Upload
ngonhi
View
212
Download
0
Embed Size (px)
Citation preview
Prevenção de Fraudes Financeiras na Internet
Luciano Porto BarretoLuciano Porto [email protected]
Superintendência de Informática (SSI)13/10/2016
Prevenção de Fraudes Financeirasna Internet
AVISO:
As declarações e conteúdo desta apresentação sãode inteira responsabilidade do autor, não
representando necessariamente a opinião oficial ouvisão da CVM sobre os assuntos abordados.
Obs: a fim de minorar a obsolescência do material disponibilizado online, alguns exemplos podem ter sido suprimidos destes slides.
Sumário
• Sensibilizar os usuários sobre a relevância das fraudes praticadas por meios eletrônicos
• Conhecer os principais riscos e consequências
Luciano Porto Barreto
• Esclarecer e informar sobre boas práticas e formas de prevenção e proteção
Fraudes - Modos de atuação
• Transformação na forma digital/web dos ardis utilizados há tempos...
• Engenharia social• Sites e email falsos ou maliciosos• Perfis falsos em redes sociais• Notícias fictícias
Luciano Porto Barreto
• Notícias fictícias• Fóruns fictícios• (...)
Fraudes - Tipologia
• Público alvo: país/língua, jovens, idosos
• Modus Operandi:– Online, offline : roubo de identidade, interação com a vítima
• Pirâmides financeiras, acesso gratuito a serviços
Luciano Porto Barreto
• Pirâmides financeiras, acesso gratuito a serviços ou material oneroso
• Brasil:– Dinheiro fácil (prêmios, investimentos, crédito online)
– Encontros amorosos
Principais formas de comprometimento
• Engenharia Social
• Email (anexos e links)
• Sites/Aplicativos Maliciosos
Luciano Porto Barreto
• Sites/Aplicativos Maliciosos
• Mídias removíveis (pendrive etc.)
• Download de arquivos maliciosos
Engenharia Social
• Manipular pessoas para obter informações sensíveis ou fazer com que estas executem ações inadequadas
– Meios: presencial, telefone, email...
• Objetivo: convencer alguém a dispensar verificações de segurança -> invasão
Luciano Porto Barreto
verificações de segurança -> invasão– Carisma/sedução: vestuário, assertividade
– Discussão/briga simulada
– Temor/ameaça
• Fraudes comuns: – personificar pessoal de TI, serviços de
entrega, manutenção.
Engenharia Social – USB “perdido” ou gratuito
• Cortesia: congressos, eventos...• Cartões de visita
Luciano Porto Barreto
Engenharia Social – USB “perdido” ou gratuito
• Rubber Ducky ($42.99): efetua upload para serviços na nuvem (Dropbox etc.)
• Bad USB: executa programas maliciosos no computador (ainda um problema para AntiVirus)
Luciano Porto Barreto
Engenharia Social – USB “perdido” ou gratuito
• Victoria, Australia (set/16)• “Presentes” na caixa de correio
Luciano Porto Barreto
Engenharia Social – o que fazer ?
• Desconfie (com bom senso)– “Desconfiança é farol do prudente” (W. Shakespeare)
– Peça confirmações adicionais por telefone/email
• Nunca forneça sua senha/credenciais para terceiros
Luciano Porto Barreto
• Use somente equipamentos/pendrives de fontes conhecidas
• Não deixe informações sensíveis expostas (impressora, mesa) ou no lixo; rasgue ou triture papéis importantes
Emails com conteúdo malicioso (links/anexos)
• Phishing (Fishing) – “Pescaria”:– Tentativa de obter informações de usuários para fins fraudulentos
• Objetivo: ludibriar os usuários:– clique, abra, instale, execute
Luciano Porto Barreto
Links maliciosos - como ludibriar os usuários ?
• Dinheiro fácil– Casino, loteria, poker etc.– Oferta: descontos, promoções bancárias– Você foi o sorteado ! Usuário número 1 milhão !– MegaSena
Luciano Porto Barreto
Links maliciosos - como ludibriar os usuários ?
• Morbidez / miséria alheia – Ser humano é curioso... (em graus diferenciados)– Acidentes, mortes, eventos de grande comoção
popular.
• Temor– Perda de uma chance
Luciano Porto Barreto
– Perda de uma chance– Conta bancária comprometida– Intimações diversas– Cobrança de dívida etc.
Spam: email não-solicitado
• Estimativa: 90% do tráfego de email atual
• Objetivos: captura de credenciais, disseminação de malware (software malicioso), email marketing
Luciano Porto Barreto
Emails maliciosos e Spam: O que fazer ?
• Ignorar: apagar, não abrir ou salvar anexos
• Analisar (sempre) emails de amigos/colegas, controle sua curiosidade/impulsividade
Luciano Porto Barreto
Emails maliciosos e Spam: O que fazer ?
• Evite usar seu email principal para cadastro em sites comerciais, listas de discussão e afins
– Seu email estará bem mais sujeito a receber spam
– Não há regras globais de antispam 100% eficazes. Portanto, devemos reduzir nossa exposição
Luciano Porto Barreto
Portanto, devemos reduzir nossa exposição
– Há também serviços de emails descartáveis:» 10minutemail, mailinator etc.
Sites Maliciosos ou forjados ; Boatos em redes Sociais
• Verifique a credibilidade da fonte da informação
• Atenção especial para sites com endereços curtos– Diversos serviços atualmente disponíveis, inclusive na nuvem (Dropbox...)
• Se tiver dúvidas, não repasse adiante
Luciano Porto Barreto
• Se tiver dúvidas, não repasse adiante
• Dano real (boatos):– Linchamento Guarujá (SP), falsa sequestradora de crianças
– http://g1.globo.com/sp/santos-regiao/noticia/2014/05/mulher-morta-apos-boato-em-rede-social-e-enterrada-nao-vou-aguentar.html
– Após ameaça policial falsa, pai mata filho de 4 anos e se suicida (Romênia)
– http://thehackernews.com/2014/03/police-ransomware-threat-of-huge-fine.html
Aplicações falsas – Lojas Online
• Lojas online:– Google Play Store
» Ghost Push (out/15): 900.000 dispositivos Android• Apps: Talking Tom3, Easy Locker, Privacy Locker• Lucro estimado em ads: US$4 milhões
»» http://gadgets.ndtv.com/apps/news/ghosthttp://gadgets.ndtv.com/apps/news/ghost--pushpush--malwaremalware--hitshits--googlegoogle--playplay--affectsaffects--900000900000--androidandroid--devicesdevices--reportreport--753399753399
Luciano Porto Barreto
– Apple Store» Xcode (set-out/15): milhares (?)
• 39 Apps afetadas: WeChat, CrazyFish, WinZip, OPlayer, PDFReader Free, AngryBirds-China...
• http://arstechnica.com/security/2015/09/apple-scrambles-after-40-malicious-xcodeghost-apps-haunt-app-store/
Aplicativos fraudados ou maliciosos
• Lojas virtuais não garantem confiabilidade do software (Apple, Google ...)
• Visão/ilusão dos usuários:– “Na Internet tudo é (ou deveria ser) gratuito”
• O mesmo vale para plugins (extensões) de navegadores (Firefox, Chrome, Explorer)
Luciano Porto Barreto
navegadores (Firefox, Chrome, Explorer)• Tor exit node mashes malware into downloads on The Register —
http://theregister.co.uk/2014/10/27/tor_exit_node_mashes_malware_into_downloads/
• Casos comuns: gerenciadores de download, Antivirus falsos, Jogos
• Fake Flappy Bird App Planted by Hackers to Steal Photos from Device http://feedproxy.google.com/~r/TheHackersNews/~3/TeF7I-obH8Y/fake-flappy-bird-app-planted-by-hackers.html
• Aplicativos e sistemas desbloqueados (Jailbreak)• 'AdThief' Chinese Malware Infects Over 75,000 Jailbroken iOS devices
http://feedproxy.google.com/~r/TheHackersNews/~3/aFcVXDhQ4-w/adthief-chinese-malware-infects-over.html
Redes não confiáveis
• Atacante pode se interpor entre a comunicação– Exemplo: rede Wifi falsa (Infraero, Starbucks)
– Redireciona o usuário para sites falsos de login (facebook, gmail etc.)
• Intermediários (proxies) – anonimizadores, VPNs
Luciano Porto Barreto
Redes não-confiáveis: O que fazer ?
• Avalie o Risco vs. Necessidade
• Recomenda-se não usar ou evitar, ao máximo, o uso de redes WiFi de terceiros
– Prefira o uso da rede de dados (3G/4G ...)
• Caso utilize redes não-confiáveis:
Luciano Porto Barreto
• Caso utilize redes não-confiáveis:– Pergunte a alguém do estabelecimento para confirmar o nome e
endereço IP da rede (melhor se a rede exigir algum tipo de cadastro)
– Use somente para navegação web, não faça login em sites sensíveis ou realize operações financeiras
Fraudes em Boletos
• 2012: boleto representa 2º meio de pagamento mais utilizado (18%)
• “Gangue do Boleto” (2014) – boletos forjados– Fonte: RSA– http://www.emc.com/collateral/white-papers/h13282-report-rsa-discovers-boleto-fraud-ring.pdf
Luciano Porto Barreto
• Valor estimado de boletos adulterados: $3.75 bilhões
– 8.095 boletos fraudados associados à 495.753 transações financeiras
– Qtde de boletos efetivamente pagos desconhecida
Fraudes em Boletos
• Computadores comprometidos: 192.227• Credenciais de email furtadas: 83.506• Número de boletos fraudados: 8.095• Número de bancos afetados: 34
Luciano Porto Barreto
Fraudes em Boletos
• Distribuição de software malicioso (bolware = boleto+malware) que alterava informações dos boletos recebidos pelo usuário via navegador web
– Código de barra, identificador– Redirecionamento do pagamento para o fraudador– Atuação desde 2012
Luciano Porto Barreto
Furto de Identidade
• Fontes: vazamento Internet, compra no mercado negro
• Exemplos (omitidos): aposentados/pensionista e crédito consignado
Luciano Porto Barreto
Fraudes em Cartão de Crédito - pesquisa
• Usuários que experimentaram fraudes em cartão de crédito:
– México (56%), Brasil (49%), EUA (47%)
• Fonte: ACI. Últimos 5 anos. +6.000 pesquisados. 20 países, +- 300 pax por país.
Luciano Porto Barreto
20 países, +- 300 pax por país.
• Compra e venda online de informações (infocc)
Fraudes em Cartão de Crédito
• Verifique as operações com seu cartão
• Dependência da operadora / banco
• Na prática, cartão de crédito não é melhor meio de pagamento para clientes com subscrição (a cada 4 anos, diversos cartões de clientes perdem
Luciano Porto Barreto
cada 4 anos, diversos cartões de clientes perdem a validade)
• (Exemplos)
Fraudes - FinTechs
• Financial Technology• Hype/Novidade. Plataformas virtuais.• Redução de custos, velocidade nas transações.• Empréstimos.• Meios de pagamento. Cartões virtuais. • Crowd-funding
Luciano Porto Barreto
• Crowd-funding• (...)
Fraudes - FinTechs
• Exemplo:– http://fintech-ltd.com/– Auto-trader– Promessa: $875 por hora (depósito de $250)
• Suspeitas:– Fotos falsas – outras origens– Testemunhos pagos
Luciano Porto Barreto
– Testemunhos pagos
Fraudes – FinTechs – Info do site
• Verificar a data de registro, contatos dos administradores de domínio e o endereço registrado.
Luciano Porto Barreto
Fraudes – FinTechs – Adm do Domínio/site
• Suspeita no 1: data de registro do site
Luciano Porto Barreto
• Entretanto, vídeo do site informa que a empresa oferece os serviços há mais de 18 meses
Fraudes – FinTechs – Adm do Domínio/site
• Suspeita no 2: Terceiro como administrador do domínio (contato primário)
• Serviços que oferecem garantia de privacidade para administradores de domínio:
– https://www.privacyguardian.org/• Endereço certamente é do provedor do serviço
Luciano Porto Barreto
Bolsa de Valores – Pump and Dump - boatos
• Inflar o valor ação de baixo valor e liquidez através de boatos disseminados via boatos, depois vender (“boiler room”)
• Brasil: fóruns online, sites de notícias “especializados”:
– ação X vai bombar ! – Está na hora de comprar Y ?
Luciano Porto Barreto
– Está na hora de comprar Y ?• GDKI (2006): 300%
• Simulação de resultados:– http://www.spamstocktracker.com/
Bolsa de Valores – Pump and Dump - boatos
• Inflar o valor da ação através de boatos disseminados via spam, depois vender
Luciano Porto Barreto
Bolsa de Valores – Pump and Dump - boatos
• Em 2007, a SEC suspendeu 35 companhias
• Depto de Justiça dos EUA processou grupo de 4 pessoas (declaradas culpadas) que tiveram lucro de $20 milhões inflando ações de 15 companhias
Luciano Porto Barreto
Pirâmides Financeiras, sites e fóruns fraudulentos
• Negócios imperdíveis ! Oportunidade única ! Retorno garantido ! Trabalhe de casa ! Sem esforço !
• Geralmente requerem um adiantamento (taxa de cadastro, fornecimento de kit de boas vindas)
– Quanto menor o valor de entrada e maior o
Luciano Porto Barreto
– Quanto menor o valor de entrada e maior o rendimento prometido, mais chance de capturar clientes
– Exemplos recentes : (omitido nos slides)
Verificações simples
• Situação na Receita Federal– http://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjrev
a_solicitacao.asp
• Endereço da sede• Há telefones disponíveis, emails de funcionários
(ou somente uma pessoa/email de contato) ?• Perfis no Linkedin, facebook, twitter ?
Luciano Porto Barreto
• Perfis no Linkedin, facebook, twitter ?• Verificar a data de registro do domínio Internet
e quem é o responsável por este– Who.is
• Consultar versões anteriores do site– http://www.screenshots.com/
– https://archive.org/web/
• Checar autenticidade de imagens selecionadas
Sites e fóruns fraudulentos
• Busque referências virtuais e presenciais
• Não execute operações financeiras ou tome decisões apressadamente
• Alguns casos de contra-ataque reportados– Objetivo: fazer o fraudador perder tempo
Luciano Porto Barreto
– Objetivo: fazer o fraudador perder tempo» Pedir ajuda, dizer que está em dificuldades
– Contra-ataque: envio de malware para o fraudador (eng. Social reversa)
Bitcoin – Visão Geral
Luciano Porto Barreto
• Moeda virtual baseada na tecnologia de blockchain• Livro-razão distribuído à prova de adulteração (criptografia)• Rede ponto a ponto, descentralizada, aberta, validam
transações financeiras (independe de autoridade central)
Bitcoin : Origem
• Artigo seminal por “Satoshi Nakamoto” (2008)https://bitcoin.org/bitcoin.pdf
Luciano Porto Barreto
Como e onde guardar Bitcoins ?
• Criação de uma carteira (wallet)– On-line (web)
– Desktop
– Mobile
Luciano Porto Barreto
– Papel
• Escolha depende do grau de segurança, gestão e usabilidade desejado
Software disponível em bitcoin.org e outros...
Bitcoin - Fraudes
• Investimento, ganhos rápidos• Alta volatilidade da moeda• Fábricas de mineração
Luciano Porto Barreto
Bitcoin - Fraudes
• Pirâmide financeira• Taiwan (2016): ROI 250%, U$ 1.5 milhão (1000
investidores lesados) • CryptoDouble: 2233 BTC ($500 mil)• Bitcoin Savings and Trust: $ 40 milhões – SEC
(2011)• GemCoin: $32 milhões (2013) – SEC
Luciano Porto Barreto
• GemCoin: $32 milhões (2013) – SEC• GawMiners, ZenMiner (2014): SEC
– Venda de poder de mineração inexistente– $20 milhões: 10.000 investidores
Bitcoin - Fraudes
• Software malicioso:
• BitcoinWisdomAdRemover: extensão do Chrome que trocava QR codes do receptor para conta de terceiros
• LocalBitcoin (2015) app falso para Android na
Luciano Porto Barreto
• LocalBitcoin (2015) app falso para Android na GooglePlay, roubava bitcoins
Bitcoin - Fraudes
• Extorsão : ameaça de morte (Connecticut, 2014). Cartas distribuídas pela vizinhança.
You have until 12:00 PM on February 13, 2015 to pay us $2,000. If you do not comply with that simple demand, the following will happen: we will kill you, [recipient], or someone else to whom you are close. Or you can simply pay us the $2,000. To make the payment do the following.
1. Open an account at any online Bitcoin exchange, such as Bitstamp.net or Coinbase.com
2. Deposit $2,000 into that account. Do not wait until the last minute to do this. It will likely take you
Luciano Porto Barreto
2. Deposit $2,000 into that account. Do not wait until the last minute to do this. It will likely take you about a week to open an account, get it verified, and process the transaction.
3. Use the entire $2,000, minus whatever small fee the exchange charges, to purchase Bitcoins on the exchange. If you are unsure about the process of buying Bitcoins, Google it.
4. Withdrawal (sic) all Bitcoin you purchased to the following Bitcoin address:19vcdWcV4J8bhH7j3igHZ5q4WGT2UX5V2S
5. Be sure to type all 34 characters of that Bitcoin address in EXACTLY. It is case sensitive. The first character is a number “one”, NOT a lowercase “L”.
6. You are finished. Breath (sic) easy, and live your life in peace knowing you will never have to deal with us again.”
Bitcoin - Perdas
• Bolsas de troca (exchanges), sites
• Mt.Gox: maior e mais popular, $USD 368 milhões (aprox 6% dos bitcoins em circulação)
• Bitfinex (ago/16): $ 70 milhões– Queda de 20% no valor do Bitcoin
• Cryptsy (2016): $ 6 milhões
Luciano Porto Barreto
• Cryptsy (2016): $ 6 milhões• MyCoin (2015): $ 8 milhões – Hong Kong• Bitstamp (2015): $ 5 milhões• BitPay (2015): $3.5 milhões –phishing p/ CEO
Bitcoins – o que fazer ?
• Desconfie (com bom senso)– “Desconfiança é o farol do prudente” (W. Shakespeare)
– Peça confirmações adicionais por telefone/email
– Rentabilidade exagerada
– Taxas de transferência inexistentes
• Pesquise sobre bolsas e mecanismos de operação
Luciano Porto Barreto
• Pesquise sobre bolsas e mecanismos de operação– www.badbitcoin.org/thebadlist/– http://bitcoinscammer.com/
• Use somente software de fontes conhecidas
• Crie uma carteira física. Evite sites online como mecanismo de salvaguarda de bitcoins.
Vírus de Resgate (Ransonware)
• Programa malicioso que criptografa os dados do usuário e pede valor de resgate para liberação da chave criptográfica
Luciano Porto Barreto
Vírus de Resgate (Ransonware)
• Método antigo, retorno recente (e efetivo):– CryptoLocker (2013): 200-250 mil computadores
(fonte: Dell Secure Works)
• ROI melhor do que cartão de crédito– CryptoWall: US$ 325 milhões em 2014
(fonte: Cyber Threat Alliance Report)
• Praticamente impossível recuperar os dados
Luciano Porto Barreto
– PowerWorm (2015): erro de programação (?)
• Solução:– Pagar ou não o resgate ? Polêmica: FBI, Governo– Restaurar o backup
Redes Sociais, Arquivos em Nuvem
• Atenção com links para arquivos em nuvem ou redes sociais
– iCloud, DropBox, Google Drive– Malicious Google DoubleClick Advertisements Distributed Malware to Millions of Computers
http://feedproxy.google.com/~r/TheHackersNews/~3/r3oxycjuC3g/malicious-google-doubleclick.html
– Arquivos infectados em redes sociais
Luciano Porto Barreto
– Arquivos infectados em redes sociais– Win Apple's iPhone 6 For Free – A New Facebook Scam
http://feedproxy.google.com/~r/TheHackersNews/~3/1WLeiRr3VMw/win-apples-iphone-6-for-free-new.html
– Falsos botões de “like”
– Compartilhamento sobre localização, “check-ins”» PleaseRobMe.com (pessoas longe de casa)
Vírus de Resgate (Ransonware)
• Alvos recentes: Instituições de Saúde EUA
– Hollywood Presbyterian Med Center (fev/16): » Valor inicial: $ 3 milhões ; pago:$17K» Parada total, desvio de 911 pacientes para outras
localidades
Luciano Porto Barreto
– Kentucky Methodist Hospital (mar/16)» 5 dias para recuperar. Resgate não pago.
– California: Chino Valley e Desert Valley– MedStar Maryland (mar/16)– Kansas Heart Hospital (apr/16):
» Exigiram mais dinheiro
Boas práticas - Resumo
• Use a Internet de forma responsável e segura, reduzindo riscos. Reflita antes de clicar !
– Na dúvida, ignore e apague !
• Faça backup regularmente
• Use um antivírus, porém não confie a 100%
Luciano Porto Barreto
• Use um antivírus, porém não confie a 100%
• Mantenha o software do seu computador atualizado
• Analise o risco de armazenar informações sensíveis (senhas, docs restritos etc.) em sites/serviços de terceiros (i.e. nuvem)
Boas práticas - Resumo
• “Não aceite presentes de estranhos”
• Desconfie de quem “descobriu” e “compartilha” ganhos altos, rápidos e sem risco
– Procure referências reais sobre a empresa/consultor
• Evite usar redes WiFi desconhecidas e, caso as
Luciano Porto Barreto
• Evite usar redes WiFi desconhecidas e, caso as utilize, não realize operações sensíveis
• Faça download de software de locais confiáveis
• Evite utilizar seu email principal para cadastro em sites
– Você estará propenso a receber muito mais spam
Boas práticas - Resumo
• NUNCA reutilize sua senha em sites diferentes– Se o site/serviço for comprometido, sua senha em
todos os outros serviços também será, afinal você não usa a mesma chave para todas as suas portas
– Diversos casos de vazamento de senhas
– Trate sua senha como sua escova de dentes (não compartilhe e troque-a regularmente)
Luciano Porto Barreto
Prevenção de Fraudes Financeiras na Internet
Luciano Porto BarretoLuciano Porto [email protected]
Superintendência de Informática (SSI)13/10/2016