Prevenção de Fraudes Financeiras na Internet-out-16-web · planted-by-hackers.html ... • Situação na Receita Federal –

Prevenção de Fraudes Financeiras na Internet

Luciano Porto BarretoLuciano Porto [email protected]

Superintendência de Informática (SSI)13/10/2016

Prevenção de Fraudes Financeirasna Internet

AVISO:

As declarações e conteúdo desta apresentação sãode inteira responsabilidade do autor, não

representando necessariamente a opinião oficial ouvisão da CVM sobre os assuntos abordados.

Obs: a fim de minorar a obsolescência do material disponibilizado online, alguns exemplos podem ter sido suprimidos destes slides.

Fraudes Convencionais

Luciano Porto Barreto

Fraudes Convencionais

• Conto do Vigário



Sumário

• Sensibilizar os usuários sobre a relevância das fraudes praticadas por meios eletrônicos

• Conhecer os principais riscos e consequências


• Esclarecer e informar sobre boas práticas e formas de prevenção e proteção

Fraudes - Modos de atuação

• Transformação na forma digital/web dos ardis utilizados há tempos...

• Engenharia social• Sites e email falsos ou maliciosos• Perfis falsos em redes sociais• Notícias fictícias


• Notícias fictícias• Fóruns fictícios• (...)

Fraudes - Tipologia

• Público alvo: país/língua, jovens, idosos

• Modus Operandi:– Online, offline : roubo de identidade, interação com a vítima

• Pirâmides financeiras, acesso gratuito a serviços


• Pirâmides financeiras, acesso gratuito a serviços ou material oneroso

• Brasil:– Dinheiro fácil (prêmios, investimentos, crédito online)

– Encontros amorosos

Engenharia Social


Principais formas de comprometimento

• Engenharia Social

• Email (anexos e links)

• Sites/Aplicativos Maliciosos


• Sites/Aplicativos Maliciosos

• Mídias removíveis (pendrive etc.)

• Download de arquivos maliciosos

Engenharia Social

• Manipular pessoas para obter informações sensíveis ou fazer com que estas executem ações inadequadas

– Meios: presencial, telefone, email...

• Objetivo: convencer alguém a dispensar verificações de segurança -> invasão


verificações de segurança -> invasão– Carisma/sedução: vestuário, assertividade

– Discussão/briga simulada

– Temor/ameaça

• Fraudes comuns: – personificar pessoal de TI, serviços de

entrega, manutenção.

Engenharia Social – USB “perdido” ou gratuito

• Cortesia: congressos, eventos...• Cartões de visita



• Rubber Ducky ($42.99): efetua upload para serviços na nuvem (Dropbox etc.)

• Bad USB: executa programas maliciosos no computador (ainda um problema para AntiVirus)



• Victoria, Australia (set/16)• “Presentes” na caixa de correio


Engenharia Social – o que fazer ?

• Desconfie (com bom senso)– “Desconfiança é farol do prudente” (W. Shakespeare)

– Peça confirmações adicionais por telefone/email

• Nunca forneça sua senha/credenciais para terceiros


• Use somente equipamentos/pendrives de fontes conhecidas

• Não deixe informações sensíveis expostas (impressora, mesa) ou no lixo; rasgue ou triture papéis importantes

Links maliciosos (email, redes sociais)


(email, redes sociais)

Emails com conteúdo malicioso (links/anexos)

• Phishing (Fishing) – “Pescaria”:– Tentativa de obter informações de usuários para fins fraudulentos

• Objetivo: ludibriar os usuários:– clique, abra, instale, execute


Links maliciosos - como ludibriar os usuários ?

• Dinheiro fácil– Casino, loteria, poker etc.– Oferta: descontos, promoções bancárias– Você foi o sorteado ! Usuário número 1 milhão !– MegaSena


Links maliciosos - como ludibriar os usuários ?

• Morbidez / miséria alheia – Ser humano é curioso... (em graus diferenciados)– Acidentes, mortes, eventos de grande comoção

popular.

• Temor– Perda de uma chance


– Perda de uma chance– Conta bancária comprometida– Intimações diversas– Cobrança de dívida etc.

Emails com links/anexos maliciosos


Emails com links/anexos maliciosos


Formas de infecção: email






Spam: email não-solicitado

• Estimativa: 90% do tráfego de email atual

• Objetivos: captura de credenciais, disseminação de malware (software malicioso), email marketing


Emails maliciosos e Spam: O que fazer ?

• Ignorar: apagar, não abrir ou salvar anexos

• Analisar (sempre) emails de amigos/colegas, controle sua curiosidade/impulsividade


Emails maliciosos e Spam: O que fazer ?

• Evite usar seu email principal para cadastro em sites comerciais, listas de discussão e afins

– Seu email estará bem mais sujeito a receber spam

– Não há regras globais de antispam 100% eficazes. Portanto, devemos reduzir nossa exposição


Portanto, devemos reduzir nossa exposição

– Há também serviços de emails descartáveis:» 10minutemail, mailinator etc.

Sites Maliciosos ou forjados ; Boatos em redes Sociais

• Verifique a credibilidade da fonte da informação

• Atenção especial para sites com endereços curtos– Diversos serviços atualmente disponíveis, inclusive na nuvem (Dropbox...)

• Se tiver dúvidas, não repasse adiante


• Se tiver dúvidas, não repasse adiante

• Dano real (boatos):– Linchamento Guarujá (SP), falsa sequestradora de crianças

– http://g1.globo.com/sp/santos-regiao/noticia/2014/05/mulher-morta-apos-boato-em-rede-social-e-enterrada-nao-vou-aguentar.html

– Após ameaça policial falsa, pai mata filho de 4 anos e se suicida (Romênia)

– http://thehackernews.com/2014/03/police-ransomware-threat-of-huge-fine.html

Aplicações falsas – Lojas Online

• Lojas online:– Google Play Store

» Ghost Push (out/15): 900.000 dispositivos Android• Apps: Talking Tom3, Easy Locker, Privacy Locker• Lucro estimado em ads: US$4 milhões

»» http://gadgets.ndtv.com/apps/news/ghosthttp://gadgets.ndtv.com/apps/news/ghost--pushpush--malwaremalware--hitshits--googlegoogle--playplay--affectsaffects--900000900000--androidandroid--devicesdevices--reportreport--753399753399


– Apple Store» Xcode (set-out/15): milhares (?)

• 39 Apps afetadas: WeChat, CrazyFish, WinZip, OPlayer, PDFReader Free, AngryBirds-China...

• http://arstechnica.com/security/2015/09/apple-scrambles-after-40-malicious-xcodeghost-apps-haunt-app-store/

Aplicativos fraudados ou maliciosos

• Lojas virtuais não garantem confiabilidade do software (Apple, Google ...)

• Visão/ilusão dos usuários:– “Na Internet tudo é (ou deveria ser) gratuito”

• O mesmo vale para plugins (extensões) de navegadores (Firefox, Chrome, Explorer)


navegadores (Firefox, Chrome, Explorer)• Tor exit node mashes malware into downloads on The Register —

http://theregister.co.uk/2014/10/27/tor_exit_node_mashes_malware_into_downloads/

• Casos comuns: gerenciadores de download, Antivirus falsos, Jogos

• Fake Flappy Bird App Planted by Hackers to Steal Photos from Device http://feedproxy.google.com/~r/TheHackersNews/~3/TeF7I-obH8Y/fake-flappy-bird-app-planted-by-hackers.html

• Aplicativos e sistemas desbloqueados (Jailbreak)• 'AdThief' Chinese Malware Infects Over 75,000 Jailbroken iOS devices

http://feedproxy.google.com/~r/TheHackersNews/~3/aFcVXDhQ4-w/adthief-chinese-malware-infects-over.html

Web sites e aplicações falsas








Formas de infecção: Redes Sociais - links


Redes Wifi não confiáveis


Redes não confiáveis

• Atacante pode se interpor entre a comunicação– Exemplo: rede Wifi falsa (Infraero, Starbucks)

– Redireciona o usuário para sites falsos de login (facebook, gmail etc.)

• Intermediários (proxies) – anonimizadores, VPNs


Redes não-confiáveis: O que fazer ?

• Avalie o Risco vs. Necessidade

• Recomenda-se não usar ou evitar, ao máximo, o uso de redes WiFi de terceiros

– Prefira o uso da rede de dados (3G/4G ...)

• Caso utilize redes não-confiáveis:


• Caso utilize redes não-confiáveis:– Pergunte a alguém do estabelecimento para confirmar o nome e

endereço IP da rede (melhor se a rede exigir algum tipo de cadastro)

– Use somente para navegação web, não faça login em sites sensíveis ou realize operações financeiras

Ordens de Pagamento e Boletos


Boletos

Fraudes em Boletos

• 2012: boleto representa 2º meio de pagamento mais utilizado (18%)

• “Gangue do Boleto” (2014) – boletos forjados– Fonte: RSA– http://www.emc.com/collateral/white-papers/h13282-report-rsa-discovers-boleto-fraud-ring.pdf


• Valor estimado de boletos adulterados: $3.75 bilhões

– 8.095 boletos fraudados associados à 495.753 transações financeiras

– Qtde de boletos efetivamente pagos desconhecida

Fraudes em Boletos

• Computadores comprometidos: 192.227• Credenciais de email furtadas: 83.506• Número de boletos fraudados: 8.095• Número de bancos afetados: 34


Fraudes em Boletos

• Distribuição de software malicioso (bolware = boleto+malware) que alterava informações dos boletos recebidos pelo usuário via navegador web

– Código de barra, identificador– Redirecionamento do pagamento para o fraudador– Atuação desde 2012


Furto de Identidade

• Fontes: vazamento Internet, compra no mercado negro

• Exemplos (omitidos): aposentados/pensionista e crédito consignado


Cartão de Crédito


Fraudes em Cartão de Crédito - pesquisa

• Usuários que experimentaram fraudes em cartão de crédito:

– México (56%), Brasil (49%), EUA (47%)

• Fonte: ACI. Últimos 5 anos. +6.000 pesquisados. 20 países, +- 300 pax por país.


20 países, +- 300 pax por país.

• Compra e venda online de informações (infocc)

Fraudes em Cartão de Crédito

• Verifique as operações com seu cartão

• Dependência da operadora / banco

• Na prática, cartão de crédito não é melhor meio de pagamento para clientes com subscrição (a cada 4 anos, diversos cartões de clientes perdem


cada 4 anos, diversos cartões de clientes perdem a validade)

• (Exemplos)

FinTechs


Fraudes - FinTechs

• Financial Technology• Hype/Novidade. Plataformas virtuais.• Redução de custos, velocidade nas transações.• Empréstimos.• Meios de pagamento. Cartões virtuais. • Crowd-funding


• Crowd-funding• (...)

Fraudes - FinTechs

• Exemplo:– http://fintech-ltd.com/– Auto-trader– Promessa: $875 por hora (depósito de $250)

• Suspeitas:– Fotos falsas – outras origens– Testemunhos pagos


– Testemunhos pagos

Fraudes - FinTechs

• Fotos falsas – outras origens• Testemunhos pagos


Fraudes - FinTechs

• Testemunhos pagos– https://www.fiverr.com/oldmansteve/


Fraudes - FinTechs

• Testemunhos pagos– https://www.fiverr.com/bradfordjet/


Fraudes - FinTechs


Fraudes – FinTechs – Info do site

• Verificar a data de registro, contatos dos administradores de domínio e o endereço registrado.


Fraudes – FinTechs – Adm do Domínio/site

• Suspeita no 1: data de registro do site


• Entretanto, vídeo do site informa que a empresa oferece os serviços há mais de 18 meses


• Suspeita no 2: Terceiro como administrador do domínio (contato primário)

• Serviços que oferecem garantia de privacidade para administradores de domínio:

– https://www.privacyguardian.org/• Endereço certamente é do provedor do serviço




Bolsa de Valores


Bolsa de Valores – Pump and Dump - boatos

• Inflar o valor ação de baixo valor e liquidez através de boatos disseminados via boatos, depois vender (“boiler room”)

• Brasil: fóruns online, sites de notícias “especializados”:

– ação X vai bombar ! – Está na hora de comprar Y ?


– Está na hora de comprar Y ?• GDKI (2006): 300%

• Simulação de resultados:– http://www.spamstocktracker.com/

Bolsa de Valores – Pump and Dump – GDKI 2006



• Inflar o valor da ação através de boatos disseminados via spam, depois vender



• Em 2007, a SEC suspendeu 35 companhias

• Depto de Justiça dos EUA processou grupo de 4 pessoas (declaradas culpadas) que tiveram lucro de $20 milhões inflando ações de 15 companhias


Pirâmides Financeiras


Pirâmides Financeiras, sites e fóruns fraudulentos

• Negócios imperdíveis ! Oportunidade única ! Retorno garantido ! Trabalhe de casa ! Sem esforço !

• Geralmente requerem um adiantamento (taxa de cadastro, fornecimento de kit de boas vindas)

– Quanto menor o valor de entrada e maior o


– Quanto menor o valor de entrada e maior o rendimento prometido, mais chance de capturar clientes

– Exemplos recentes : (omitido nos slides)

Verificações simples

• Situação na Receita Federal– http://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjrev

a_solicitacao.asp

• Endereço da sede• Há telefones disponíveis, emails de funcionários

(ou somente uma pessoa/email de contato) ?• Perfis no Linkedin, facebook, twitter ?


• Perfis no Linkedin, facebook, twitter ?• Verificar a data de registro do domínio Internet

e quem é o responsável por este– Who.is

• Consultar versões anteriores do site– http://www.screenshots.com/

– https://archive.org/web/

• Checar autenticidade de imagens selecionadas

Sites e fóruns fraudulentos

• Busque referências virtuais e presenciais

• Não execute operações financeiras ou tome decisões apressadamente

• Alguns casos de contra-ataque reportados– Objetivo: fazer o fraudador perder tempo


– Objetivo: fazer o fraudador perder tempo» Pedir ajuda, dizer que está em dificuldades

– Contra-ataque: envio de malware para o fraudador (eng. Social reversa)

Moedas Virtuais –Bitcoins e afins


Bitcoins e afins

Bitcoin – Visão Geral


• Moeda virtual baseada na tecnologia de blockchain• Livro-razão distribuído à prova de adulteração (criptografia)• Rede ponto a ponto, descentralizada, aberta, validam

transações financeiras (independe de autoridade central)

Bitcoin : Origem

• Artigo seminal por “Satoshi Nakamoto” (2008)https://bitcoin.org/bitcoin.pdf


Como e onde guardar Bitcoins ?

• Criação de uma carteira (wallet)– On-line (web)

– Desktop

– Mobile


– Papel

• Escolha depende do grau de segurança, gestão e usabilidade desejado

Software disponível em bitcoin.org e outros...

Bitcoin – “Casa da Moeda” - Mineração como negócio


Bitcoin - Fraudes

• Investimento, ganhos rápidos• Alta volatilidade da moeda• Fábricas de mineração


Bitcoin - Fraudes

• Pirâmide financeira• Taiwan (2016): ROI 250%, U$ 1.5 milhão (1000

investidores lesados) • CryptoDouble: 2233 BTC ($500 mil)• Bitcoin Savings and Trust: $ 40 milhões – SEC

(2011)• GemCoin: $32 milhões (2013) – SEC


• GemCoin: $32 milhões (2013) – SEC• GawMiners, ZenMiner (2014): SEC

– Venda de poder de mineração inexistente– $20 milhões: 10.000 investidores

Bitcoin - Fraudes

• Software malicioso:

• BitcoinWisdomAdRemover: extensão do Chrome que trocava QR codes do receptor para conta de terceiros

• LocalBitcoin (2015) app falso para Android na


• LocalBitcoin (2015) app falso para Android na GooglePlay, roubava bitcoins

Bitcoin - Fraudes

• Extorsão : ameaça de morte (Connecticut, 2014). Cartas distribuídas pela vizinhança.

You have until 12:00 PM on February 13, 2015 to pay us $2,000. If you do not comply with that simple demand, the following will happen: we will kill you, [recipient], or someone else to whom you are close. Or you can simply pay us the $2,000. To make the payment do the following.

1. Open an account at any online Bitcoin exchange, such as Bitstamp.net or Coinbase.com

2. Deposit $2,000 into that account. Do not wait until the last minute to do this. It will likely take you


2. Deposit $2,000 into that account. Do not wait until the last minute to do this. It will likely take you about a week to open an account, get it verified, and process the transaction.

3. Use the entire $2,000, minus whatever small fee the exchange charges, to purchase Bitcoins on the exchange. If you are unsure about the process of buying Bitcoins, Google it.

4. Withdrawal (sic) all Bitcoin you purchased to the following Bitcoin address:19vcdWcV4J8bhH7j3igHZ5q4WGT2UX5V2S

5. Be sure to type all 34 characters of that Bitcoin address in EXACTLY. It is case sensitive. The first character is a number “one”, NOT a lowercase “L”.

6. You are finished. Breath (sic) easy, and live your life in peace knowing you will never have to deal with us again.”

Bitcoin - Perdas

• Bolsas de troca (exchanges), sites

• Mt.Gox: maior e mais popular, $USD 368 milhões (aprox 6% dos bitcoins em circulação)

• Bitfinex (ago/16): $ 70 milhões– Queda de 20% no valor do Bitcoin

• Cryptsy (2016): $ 6 milhões


• Cryptsy (2016): $ 6 milhões• MyCoin (2015): $ 8 milhões – Hong Kong• Bitstamp (2015): $ 5 milhões• BitPay (2015): $3.5 milhões –phishing p/ CEO

Bitcoins – o que fazer ?

• Desconfie (com bom senso)– “Desconfiança é o farol do prudente” (W. Shakespeare)

– Peça confirmações adicionais por telefone/email

– Rentabilidade exagerada

– Taxas de transferência inexistentes

• Pesquise sobre bolsas e mecanismos de operação


• Pesquise sobre bolsas e mecanismos de operação– www.badbitcoin.org/thebadlist/– http://bitcoinscammer.com/

• Use somente software de fontes conhecidas

• Crie uma carteira física. Evite sites online como mecanismo de salvaguarda de bitcoins.

Vírus de Resgate (ransomware)Extorsão


Extorsão

Vírus de Resgate (Ransonware)

• Programa malicioso que criptografa os dados do usuário e pede valor de resgate para liberação da chave criptográfica


Vírus de Resgate (Ransonware) - CryptoWall


Vírus de Resgate (Ransonware) - CryptoWall


Vírus de Resgate (Ransonware) - TorLocker



• Método antigo, retorno recente (e efetivo):– CryptoLocker (2013): 200-250 mil computadores

(fonte: Dell Secure Works)

• ROI melhor do que cartão de crédito– CryptoWall: US$ 325 milhões em 2014

(fonte: Cyber Threat Alliance Report)

• Praticamente impossível recuperar os dados


– PowerWorm (2015): erro de programação (?)

• Solução:– Pagar ou não o resgate ? Polêmica: FBI, Governo– Restaurar o backup


• Indústrias afetadas - 2016


Redes Sociais, Arquivos em Nuvem

• Atenção com links para arquivos em nuvem ou redes sociais

– iCloud, DropBox, Google Drive– Malicious Google DoubleClick Advertisements Distributed Malware to Millions of Computers

http://feedproxy.google.com/~r/TheHackersNews/~3/r3oxycjuC3g/malicious-google-doubleclick.html

– Arquivos infectados em redes sociais


– Arquivos infectados em redes sociais– Win Apple's iPhone 6 For Free – A New Facebook Scam

http://feedproxy.google.com/~r/TheHackersNews/~3/1WLeiRr3VMw/win-apples-iphone-6-for-free-new.html

– Falsos botões de “like”

– Compartilhamento sobre localização, “check-ins”» PleaseRobMe.com (pessoas longe de casa)


• Alvos recentes: Instituições de Saúde EUA

– Hollywood Presbyterian Med Center (fev/16): » Valor inicial: $ 3 milhões ; pago:$17K» Parada total, desvio de 911 pacientes para outras

localidades


– Kentucky Methodist Hospital (mar/16)» 5 dias para recuperar. Resgate não pago.

– California: Chino Valley e Desert Valley– MedStar Maryland (mar/16)– Kansas Heart Hospital (apr/16):

» Exigiram mais dinheiro

Resumo de Boas Práticas


Boas práticas - Resumo

• Use a Internet de forma responsável e segura, reduzindo riscos. Reflita antes de clicar !

– Na dúvida, ignore e apague !

• Faça backup regularmente

• Use um antivírus, porém não confie a 100%


• Use um antivírus, porém não confie a 100%

• Mantenha o software do seu computador atualizado

• Analise o risco de armazenar informações sensíveis (senhas, docs restritos etc.) em sites/serviços de terceiros (i.e. nuvem)


• “Não aceite presentes de estranhos”

• Desconfie de quem “descobriu” e “compartilha” ganhos altos, rápidos e sem risco

– Procure referências reais sobre a empresa/consultor

• Evite usar redes WiFi desconhecidas e, caso as


• Evite usar redes WiFi desconhecidas e, caso as utilize, não realize operações sensíveis

• Faça download de software de locais confiáveis

• Evite utilizar seu email principal para cadastro em sites

– Você estará propenso a receber muito mais spam


• NUNCA reutilize sua senha em sites diferentes– Se o site/serviço for comprometido, sua senha em

todos os outros serviços também será, afinal você não usa a mesma chave para todas as suas portas

– Diversos casos de vazamento de senhas

– Trate sua senha como sua escova de dentes (não compartilhe e troque-a regularmente)


Prevenção de Fraudes Financeiras na Internet

Luciano Porto BarretoLuciano Porto [email protected]

Superintendência de Informática (SSI)13/10/2016

Documents

Prevenção de Fraudes Financeiras na Internet-out-16-web · planted-by-hackers.html ... • Situação na Receita Federal –