Recebeu alguma tecnologia como uma unidade USB pelo correio? Por mais tentador que seja, não o use: pode ser um malware ou uma farsa.
Todo mundo gosta de coisas grátis - especialmente tecnologia útil que fará a diferença em sua vida ou cartões-presente que você pode gastar em outros gadgets que desejar. Mas a tecnologia nem sempre é o que parece e pode ser parte de um plano astuto para colocar malware em sua rede.
Quem envia gadgets gratuitos e por quê?
Existem algumas razões pelas quais empresas e indivíduos enviam hardware gratuito não solicitado. Se você é um escritor de tecnologia, por exemplo, não é incomum que os fornecedores tentem obter publicidade gratuita para seu dispositivo mais recente. Estes geralmente seriam enviados para a casa do revisor mediante acordo prévio.
Seria altamente incomum e suspeito que uma nova peça de hardware chegasse a um endereço doméstico sem acordo prévio.
Outra possibilidade é que o item venha de vendedores da Amazon que criaram uma conta usando seus dados e compraram o gadget de forma fraudulenta em seu nome. Isso é conhecido
como um golpe de escovação, e permite que os fornecedores escrevam análises verificadas valiosas para produtos de qualidade questionável. É uma técnica de marketing bastante inofensiva e, além de causar confusão e talvez suspeita em o destinatário, o único perigo real é que os clientes genuínos possam ser induzidos a comprar produtos de baixa qualidade bens.A terceira possibilidade é que você tenha sido um alvo deliberado e que seu novo dispositivo brilhante seja um ladrão de dados cheio de malware.
Não use nenhum eletrônico que você não comprou para si mesmo
Embora possa parecer absurdo que os criminosos lhe enviem eletrônicos legais para exfiltrar dados, isso acontece.
Se você será alvo ou não, dependerá do seu acesso às informações que os criminosos desejam. Se você estiver associado ao governo, às forças armadas, à polícia ou a outras instituições públicas, provavelmente terá acesso a sistemas restritos. Os criminosos querem esse acesso para roubar dados ou realizar ataques de ransomware.
Em junho de 2023, o Divisão de Investigação Criminal do Exército dos EUA lançou um panfleto de aviso, relatando que os membros do serviço militar receberam smartwatches não solicitados.
Os relógios não eram especialmente caros, mas tinham vários recursos premium que os tornariam um acessório atraente para soldados preocupados com a saúde e o condicionamento físico. Isso incluía monitoramento de frequência cardíaca e pressão arterial, estojo à prova d'água, contador de passos e pulseiras coloridas em tamanhos para homens e mulheres.
De acordo com o CID do Exército, os relógios também continham malware que “acessam voz e câmeras, permitindo que os atores acessem conversas e contas vinculadas aos smartwatches”.
O flyer alertou ainda que os relógios eram equipados com tecnologia avançada que se conectava automaticamente ao Wi-Fi e “começava a se conectar ao celular”. telefones sem solicitação, obtendo acesso a uma miríade de dados do usuário." Essa capacidade sugere um nível de sofisticação muito acima do disponível para usuários comuns. criminosos. Enquanto bluejacking de uma conexão Bluetooth para um telefone é uma técnica bem estabelecida, é surpreendente que esses dispositivos pequenos e aparentemente baratos tenham sido equipados com hardware que também pode usar força bruta ou penetrar em uma rede sem fio militar.
Os soldados que receberam esses relógios inteligentes foram avisados para não ligá-los e, em vez disso, "relatar à contra-espionagem ou ao gerente de segurança".
Desde pelo menos 2015, o grupo de ameaça persistente avançada Fin7 do Leste Europeu tem como alvo trabalhadores nos setores de varejo, restaurantes, jogos e hospitalidade dos EUA, de acordo com o Departamento de Justiça dos Estados Unidos, representando organizações legítimas, como o Departamento de Saúde, Serviços Humanos, Amazon e Best Buy.
Usando o USPS, Fin7 envia cartões-presente genuínos de $ 50 para vítimas em potencial junto com um pendrive supostamente contendo sugestões de produtos para comprar.
Esses pendrives não eram o que pareciam: continham malware projetado para roubar dados de redes corporativas e implantar ransomware. De acordo com HackRead, versões posteriores também continham um microcontrolador Arduino, programado para atuar como um teclado.
Mesmo dispositivos aparentemente legítimos podem conter malware
Embora os dispositivos não solicitados certamente devam soar os alarmes se chegarem à sua caixa de correio, os criminosos às vezes podem obter acesso a dispositivos USB no início da cadeia de suprimentos. Existem inúmeros relatos de que isso aconteceu em várias ocasiões.
Em 2018, Hackread relatou que a mídia removível USB fornecida com o Schneider Electric Conext Combox e a bateria Conext Os produtos do monitor podem conter malware adicionado "durante a fabricação em um fornecedor terceirizado instalação".
Em 2006, o MacDonalds Japan ofereceu 10.000 MP3 players como prêmios. Conforme relatado por O registro, os dispositivos continham 10 faixas de MP3, juntamente com um Trojan de spyware QQpass. Quando os usuários conectavam os MP3 players aos seus PCs domésticos para gerenciar e transferir sua coleção de músicas, senhas e outras informações confidenciais foram transmitidas aos criminosos.
Tome Precauções Contra Malware em Dispositivos
Infelizmente, é impossível confiar 100% em qualquer coisa que você possua. Dispositivos USB podem ser contaminados com malware em qualquer estágio durante a fabricação e distribuição processo, enquanto o pessoal do exército foi exposto a malware smartwatch tão avançado, parece quase como Magia.
A melhor coisa que você pode fazer para se manter seguro é certificar-se de que você tem um profissional competente e atualizado antivírus no seu PC, jogue a tecnologia não solicitada no lixo e use apenas dispositivos USB novos e lacrados.