/ou o usuário iniciar uma transferência de dinheiro.
4. O cavalo de Troia manipula os detalhes da transação, como o nome do beneficiário e o
valor da transferência. O beneficiário legítimo é substituído pela conta de um laranja.
5. O cavalo de Troia mantém uma face aparentemente legítima da transação ao usar
técnicas de engenharia social. Ele exibe páginas HTML falsas para o usuário, que
mostram os detalhes da transação legítima2
. Se for necessária autenticação adicional
para concluir a transação, o usuário prosseguirá para aprovar a transação usando
qualquer método de autenticação exigido pela instituição financeira.
O que torna as ameaças MITB difíceis de detectar no lado do servidor do banco é que
qualquer atividade realizada parece estar sendo originada pelo navegador do usuário
legítimo. Características como o idioma do Windows e o endereço IP parecerão iguais às
dos dados reais do usuário. Isso cria um desafio para distinguir entre as transações
genuínas e as mal-intencionadas.
Taxa de infecção exponencial
Atualmente, o crescimento drástico no número de ameaças man-in-the-browser (e da
disseminação de malware de modo geral) está sendo auxiliado por vários vetores,
inclusive spear phishing, o aumento de sites de redes sociais e drive-by downloads3
.
O spear phishing contribui imensamente para a disseminação das ameaças man-in-the-
browser. Usando esquemas bem elaborados de engenharia social, os criminosos estão
lançando campanhas sofisticadas de spear phishing para atingir clientes de bancos
corporativos e indivíduos de alto rendimento líquido. A disponibilidade de dados de
indivíduos na Internet, inclusive em sites como Facebook e LinkedIn, permite que
criminosos coletem informações confiáveis suficientes sobre seus alvos para enviar
e-mails extremamente verossímeis e com grande probabilidade de obter respostas. O
spear phishing não só visa consumidores, como também vai atrás de funcionários de
empresas. Quarenta e cinco por cento dos funcionários indicam que recebeu um e-mail
de phishing no trabalho4
.
A enorme popularidade dos sites de redes sociais e o número de usuários que se
envolvem em atividades nessas redes também contribuíram para a disseminação de
cavalos de Troia e malware. O pesado tráfego e o alcance global destes sites os
transformaram no principal alvo de exploração dos criminosos. Atualmente, 40% dos
usuários de sites de redes sociais já enfrentaram alguma forma de ataque de malware5
.
1 Esta é uma descrição geral das ameaças MITB. Pode haver outros casos e cenários de uso, mas estas medidas
são comuns para a maioria das ameaças MITB testemunhadas pela RSA. Neste documento, nós nos
concentramos nos cavalos de Troia que são totalmente automáticos, manipulando os dados de uma transação
gerada por um usuário legítimo.
2 Alguns cavalos de Troia são programados para substituir o campo de saldo no extrato da conta do usuário,
mostrando o saldo da conta como ele deveria aparecer após a transação legítima.
3 Um programa que é baixado automaticamente para o computador do usuário sem seu consentimento ou
conhecimento. O download pode ocorrer ao simplesmente se visitar um site ou visualizar um e-mail.
4 RSA 2011 Workplace Security Report (Relatório de segurança do espaço de trabalho RSA 2011)
5 Sophos Security Threat Report 2011 (Relatório de ameaças à segurança Sophos 2011)
Para os criminosos, o
processo de retirar dinheiro
por meio de laranjas se
tornou automatizado.
Algumas versões do cavalo
de Troia Zeus/SpyEye,
por exemplo, são criadas
com scripts que interagem
com as ferramentas de
gerenciamento de laranjas.
Cada vez que é tentada uma
transação MITB por meio
de uma máquina infectada,
o cavalo de Troia acessa a
ferramenta de gerenciamento
de laranjas e puxa o primeiro
registro disponível de uma
conta laranja para receber os
fundos roubados.
3. PÁGINA 3
Finalmente, os drive-by downloads também têm um papel importante no aumento das
ameaças MITB. Um drive-by download é iniciado quando um usuário é redirecionado
para um site que foi criado por criminosos especificamente para infectar usuários – na
maioria das vezes após clicar em um link de um e-mail. Em outros casos, os criminosos
são capazes de tirar partido das vulnerabilidades de sites legítimos para fornecer
códigos mal-intencionados ao redirecionar o tráfego para pontos de infecção sem o
usuário ter qualquer conhecimento de estar sendo infectado por esse conteúdo.
Atualmente, cerca de duas em cada 1.000 páginas exibidas para os usuários nos
resultados dos mecanismos de pesquisa contêm um drive-by download6
.
O resultado final é um aumento exponencial no número de usuários infectados por
alguma forma de malware. O cavalo de Troia bancário mais predominante é o Zeus/
SpyEye, responsável por mais de 80% de todos os ataques de cavalos de Troia dirigidos
às instituições financeiras no primeiro trimestre de 20117
. Esta família de malware não é
somente a mais amplamente disseminada; ela também é conhecida por ter os mais
sofisticados recursos e funcionalidades de MITB disponíveis para venda no submundo
do crime.
Recursos e funcionalidades do MITB
Os recursos man-in-the-browser são os itens mais desejados pela maioria dos
criminosos atualmente. Após a implementação bem-sucedida dos recursos de MITB do
Zeus, outros cavalos de Troia seguiram seu exemplo: Bugat, Clod, Gozi (v2, 2010), Lamp,
Mimicker, Patcher, Silent Banker, Silon, SpyEye, Syscron e URLZone. Todos estes cavalos
de Troia têm alguma forma de funcionalidade MITB para automatizar transações
fraudulentas por meio de scripts personalizados. A lista a seguir resume exemplos de
algumas funcionalidades MITB comuns a várias famílias de cavalos de Troia ativas
atualmente:
Zeus/SpyEye
O Zeus/SpyEye tem a capacidade de identificar e interceptar diferentes tipos de tráfego
de Internet em tempo real e é explorado principalmente para realizar ataques
automatizados, tais como usar um conjunto de identificadores pessoais e de dispositivos
da vítima. O Zeus/SpyEye também pode facilitar o sequestro manual de uma sessão
on-line ativa da vítima. Para ter sucesso neste caso, o criminoso precisa que a vítima
esteja presente e pronta a fornecer uma senha de uso único válida quando solicitada.
Para entrar em uma sessão em andamento, o criminoso precisa fazer uma imitação
quase perfeita da vítima. Por exemplo, o criminoso precisa ter acesso aos cookies da
vítima. Os cookies HTTP têm uma assinatura digital anexada a eles para mantê-los sob
uso exclusivo da pessoa a quem se destinam. Não é possível forjar um cookie, por isso
os criminosos precisam roubá-lo e depois apresentar o cookie ao servidor do banco para
obter acesso a uma sessão bancária on-line legítima.
Interceptar uma sessão bancária em andamento nem sempre é algo que se possa fazer
secretamente; para desviar a atenção do usuário, o Zeus/SpyEye oferece injeção de
código HTML para apresentar mensagens pop-up falsas, como mensagens de
manutenção que avisam o usuário que a sessão foi temporariamente suspensa.
Usando uma variante do SpyEye, o criminoso consegue sobrepor a solicitação de log-off
do usuário e continuar a transação em segundo plano. Assim que o usuário envia suas
credenciais, o cavalo de Troia puxa uma página de aviso falsa informando
enganosamente ao usuário que suas configurações de segurança foram verificadas. A
Figura 1 mostra a mensagem falsa exibida para o usuário solicitando que ele não feche
nem recarregue a página, uma vez que o criminoso está na verdade ainda conectado
àquela mesma sessão e realizando a transferência fraudulenta de dinheiro.
A RSA realizou uma ampla
pesquisa para examinar a
ameaça MITB e a rede de
“laranjas” que a apoia. Algumas
informações úteis que reunimos
ao estudar as operações de
gerenciamento de laranjas
incluem:
• Idade média de um laranja: 31
• Duração média da conta
de um laranja: 3 dias (isso
reflete a média entre o
primeiro uso e o último uso,
não de quando o laranja foi
realmente recrutado)
• Número médio de tentativas
de fraude feitas por conta de
laranja: 18
• Montante médio transferido
por um laranja: US$ 3.980
para bancos de varejo
6 Relatório de Inteligência da Microsoft, Volume 9: 100
7 Relatório Trimestral RSA FraudAction sobre Cavalos de Troia, abril de 2011
4. PÁGINA 4
SilentBanker
O cavalo de Troia SilentBanker oferece vários recursos avançados de MITB, inclusive:
• Scripts MITB que interceptam dados enviados pela vítima para o banco
• Um capturador de senhas de uso único (OTP grabber) que pode interceptar e roubar
códigos SMS, números TAN e outros códigos de senha de uso único utilizados pelos
bancos para autenticar a transferência de dinheiro do usuário
• Injeções de HTML locais para imitar o design dos sites das instituições financeiras
visadas; o SilentBanker usa injeções de HTML perfeitas principalmente para obter
senhas de uso único.
Em geral, o SilentBanker espera que a vítima faça log-in bem-sucedido no site genuíno
do banco, momento em que ele ‘injeta’ conteúdo HTML inteiramente novo na página. Os
campos recém-injetados solicitam que as vítimas divulguem dados confidenciais
raramente solicitados pelo seu provedor de serviços, como o número do cartão de débito
e o código PIN.
URLzone
O URLzone tem a capacidade de injetar códigos em uma página da Web que é carregada
no navegador do usuário para inicializar as ameaças MITB. O URLzone usa o tradicional
sequestro de sessão para roubar os códigos de senha de uso único dos clientes para
concluir transações não autorizadas. O URLzone conta com uma variedade de esquemas
de engenharia social para realizar uma ameaça MITB bem-sucedida. Na maioria das
vezes, isso é realizado por meio de outra injeção de código que cria uma página com
uma falsa mensagem de erro – depois de o usuário já ter fornecido a senha de uso único
válida (ou seja, “Não foi possível concluir sua transação nesse momento. Tente
novamente mais tarde”).
Gozi
Uma variante recente do Gozi está programada para roubar vários tipos de dados
diferentes; o Gozi tem injeções que já conseguiram roubar tokencodes SMS e TANs, bem
como scripts que raspam8
informações adicionais, como limites diários de transferência
e saldos de contas correntes, contas de poupança e contas de cartão de crédito.
Registros do cavalo de Troia Gozi contendo procedimentos automatizados da transação
mostram claramente que o Gozi é pré-programado para determinar a porcentagem que
pode ser transferida do saldo da conta por vez. Para determinar o valor a transferir, o
Gozi primeiro recupera o saldo atual da conta. A Figura 2 exibe um registro criado pelo
Gozi ao realizar transferências automatizadas de dinheiro. O registro do cavalo de Troia
mostra que o Gozi apanha o saldo da conta e o limite diário de transferência e, em
seguida, usa o TAN para concluir a transferência.
8 A raspagem de dados é utilizada pelos cavalos de Troia para acessar o código-fonte da
página, localizar dados pertinentes nela e enviá-los ao criminoso.
Figura 1: Um exemplo de página falsa
que pode ser apresentada a usuários
infectados durante uma ameaça
man-in-the-browser
5. PÁGINA 5
A mitigação exige segurança em camadas
Como resultado da ampla investigação sobre cavalos de Troia e malware, e especificamente
ameaças man-in-the-browser, podemos tirar várias conclusões:
1. A proteção de log-in não é suficiente para impedir ameaças MITB. Mesmo que o
usuário genuíno faça log-in na conta, os cavalos de Troia são capazes de realizar
transferências de dinheiro da conta durante a sessão bancária legítima do usuário.
2. As ameaças MITB são difíceis de detectar sem monitoramento e proteção da transação.
Um cavalo de Troia MITB pode sequestrar o dispositivo do usuário para que quaisquer
transações mal-intencionadas realizadas ainda pareçam ter sido originadas pelo
usuário legítimo. Além do rastreamento do dispositivo ou do IP, potentes recursos de
definição de perfis comportamentais são cruciais para a detecção de MITB
3. Devido ao fato de alguns cavalos de Troia usarem injeções de HTML para solicitar
credenciais para autenticação adicional, a autenticação de banda externa tem mais
capacidade para resistir ao MITB, pois ela contorna o canal on-line
4. Investigações manuais não são suficientes. Os cavalos de Troia podem ser totalmente
automatizados para realizar o processo inteiro – desde a infecção até a retirada do
dinheiro – em tempo real. Quanto mais rápida for a janela que permite que os fundos
sejam transferidos, menos tempo haverá para investigar os casos manualmente.
Nesses casos, é necessário utilizar a autenticação adicional (preferivelmente a
verdadeira autenticação de banda externa)
5. Os serviços de inteligência são uma parte importante da mitigação. Contas de laranjas,
por exemplo, representam um grande papel no processo de retirada de dinheiro. Ter
acesso à inteligência por trás de crimes cibernéticos é essencial para desenvolver uma
solução completa.
Uma abordagem de segurança em camadas que combine monitoramento de transações
baseado em riscos, detecção de cavalos de Troia, desligamento e serviços de inteligência,
bem como recursos de banda externa, proporciona uma sólida defesa para mitigar a
ameaça de ataques man-in-the-browser. As soluções RSA a seguir ajudam as instituições
financeiras a lidar com o desafio representado pelas ameaças man-in-the-browser:
• Monitoramento da transação: O RSA®
Transaction Monitoring examina as atividades
realizadas após o log-in para detectar comportamentos fora do comum que possam
indicar tentativas de fraude ou atividades de cavalo de Troia. Ele funciona com qualquer
solução existente de autenticação sólida e pode ser implantado de modo a ficar
totalmente invisível para o usuário final. Além disso, o RSA Transaction Monitoring
oferece recursos avançados para identificar comportamentos de cavalos de Troia, como a
capacidade de detectar sequestro manual de sessão, contas laranja e injeção de HTML.
Figura 2: Registro do cavalo de Troia
Gozi mostrando uma transferência
automática de dinheiro com MITB
6. PÁGINA 6
• Detecção de cavalos de Troia, Desligamento e Serviços de Inteligência: O serviço RSA®
FraudAction™
Anti-Trojan trabalha para reduzir o impacto dos cavalos de Troia por meio
de identificação e desligamento de pontos de infecção conhecidos, e bloqueio dos
recursos que os cavalos de Troia usam para se comunicar (ou seja, servidores drop,
servidores de Comando e Controle). Além disso, o serviço tenta extrair informações e
credenciais roubadas das contas laranja que estão preparadas para receber
transferências de dinheiro fraudulentas.
• RSA eFraudNetwork: O RSA®
Adaptive Authentication e o RSA Transaction Monitoring
utilizam as informações sobre os padrões de fraude contidas no repositório de dados da
RSA®
eFraudNetwork™
. A eFraudNetwork recebe feeds de dados de fraudes fornecidos
por uma vasta rede de clientes, usuários finais, ISPs e outros. Contribuições frequentes
sobre a inteligência por trás de crimes cibernéticos também são fornecidas
regularmente por analistas do Anti-Fraud Command Center da RSA.
• Autenticação de banda externa: A RSA oferece autenticação telefônica de banda externa
que permite que os usuários digitem uma senha de uso único no teclado de seu
telefone. A autenticação de banda externa oferece uma potente defesa contra ameaças
man-in-the-browser, pois ela separa o processo de autenticação do canal da Web,
tornando mais difícil expor-se ao perigo.
Monitoramento da transação
Embora seja essencial proteger o log-in, os fraudadores desenvolveram uma tecnologia
capaz de manipular transações após o log-in. A proteção da transação se refere à capacidade
da organização de monitorar e identificar atividades suspeitas após o log-in – um recurso
geralmente fornecido por uma solução de monitoramento de fraudes baseada em riscos.
As transações, em geral, exigem exames mais minuciosos e apresentam mais riscos do
que apenas o ato de fazer log-in em uma conta. Por exemplo, um usuário não autorizado
pode conseguir acesso ao log-in de uma conta, mas o risco maior será depois que for
tentada uma transação, como a transferência de dinheiro de uma conta. Uma solução de
proteção de transação alertará as equipes de investigação de fraude ou questionará os
usuários de forma apropriada nesses casos.
O RSA Transaction Monitoring é acionado pelo mecanismo de autoaprendizagem RSA Risk
Engine, que realiza nos bastidores a avaliação de riscos de todos os usuários. Ele pode
trabalhar com qualquer solução existente de autenticação e pode ser totalmente invisível
para o usuário final. Quando um usuário tenta uma transação, uma pontuação de risco
exclusivo é atribuída a cada atividade. Quando a pontuação de risco ultrapassa determinado
limite aceitável (definido pela organização implantadora) ou quando uma política
organizacional é violada, é aberto um caso na ferramenta RSA Case Manager. O Case Manager
permite o gerenciamento completo de casos e investigações, com foco apenas nas transações
de risco mais alto. Em casos de risco extremo ou quando não houver tempo suficiente para
analisar manualmente um caso, o usuário poderá ser questionado em tempo real com uma
chamada telefônica de banda externa antes que a transação possa prosseguir.
O RSA Transaction Monitoring também é capaz de detectar possíveis atividades de
cavalos de Troia ao realizar análises comportamentais avançadas. Os padrões normais
de comportamento de cada usuário individual são observados, e, quando ocorrer algum
comportamento que se desvie desse padrão, provavelmente haverá um aumento da
pontuação de risco desse usuário. A análise do comportamento do usuário, especialmente
comportamento como atividades de pagamento iniciadas por um usuário final, é
essencial no nível de transação. Isso é especialmente verdadeiro para um cavalo de Troia
man-in-the-browser, pois ele aguarda que o usuário genuíno faça log-in antes de ser acionado.
Durante a própria sessão, alguns padrões podem indicar comportamento fora do comum,
como a atividade de acrescentar um novo beneficiário seguido de uma transação de
pagamento imediata para esse beneficiário - uma atividade que não pode ser detectada
no log-in. Além disso, o RSA Transaction Monitoring oferece recursos mais avançados de
detecção de cavalos de Troia, como detecção de sequestro manual de sessão, análise de
padrões de comportamento de cavalo de Troia, detecção de conta laranja e detecção de
injeção de HTML.
7. PÁGINA 7
O Transaction Monitoring também tem o suporte da RSA eFraudNetwork, um repositório
de padrões de fraude de várias organizações compilados pela ampla rede de clientes da
RSA, por ISPs e outros colaboradores do mundo inteiro. Quando uma atividade é
identificada como sendo de alto risco, o perfil da transação, o endereço IP e as
impressões digitais do dispositivo são movidos para um repositório de dados
compartilhado.
A eFraudNetwork envia diretamente feeds sobre dados de fraude para o sistema RSA
Transaction Monitoring e é uma das muitas fontes usadas para atribuir a pontuação de
risco. Isso inclui dados de contas de laranjas oferecidos pelo serviço RSA FraudAction
Anti-Trojan.
Detecção de cavalos de Troia, desligamento e inteligência
O serviço RSA FraudAction Anti-Trojan, uma parte central do RSA FraudAction, está
centrado em minimizar o impacto dos ataques de cavalos de Troia. O man-in-the-browser
é uma das ameaças que a RSA tem se dedicado a analisar, e esse serviço de inteligência
foi incorporado ao serviço RSA FraudAction Anti-Trojan.
Detecção precoce, bloqueio e desligamento são essenciais para minimizar o impacto que
um cavalo de Troia pode ter e reduzir a quantidade de danos que ele pode causar.
Entretanto, desligar ou bloquear acesso aos pontos de infecção, pontos de atualização,
drop sites e drop e-mails do cavalo de Troia é mais complicado do que parece. Além
disso, os cavalos de Troia são uma ameaça mais complexa de enfrentar devido ao
número sem precedente de variantes de malware que existem.
Ao trabalhar com as mais importantes instituições financeiras do mundo e monitorar
várias ameaças, a RSA criou relacionamentos contínuos com alguns dos principais ISPs e
arquivos de registro do mundo. O RSA Anti-Fraud Command Center tira partido desses
relacionamentos para iniciar o processo suspender-e-desistir (cease-and-desist) durante
24 horas por dia, 7 dias por semana.
Os serviços e pontos fortes da RSA são realçados pelo RSA FraudAction Research Lab,
uma equipe de pesquisadores de primeira linha dedicada à pesquisa contínua das
tecnologias, ferramentas e táticas mais recentes que estão sendo utilizadas pelos
criminosos cibernéticos. Esta equipe tem como objetivo enfrentar novas ameaças, como
o man-in-the-browser, e criar ferramentas e processos que permitam o desligamento
mais rápido possível.
Recursos de banda externa
Os métodos de comunicação OOB (Out-Of-Band, banda externa) são uma arma poderosa
contra ameaças avançadas, pois eles contornam o canal de comunicação usado mais
frequentemente pelos fraudadores – o canal on-line. Isso é especialmente verdadeiro no
caso do man-in-the browser, quando um cavalo de Troia é instalado diretamente no
navegador do usuário. Os métodos de comunicação de banda externa podem incluir
correio postal comum, telefone ou mensagem de texto (também chamada de SMS, Short
Message Service).
O módulo RSA Adaptive Authentication Out-of-band Phone fornece aos usuários um
passcode de uso único que aparece no navegador da Web. O sistema então pede ao
usuário para selecionar um dos números de telefone previamente registrados durante o
cadastro para receber a chamada telefônica e um telefonema automático é gerado. A
chamada analisa detalhes da transação e pede ao usuário que digite, no teclado de seu
aparelho telefônico, o passcode de uso único que é exibido no navegador. Depois de o
número ser digitado no telefone e ser confirmado que é o número correto, a transação
prosseguirá sem interrupção.
Isto é apelidado de autenticação de banda externa “verdadeira” porque o passcode é na
verdade digitado no telefone, em vez de ser digitado novamente no computador
infectado do usuário (como normalmente ocorre quando recebemos um passcode via
e-mail ou SMS).