|
CEO vítimas de burla com intimações legais falsas
|
|
|
|
|
09-05-2008 01:00:00 |
|
Milhares de CEO foram vítimas de uma burla por correio electrónico, com uma mensagem disfarçada de intimação judicial. A mensagem dizia que os gestores tinham sido processados, e fornecia uma hiperligação para, aparentemente, descarregarem os documentos judiciais do processo.
As vítimas, porém, eram conduzidas a uma página Web ilegítima, onde lhes era dito ser necessário plug-ins no browser para visualizar os documentos. Com esse software, os criminosos obtinham acesso aos computadores das vítimas – um tipo de ataque normalmente designado por “spear-phishing”, uma variação do phishing. Ambos os tipos de ataque utilizam mensagens de correio electrónico falsas para atrair as vítimas a páginas Web nocivas; mas o “spear-phishing procura tornar as mensagens mais credíveis ao incluir nelas informações personalizadas para a vítima.
A divisão iDefense da Verisign já detectou mais de 1800 vítimas deste ataque. De acordo com Matt Richard, “este é provavelmente um dos maiores ataques de “spear-phishing” já feitos, pelo menos no que concerne à quantidade de afectados”. Já John Bambenek, investigador de segurança da Universidade de Illinois e voluntário do Internet Storm Center, considera que relevante neste caso não foi o malware em si, mas a forma como o ataque foi executado. “Enviar as mensagens para CEO foi uma manobra inteligente”, afirma. “Para quem não esteja familiarizado com documentos legais, é fácil deixar-se enganar. Quando vêem uma intimação judicial assustam-se, e seguem links que não deviam”.
A mensagem redireccionava as vítimas para uma página Web muito similar a um domínio governamental legítimo, utilizado pelos tribunais da Califórnia. O malware utilizado não foi ainda identificado pelas principais empresas de anti-vírus, apesar de estas estarem a actualizar o seu software para o detectarem. |
O criador do núcleo do sistema operativo Linux confessa estar farto do “circo” gerado em torno das vulnerabilidades de software, e o exagero com o qual têm sido abordadas, pelo fabricantes, especialmente do ponto de vista da divulgação. O programador que desenvolveu o núcleo do sistema operativo Linux, Linus Torvalds, manifestou-se, num blog, a respeito da abordagem dos fabricantes e técnicos de software de segurança, e o exagero com que divulgam as vulnerabilidades. Não só pela linguagem e alusões com que o técnico se dirigiu à referida comunidade, as palavras do inventor causaram incómodo na indústria das TI. Torvalds diz-se farto do “circo” que se desenvolve à volta das vulnerabilidades e segurança do software.