Proponha uma correção, faça uma sugestão
Paypal sofre um ataque sofisticado de phishing
Nada nem ninguém está seguro no mundo da tecnologia. É uma verdade absoluta e as empresas que gravitam em torno do comércio electrónico têm essa ideia bem presente.
Segundo o site The Inquirer com base em informações do US-CERT - US Computer Emergency Readiness Team , o serviço de pagamentos online Paypal foi vítima de uma ataque de phishing com contornos sofisticados usando técnicas pouco usadas até hoje.
O Phihing é um dos ataques mais comuns na Internet e nos últimos tempos têm aparecido algumas variantes do mesmo como é o caso do Tabnabbing e agora este o ataque que comprometeu o serviço Paypal.
O que é o Phishing?
O “Phishing” é uma vigarice que utiliza SPAM ou mensagens de pop-up para ludibriar pessoas no sentido de revelarem números de cartões de crédito, informação de contas bancárias, números de segurança social, passwords e outro tipo de informação confidencial ou sensível.
Basicamente o utilizador recebe um e-mail supostamente de uma entidade credível, mas que na verdade o reencaminha (através de um URL/link ou) para um site com um design igual mas que na verdade é apenas uma cópia do original, levando o utilizador a colocar dados pessoais e a ser enganado. O utilizador recebe normalmente uma informação a referir que os dados estão errados, mas na verdade o dados já estão do lado do atacante. Técnicas como DNS Poisoning (manipulação de entradas no DNS) são também bastante usadas neste tipo de ataques.
Phishing e o serviço Paypal
Relativamente ao último ataque realizado ao serviço Paypal, o principio é idêntico ao de um ataque de phishing “tradicional”. É enviado um e-mail , só que neste caso o e-mail trazia um anexo em HTML com código malicioso. Em vez do utilizador ser redireccionado para uma página online, o site passa a ficar alojado localmente na máquina do cliente, sendo assim difícil a detecção por parte dos mecanismos implementados pela maioria dos browsers actuais.
Quando um utilizador mais desatento abre o anexo html (que é a réplica falsa do site em questão), insere as suas credenciais e carrega no botão de envio, a informação é enviada (via método POST) para um servidor web remoto que é responsável por processar os dados do utilizador enviados via formulário HTML.
As credenciais obtidas podes ser usadas para realizar por exemplo operações não autorizadas, roubo e transferência de plafond. Além disso, este tipo de informação vale sempre dinheiro no “mercado” do crime.
Recomendações do CERT.PT
O CERT.PT, que tem como missão contribuir para o esforço de ciber-segurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal o utilizador deve seguir as seguintes dicas:
- Se receber um email ou pop-up que lhe peça informação pessoal ou financeira, não responda ou clique no link da mensagem. Empresas legítimas não pedem este tipo de informação por email. Se está preocupado com a sua conta, contacte a organização (alegada autora da mensagem) utilizando um número de telefone que sabe ser genuíno ou abra uma nova sessão num Internet browser e aceda ao endereço correcto da empresa. Em qualquer caso, não copie o link da mensagem.
- Não envie informações pessoais ou financeiras por email. O email não é um método seguro para transmissão de informações pessoais. Se iniciou uma transacção através de um website e deseja fornecer dados pessoais ou financeiros através desse site, procure indicadores de que esse site é seguro, tal como um ícone de um cadeado na barra de status do browser ou um URL que comece com “https:” (o “s” significa “secure“). Infelizmente, nenhum indicador é à prova de falhas; alguns “phishers” já falsificaram ícones de segurança.
- Reveja regularmente os extractos do seu cartão de crédito e contas bancárias para determinar se há débitos indevidos. De preferência, verifique-os assim que os recebe. Se estes extractos se atrasarem mais do que um par de dias, telefone para o seu banco e solicite essa informação.
- Use software anti-vírus e mantenha-o actualizado. Alguns emails de “phishing” contêm software que pode causar danos no seu computador ou monitorizar as suas actividades na Internet sem o seu conhecimento. Software anti-vírus e uma firewallsoftware anti-vírus verifica comunicações recebidas, procurando detectar ficheiros problemáticos. Uma firewall ajuda a torná-lo invisível na Internet e bloqueia todas as comunicações de fontes não autorizadas. É particularmente importante ter uma firewall se tem uma ligação de banda larga. Além de tudo isto, o seu sistema operativo (tal como Windows ou Linux) pode disponibilizar “patches” gratuitos de softwarehackers ou phishers poderiam explorar.
- Seja cuidadoso no que respeita a abrir qualquer anexo ou descarregar quaisquer ficheiros a partir de emails que receba, independentemente do remetente.
No caso de ser vítima de Phishing, Tabnabbing ou outro tipo de ataque, não hesite em participar o incidente no site do cert.pt
Artigos relacionados
Este artigo tem mais de um ano
Loading ...
Hoje em dia ainda há pessoas que não sabem “navegar” na Internet.
Um “truque” bem básico passa por colocar o ponteiro do rato em cima do link/url e na parte inferior do lado esquerdo do browser irá aparecer o destino para onde se irá…
nem mais ^_^’
Já para não falar de que a maioria dos serviços não pergunta as credenciais de login muito menos as coordenadas dos cartões de segurança!
As pessoas estão mal instruídas, e contra isso ainda não existe cura.
Precisamente (também) para isso, é que existem estes blogues. Ninguém sabe tudo, mas aprendemos sempre com quem sabe mais do que nós.
“As pessoas estão mal instruídas, e contra isso ainda não existe cura”, parece-me um comentário despropositado, grosseiro e arrogante (refiro-me ao comentário, naturalmente). E escusado, já agora.
“As pessoas estão mal instruídas, e contra isso ainda não existe cura”
Sou totalmente de acordo! as pessoas são burras na sua maioria porque querem!
utilizar sempre bookmarks. penso que dessa forma não há perigo de errar no link.
E se quiseres ser ainda mais minucioso, nunca metes a pw certa bem à primeira!
Se introduzires a pw errada e o site a aceitar, então é porque é de certeza phishing!
Claro que pode recusar a pw e continuar a ser phishing, mas de qualquer das formas já se exclui uma das possibilidades..
cumps!
É bem pensada essa, vou começar a dar essa dica.
ISTO DE SE NAO NO CRHOME.
!?!!!?!?
ESTE DE NÃO COMPREENDER O POST
É fanboyismo extremo. Afectou-lhe a cabeça de tal forma. Coitado!
Eu conheço uma pessoa que trabalha na Direcção de Sistemas de Informação de uma grande empresa e ao receber um e-mail de phising, colocou por 3 vezes, sim, 3 vezes, a totalidade dos códigos do cartão matriz da Caixa Directa Online, num falso formulário, de uma falsa página de online banking. Apenas por pura sorte, não conseguiram roubar-lhe um único centimo mas, lá que ele se pôs a jeito, pôs.
…Trabalha na Direcção de Sistemas de Informação e fez isso???
E vota, claro. Por isso é que o país está assim.
E temos por aqui, no dito departamento, pessoas capazes de fazer coisas ainda piores, acredites ou não.
Era de esperar que a população geral já tivesse uma ideia minimamente decente no que toca à navegação na internet. Um anexo em html? Srsly?
O que vem a seguir? Um e-mail com um texto convincente o suficiente para entregarmos deliberadamente dinheiro? Oh wait, já existem…
Pois mas é algo que está bem longe de acontecer…vejo os meus clientes e as minhas colegas a fazerem com cada disparate, que nem sei… clicam em tudo o que vêem, é só seguinte seguinte seguinte nem se dão ao trabalho de ler.
Querem é que o computador seja rápido, o resto não interessa. Como lá chegam não interessa, o que interessa é que chegaram!
Sabendo essas pessoas que existe o http://www.google.com, porque raio não pesquisam sobre os assuntos?!
Ou perguntam a quem sabe?!
Irra
O meu concelho para comprar seguro online é tão simples quanto isto usem o MBNET!
obviamente não á nada 100% seguro ^_^’
*conselho ^_^’
*não há nada ^_^’
é mais seguro o paypal… se fores roubado o paypal tem seguro e funciona rápido.. o teu banco tb tem seguro para este tipo de azares… mas demora lol
Já fiz centenas de transacções por paypal, antigamente por MBNET porque não tinha cartão de crédito, agora com cartão de crédito, plafond baixo claro, e nunca tive problema nenhum, pelo contrário já fui recercido de uma encomenda que não chegou, agora o phishing ataca qualquer entidade, entãao na CGD já é pior que SPAM…LOL.
Mas também sou de acordo que, tal como a CGD faz, apareçam avisos do tamanho de camiões no inicio das páginas, pelo menos ai só cai mesmo quem quer…
Cumprimentos.
Deixo aqui o meu conselho a todos:
NUNCA PONHAM MUITO DINHEIRO NO PAYYPAL.
Em meados de 2007/2008 roubaram-me 50€.
Tinha 50€ na conta, e comecei a usar MBnet para pagar através do paypal.
Fui suspenso por registar 8 cartões desses numa semana (por ser considerado burla ou algo assim). O aviso dizia que a suspensão ia durar uns 6 meses.
Mandei montes de e-mails (ainda os devo ter na caixa de correio) a explicar o que era o serviço MBnet. Só me respondiam que nada podiam fazer e que a conta me ia ser restabelecida em 6 meses.
Desisti e esperei. Quando ma devolveram, estava tudo a BRANCO, eu que até tinha a conta premium, comprovada e confirmada por uma conta minha fixa, tinha perdido isso tudo, estava tudo a zero, saldo, registo de movimentos, TUDO!!!
Mandei-lhes mails e eles só respondiam que se eu não tinha lá o registo dos movimentos, então é porque não tinha lá dinheiro!!!!
O meu maior azar é que o dinheiro que lá tinha, veio pela net, porque se viesse do meu banco utilizava o registo de transferência como prova…
Claro que não valeu a pena lutar mais, eles apagaram as provas todas, muito mais que isso, eles têm o dinheiro, logo têm os melhores advogados.
Conclusão: Paypal == corruptos, a experiência que eu passei confirma isso, por isso tentem evitar a todo o custo usar Paypal.
Acrescento que, se o maior problema do paypal fosse o phishing andávamos nós bem…
Por cada transacção do MBnet sai-te um número novo de CC. O Paypal entende isso como algum tipo de burla, sim. Embora não o sendo, eles agem em conformidade para proteger todo o sistema.
Não tem nada a ver com corrupção. :S
Claro que não. Quando a policia te reboca o carro e o vais buscar, se ele te for devolvido sem rodas ou com o deposito seco, não é corrupção, é apenas para garantir a protecção da sociedade.
Repara que o que ta mesmo em questão é terem tirado o dinheiro. No que é que devolver-me a mesma conta, 6 meses depois, mas sem dinheiro, os vai proteger?
Llo0l0o0lo0l não é corrupção… enfim.
Corrupção não é bem, pode é ser roubo (vê lá o que é corrupção porque já se viu que não sabes.)
Alem disso, eles sabem perfeitamente o que é o MBnet por isso nem me venham com m*rdas.
Depois dizem que com mail se resolve tudo. Pois resolve, eu já vi um gajo na mesma situação que eu, em que “des-suspenderam” a conta dele, mas sabes quanto saldo tinha ele lá? 0,00€. Não tinham nada a lucrar com ele.
Factos são factos, não podes nega-los. Joga pelo seguro.
Amigo, pelo que passaste, já eu passei também, excepto que eu não fiquei sem os € que lá tinha. Liguei directamente para o apoio a clientes e falei com eles (na altura tinha que ser em inglês pois não tinham suporte técnico em tuga. Agora não sei se já há)
Resumindo. Devolveram-me a conta com tudo direitinho.
Também liguei, atendeu-me um tipo cujo inglês mais parecia russo, mas lá desenrasquei. Ele só me sabia dizer que a conta era nova, e que não tinha registos de alguma vez ter lá tido dinheiro.
No entanto na altura tinha passado por lá já mais de 1000 USD através do trabalho que exercia na altura como freelancer.
Não pude defender-me,tiraram-me as armas todas.
Não foi a paypal que sofre o ataque, foi usada a Paypal para fazer um ataque.
Vou copiar integralmente o vosso artigo com um link para a vossa página, penso que o melhor é o máximo de pessoas ficarem informadas.
Se por algum motivo estou a agir de forma errada, ou não querem que copie este artigo, por favor avisem-me que retiro de imediato.
Obrigado.
O problema é que a tecnologia é demasiado abrangente, e quando se trata de assuntos como este, utilizadores com poucos conhecimentos são facilmente enganados.
Não sei como se poderia contornar esta questão, mas penso que obrigando os utilizadores a fazer uma prova de conhecimentos básicos antes de ser facultado um serviço com paypal ou home-banking evitaria muitos problemas.
Abraço
As vezes até podemos perceber muito destas tecnologias, mas basta estarmos com muita pressa, ou então puramente distraídos pelo facto de usar estes serviços ser uma ”banalidade” para nós que nem nos apercebemos de certos detalhes que podem evitar estas situações.
@ Ricardo: Ja k é tao conhecedor diga lá como fazia prova em como houveram pagamentos por exemplo no valor de 100€ para a sua conta paypal e tendo sido eles todos trasnferidos por pagamentos online (neste caso voce nao teria o registo bancario das transferencia pois eram pagamentos feitos online directos p sua conta paypal e neste caso tambem nao tinha feito nenhum printscreen ou coisa do genero) Diga lá entao como procederia?
Não sei como deduziu que eu era uma pessoa muito conhecedora, mas fico contente por isso… Lol!
Talvez me tenha explicado mal, mas a opinião que expressei foi no sentido de cada utilizador ter que fazer um “exame de competências básicas de segurança” antes de lhe serem disponibilizados serviços que possam comprometer a sua segurança pessoal e ou os seus bens.
Se ainda tiveres os antigos contactos dessas pessoas, creio que deve ser possível aceder aos seus registos, a não ser que os tenham apagado também.
Ups… era aqui…
O problema é que a tecnologia é demasiado abrangente, e quando se trata de assuntos como este, utilizadores com poucos conhecimentos são facilmente enganados.
Não sei como se poderia contornar esta questão, mas penso que obrigando os utilizadores a fazer uma prova de conhecimentos básicos antes de ser facultado um serviço com paypal ou home-banking evitaria muitos problemas.
Abraço
Só que depois lá vem o eterno problema.
Fazem seguinte seguinte e toca a andar…
(…) “exame de competências básicas de segurança” (…)
Plenamente de acordo! E mais: os compradores de calções de banho devem ser submetidos a exame de competências básicas de natação, para ver se paramos com as mortes por afogamento, principalmente agora, que o verão está aí.
Mas acho que uma boa anedota, ou um certo espírito de humor, ficam sempre bem.
Sim e uma anedota como tu também poderia ter ficado quieta com os dedos em vez de ter escrito essa porcaria de comparação!
Alguém alguma vez lê os termos de responsabilidade quando se regista no facebook por exemplo? Claro que não!
Colocam o “certo” dentro do quadrado e toca a andar…mas se o lessem ficariam a saber que aceitaram que o mesmo facebook pode fazer o que quiser com os dados dessas mesmas pessoas…elas sabem disso? Não…quando apagam o perfil ele é apagado? Pois tá claro que não…
Os esquemas de phishing que recebo no mail que mantenho para esse propósito (hotmail), são tanto quanto tenho observado demasiado basicos. E a questão da pressa, nos que eu tenho visto n joga a favor deles, pelo contrário exigem normalmente algum tempo…
Mas se eles chegarem a um nivel fdd… Tipo descarregar esse html para o pc e depois qnd acederes ao site do paypal, reencaminhar para esse ficheiro que tens no pc, e esse ser exactamente igual ao legitimo…
Pode vir a ser um problema sério se chegarem a um nível pro…
Só faltou meterem a data, se faz favor.
Os chineses estão a ficar cada vez melhores, o povo não previne-se depois da nisto.
O paypal é um dos sites mais seguros do planeta,em termos de transferência de dinheiro,não sei se usam https em todas as paginas mas deviam, mas sendo USA, não devem ter bloqueado as redes socias no proxy depois da nisto.
Curiosamente, o WOT costuma alertar para o “phishing”. Há dias, recebi um “alerta” de que a minha conta no Santander iria caducar, se não reconfirmasse os dados pessoais. Como nem tenho conta no Santander, fiquei à vontade e tentei entrar no “site”. Nem pó! Quer o WOT quer o Malwarebytes começaram logo a “tocar campainhas” por tudo quanto era lado.
a maneira mais fácil de verificar a veridicidade de um site, é pelo HTTPS, o próprio site, ao pé do login, devia ter uma mensagem a dizer para as pessoas verificarem se estão a fazer login em HTTPS.
“…usando técnicas pouco usadas até hoje.”
Ja agora dps de todos estes comentários de queixas que o paypal ja vos roubou, o k nao me admira, aki vai uma conspiraçao; e se kem fez esse eskema pishing foram os do proprio Paypal visto nao serem gente seria?
vejam estes sites de avisos:
http://www.paypalwarning.com/
http://www.paypalsucks.com/
Os site que refere também são algo suspeitos: na verdade, acabam por dizer qualquer coisa como “a mercearia do Antunes não presta, a minha é que é boa”.
De qualquer modo, há uma coisa que está a causar-me confusão: ter uma conta no PayPal?? O que é isso?
Eu uso o Paypal quando tenho e fazer uma compra online. Dentre as várias formas d pagamento, escolho, invariavelmente, o PayPal. Não estoua ver como é que eles vão “cancelar a minha conta” ou “congelar o meu dinheiro”.
Mas e alguém puder fazer o favor de me explicar, fico grato.
É possivel usar o Paypal sem ter conta, mas a maioria das pessoas usa o Paypal como se fosse uma cotna bancária. Transfere-se dinheiro para lá, e pagam-se coisas. Ou então vendem-se coisas, recebe-se o dinheiro no Paypal, depois transfere-se para o nosso banco IRL.
Obrigado, amigo. Era essa a explicação que me faltava. Não sabia, sinceramente.
Desculpem a minha ingenuidade na materia pois nao gosto de mostrar que sei. Vou lendo um artigo aqui outro acola e vaisse aprendendo. Nao e a primeira vez que leio sobre ataques phising sofisticados e quando vamos ler para perceber ao promenor reparo que de sofisticado nao tem nada. Portanto e cito outra fonte um ataque phising sofisticado usa varias tecnicas. 1email spoof, 2 xss do site em causa, etc (ficaram com a minha opiniao tenham uma boa tarde. ..
Continuando, ja no ano passado estudei o paypal e caso eles nao tenham mudado muito desde entao e possivel usar o proprio servico do paypal para descobrir os clientes e usar email phising directamente nos clientes logo nao a falhas no sentido de mandar um email camuflado para um desconhecido. estimado 90% de taxa de sucesso.
Mas Quem sou eu? Os nerds, geeks, cromos ou experts sao voces e eu tive que andar isto tudo para ter internet a borla…
s com o alvo os clientes logo facil.
No seguimento de varias queixas aqui descritas, quero dizer que a minha experiencia com paypal é muito positiva, por perto de uma dezena de vezes me devolveram dinheiro de compras problemáticas no ebay.
Sempre que cumpri as regras eles tambem cumpriram as suas permissas.
Eu utilizo o MBnet e o paypal (ao mesmo tempo) lol
Dá um pouco mais trabalho, mas assim tenho sempre registo das transações no paypal e o cartao de credito esse nao uso para nada.
No geral paypal é seguro, usando paypal + mbnet + tranfs bancaria optimo 🙂
envia-se dinheiro para efectuar pagamentos por transferencia bancaria 100% seguro e de borla (é para uma conta nacional e demora uns 4 dias) e pode-se mandar do paypal para o nosso banco tb de borla e demora tb uns 4 dias…
uso paypal é muito tempo.. muitos euros e dolares gasto e ganho por mes e nunca tive qualquer problema com eles que não se resolvesse com 2 ou 3 emails..
Usaram o mbnet + de 15 vezes com codigos de cartoes virtuais diferentes e nao vos fizeram nada?
Todos nos somos vulneraveis seus bandos de jumento
qualquer ataque pode ser efetivo.
o melhor jeito de prender uma pessoa , é fazer pensar que ela estar livre