segunda-feira, 28 de março de 2016

PHISHING

Phishing é uma técnica de fraude online, utilizada por criminosos no mundo da informática para roubar senhas de banco e demais informações pessoais, usando-as de maneira fraudulenta.
A expressão phishing (pronuncia-se "fichin") surgiu a partir da palavra em inglês "fishing", que significa "pescando". Ou seja, os criminosos utilizam esta técnica para "pescar" os dados das vítimas que "mordem o anzol" lançado pelo phisher ("pescador"), nome que é dado a quem executa um phishing.
Uma tentativa de phishing pode acontecer através de websites ou e-mails falsos, que imitam a imagem de uma empresa famosa e confiável para poder chamar a atenção das vítimas. Normalmente, os conteúdos dos sites ou e-mails com phishing prometem promoções extravagantes para o internauta ou solicitam para façam uma atualização dos seus dados bancários, evitando o cancelamento da conta, por exemplo.
O internauta mais desatento e desinformado, quando cai nessa armadilha, é redirecionado para uma página na web semelhente ao da empresa ou banco original, onde deverá informar os seus dados pessoais e bancários. A vítima pensa estar apenas confirmando as suas informações junto ao banco, quando na verdade está enviando todos os dados para um criminoso.
O objetivo do phishing é utilizar os dados coletados pelos criminosos para realizar compras pela internet, transferências bancárias ou mesmo limpar toda a conta bancária da vítima.
Muitas empresas, atualmente, desenvolvem softwares antiphishing, que oferecem filtros mais eficientes de correio spam e notificações sobre qualquer tipo de suspeita de irregularidade no conteúdo do correio eletrônico.

Phishing e Pharming

pharming (pronuncia-se "farmin") é considerado uma "evolução" do phishing, contendo o mesmo objetivo de obter informações pessoas das vítimas, mas sem a necessidade de "pescar" o internauta com um e-mail ou link falso.

Phishing e Malware

Os criminosos se aproveitam dos malwares e vírus que andam espalhados pela internet para poder infectar e modificar o browser(navegador de internet) do computador do usuário. Estando infectado, quando o internauta digita o endereço eletrônico de um site, o navegador redireciona a página para um site falso, mas com as mesmas características estéticas do original.
O internauta pensa que está no website correto, já que não clicou em nenhum link estranho e digitou o endereço diretamente na URL do browser, e acaba fornecendo os seus dados bancários e pessoais mais facilmente, sem desconfiar que está sofrendo um golpe.

Spear phishing

spear phishing (traduzido literalmente do inglês como "pesca com arpão"), é uma variante mais eficaz do phishing, onde os phishers conseguem determinar quais os usuários que possuem relação com determinada entidade financeira.
Desse modo, os e-mails são enviados de maneira "personalizada", aumentando consideravelmente a margem de êxito da fraude.Em computação, phishing, termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pessoais. O ato consiste em um fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma comunicação eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem instantânea, SMS, entre outros. Como o nome propõe (Phishing), é uma tentativa de um fraudador tentar "pescar" informações pessoais de usuários desavisados ou inexperientes. Segundo uma pesquisa da multinacional americana Intel, 97% dos internautas de todo o mundo não sabem identificar um ataque de phishing. O teste foi realizado através de um e-mail enviado com conteúdo malicioso e apenas 3% dos usuários identificaram a fraude. [1]

Tipos de ataques de Phishing Scam[editar | editar código-fonte]

Um Phishing pode ser realizado de diversas maneiras. As mais comuns são:

Ataque ao Servidor DNS[editar | editar código-fonte]

Ataque baseado na técnica "DNS cache poisoning", ou envenenamento de cache DNS, que consiste em corromper o DNS (Sistema de nomes de domínio) em uma rede de computadores, fazendo com que a URL (localizador uniforme de recursos ou endereço www) de um site passe a apontar para um servidor diferente do original. Ao digitar a URL(endereço) do site que deseja acessar, um banco por exemplo, o servidor DNS converte o endereço em um número IP, correspondente ao do servidor do banco. Se o servidor DNS estiver vulnerável a um ataque de Pharming, o endereço poderá apontar para uma página falsa hospedada em outro servidor com outro endereço IP, que esteja sob controle de um golpista.

URLs Falsas[editar | editar código-fonte]

Uma outra maneira é a criação de URLs extensas que dificultam a identificação por parte do usuário. Um exemplo simples pode ser: secure.nomedoseubanco.com.br/internetbanking/eud=651656JFYDHJJUHGRedirectto:maisalgumacoisa.dominiofalso.com Onde o usuário pode diretamente olhar o início da URL e acreditar que está na região segura do site do seu banco, enquanto que na verdade está em um subdomínio do website dominiofalso.com.

Formulários HTML Falsos em E-mails[editar | editar código-fonte]

Outra técnica menos frequente é a utilização de formulários em emails com formatação HTML. Com isso, um usuário incauto pode diretamente no seu email incluir as informações requeridas pelo atacante, e com isso, esse não precisa se preocupar com a clonagem da interface do banco.
As buscas por essas informações sensíveis crescem com o aumento da possibilidade de realizar as mais diversas tarefas no conforto do lar. Isso pode trazer a uma grande massa de internautas uma ilusória sensação de segurança. Diz-se ilusória pois, uma vez que a internet é uma tendência globalizada, não menos do que esperada é a presença de criminosos.
Aproveitando-se da desatenção de certos usuários, indivíduos maliciosos desenvolvem e põem em prática métodos cada vez mais sofisticados para cometer ações ilícitas, entre eles, a oferenda de bens, montantes exorbitantes e negócios potencialmente irrecusáveis. Alguns destes métodos, contudo, se destacam por sua eficácia e rendimento, e dentre estes, podemos citar, certamente, o ataque de Phishing Scam.

Um breve histórico[editar | editar código-fonte]

O termo Phishing é relativamente novo, e sua criação data de meados de 1996, por crackers que praticavam roubo de contas da America Online (AOL), fraudando senhas de usuários. Sua primeira menção pública ocorreu no grupo blackhat alt.2600, em 28 de Janeiro do mesmo ano de sua criação, feita pelo usuário mk590, que dizia:
"O que acontece é que antigamente, podia-se fazer uma conta falsa na AOL, uma vez que se tivesse um gerador de cartões de crédito. Porém, a AOL foi esperta. Agora, após digitar-se os dados do cartão, é feita uma verificação com o respectivo banco. Alguém mais conhece outra maneira de adquirir uma conta que não seja através de Phishing?"
Apenas um ano depois, em 1997, o termo foi citado na mídia. Neste mesmo ano, os phishs (contas hackeadas) já eram utilizados como moeda no mundo hacker, e podia-se facilmente trocar 10 phishs da AOL por uma parte de um software malicioso. O Phishing, antigamente utilizado para roubar contas de usuários da America Online, hoje tem aplicações muito maiores e obscuras, como por exemplo, o roubo de dinheiro de contas bancárias.

Tipos de mensagens eletrônicas utilizadas[editar | editar código-fonte]

Email[editar | editar código-fonte]

Um estelionatário envia e-mails falsos forjando a identidade de entidades populares consideradas confiáveis, tais como sites de entretenimento, bancos, empresas de cartão de crédito, lojas, órgãos governamentais etc.[2] Geralmente, as mensagens são enviadas para milhões de endereços de e-mail que foram previamente coletados na Internet. A entrega dos e-mails, normalmente, é feita por computadores que estão sob o controle de pessoas mal intencionadas e incluem principalmente servidores de e-mail mal configurados e computadores com conexão banda larga infectados com cavalos de tróia propositadamente desenvolvidos para permitir o envio de e-mail em massa.

Spear Phishing[editar | editar código-fonte]

Spear Phishing traduz-se como um ataque de Phishing altamente localizado. É um tipo de ataque que exige toda uma etapa de minuciosa pesquisa por parte dos atacantes, além de muita paciência. Correlacionando ao nome “Phishing”, sua denominação pode ser entendida como algo semelhante à “pesca com arpão”. Neste tipo de ataque, o atacante estabelece seu alvo (geralmente uma empresa/departamento desta, podendo incluir ainda universidades, instituições governamentais, dentre outras). Logo em seguida, inicia a etapa na qual o phisher sonda informações básicas de diferentes funcionários. Aqui, explora-se uma grande falha humana: A incapacidade de avaliar corretamente a sensibilidade de uma informação. Enquanto sozinha, esta informação pode não significar muito, mas em conjunto, se inteligentemente utilizada pelo atacante, pode garantir-lhe conhecimento suficiente para assimilar a identidade de alguém com mais poder na empresa.

Fraude 419[editar | editar código-fonte]

Criada por estudantes universitários em meados de 1980, quando a economia petrolífera da Nigéria estava em crise, para manipular indivíduos interessados no petróleo nigeriano. Eram inicialmente distribuídos por cartas ou fax, mas com a popularização do e-mail, este passou a ser o meio utilizado. Na verdade, há registros de que a fraude já existia previamente, datando de antes de 1588, quando redigiam-se cartas supostamente provenientes de prisioneiros de castelos espanhóis, que prometiam compartilhar um tesouro com aquele que os enviasse dinheiro para subornar os guardas. Seu nome vem da seção 419 do código penal nigeriano, que tipifica atividades fraudulentas.
O e-mail é proveniente de indivíduos que dizem ser do Banco Central da Nigéria ou do Governo deste mesmo país. Porém a fraude 419 não se resume a meramente um único e-mail. Muito além disso, é um verdadeiro jogo, no qual o risco e as regras dependem das capacidades de persuasão do atacante. Vale frisar que neste caso, “atacante” pode ser lido como uma verdadeira equipe de criminosos profissionais, que articula minuciosamente seus planos.

iPhishing[editar | editar código-fonte]

iPhishing é a vertente que visa explorar vulnerabilidades consequentes do avanço excessivamente rápido da tecnologia, que acaba por deixar aspectos de segurança em segundo plano, dando lugar à funcionalidade e ao design. O ataque pode ocorrer de algumas maneiras, mas podemos citar o envenenamento de DNS para exemplificar.
Um servidor DNS, ou Domain Name System (Sistema de Nomes e Domínios) tem como função traduzir nomes para IP's e IP's para nomes. Um envenenamento de DNS faz com que usuários sejam redirecionados para sites diferentes daqueles que desejavam alcançar. Devido a limitação de espaço na tela de portáteis como o iPhone, os usuários podem não conseguir ver toda a URL das páginas que visitam, tornando-se assim muito mais vulneráveis.

Vishing Scam[editar | editar código-fonte]

Como bem se sabe, o advento de novas tecnologias geralmente traz consigo a possibilidade de ser explorada pela natureza humana para ser utilizada maleficamente. A VoIP (Voice over IP), tecnologia desenvolvida para possibilitar comunicação telefônica através da rede baseando-se no Protocolo de Internet (IP), não se tornou uma exceção a regra. Uma vez que apresenta diversas vantagens sobre a telefonia convencional, como o fato de ser uma tecnologia de baixo custo, e, acrescentando-se ainda a possibilidade de mascarar o número de telefone que será identificado pelo receptor, a VoIP configura-se como uma oportunidade para indivíduos, que, percebendo-a, criaram uma nova vertente baseada no Phishing Scam tradicional: O Vishing Scam.
Ataques de Vishing Scam são geralmente propagados através de mensagens de texto (SMS), e-mails ou até mesmo mensagens de voz, e seu procedimento assemelha-se em muito ao do Phishing Scam tradicional. Um estelionatário envia mensagens SMS falsas fingindo ser uma instituação de confiança. Estas mensagens pedem normalmente respostas com dados como cartão de crédito e senhas, ou até mesmo que a pessoa retorne a ligação para um certo número e fale com um atendente golpista. As justificativas dadas para se efetuar a ligação variam, mas dentre as mais comuns delas podemos citar, por exemplo, “a ocorrência de possíveis atividades fraudulentas na conta bancária que levaram à suspensão da mesma”.

Por Mensageiros Instantâneos[editar | editar código-fonte]

Como uma das principais formas de comunicação no mundo atual, os mensageiros instantâneos estão longe de estarem isentos dos perigos do Phishing. Na verdade, pode-se dizer que é um dos terrenos mais férteis para a proliferação deste ataque, devido a alguns fatores, a serem aqui citados.
O primeiro destes fatores é o tipo de comunicação que geralmente se estabelece em mensageiros instantâneos. É uma comunicação mais informal, entre indivíduos que geralmente se conhecem ou são até mesmo grandes amigos. Todo este ambiente “familiar” traz uma maior sensação de segurança, fazendo com que os cuidados sejam reduzidos, até porque em muitas vezes o remetente da mensagem é um amigo de confiança que foi, contudo, infectado por um malware que está distribuindo a mensagem através de sua rede de contatos.
Em segundo lugar, podemos citar a velocidade (em tempo real) e grande quantidade de conversas estabelecidas simultaneamente. Estando o usuário perdido em tantas conversas, nas quais a troca de URL's é comum e constante, uma URL maliciosa tem maiores chances de passar despercebida.
Além disso, a maior percentagem de usuários deste tipo de software engloba leigos em geral, crianças e adolescentes, que muitas vezes não possuem a capacidade de discernir entre mensagens autênticas e maliciosas, acabando por acessar portais maliciosos e/ou efetuar o download de malwares sem ter notícia de tal. Este fato agrava-se caso o computador seja compartilhado com outros que possam vir a efetuar possíveis transações bancárias (ou ações de importância equivalente) nesta mesma máquina, uma vez que pode estar infectada por keyloggers.
Fatores humanos somam-se a periculosidade do ataque de Phishing Scam, tornando este vetor possivelmente mais ameaçador que e-mails.

Sites de Relacionamento[editar | editar código-fonte]

Assim como no caso dos mensageiros instantâneos, os sites de relacionamento são, por assim dizer, ambientes virtuais mais descontraídos que, por exemplo, uma caixa de e-mails, e novamente tem-se uma redução na cautela. Não assemelha-se apenas neste ponto: Além disto, na maior parte das vezes o remetente da mensagem é algum amigo de confiança, possivelmente infectado por um malware.
Por se tratar de uma rede onde circulam fotografias, informações da vida alheia, e onde estabelecem-se paralelos com o mundo real, são estes os pontos que os phishers exploram. As possibilidades são inesgotáveis: os atacantes indicam a existência de uma foto da vítima circulando pela rede, de uma comunidade difamando-a, ou de um vídeo que deveria ser assistido, dentre outros.
Os sites de relacionamento são um terreno fértil para phishings, pois nas páginas de recados, além da disseminação de links ser normal, são de acesso público (se não forem definidos como privados), e há a possibilidade de fisgar outros usuários que naveguem pela rede. Devido à desenfreada inclusão digital, temos nestes, ainda, muitos usuários leigos, completamente vulneráveis, passíveis de serem facilmente fraudados.

Atuação dos Phishers[editar | editar código-fonte]

Os Phishers adotam diversos vetores para distribuir seus ataques, indo do massivo envio de mensagens conhecido como Spam, até ataques altamente focalizados, conhecidos como Spear Phishing. De qualquer modo, os ataques têm nível razoavelmente alto de sucesso, ultrapassando os 5%, de acordo com o Anti-Phishing Working Group.

Etapas do processo tradicional[editar | editar código-fonte]

1) Fase de planejamento (Fase inicial): Nesta fase, o atacante escolhe seu alvo, define o objetivo do ataque, de que artimanhas vai se valer e o método a utilizar.
2) Fase de preparação: Nesta fase, elabora-se todo o material a ser utilizado, como e-mails, websites falsos, dentre outros. Obtém-se informações sobre o alvo, prepara toda a parte eletrônica a ser utilizada no ataque e, no caso de atacantes mais experientes, eleva seu nível de ocultação.
3) Fase de ataque: Na fase de ataque, o atacante utiliza a via pela qual optou na fase de planejamento. O ataque pode ocorrer:
  • Via e-mail;
  • Via website;
  • Via mensageiros instantâneos;
  • Via VoIP;
  • Via malware;
4) Fase de coleta: Nesta fase, ocorre a coleta dos dados obtidos com o ataque. Dados inseridos em páginas web previamente preparadas para o ataque, em respostas das mensagens disparadas ou capturadas por malwares.
5) Fase da fraude: Fase onde ocorre a fraude propriamente dita. Nesta fase, há o roubo de dinheiro, de informações sensíveis, apropriação da identidade alheia para cometer outros delitos,vendê-las a quem interesse ou utilizar em um segundo ataque em busca do objetivo definido na fase inicial.
6) Fase pós-ataque: Nesta fase ocorre o desligamento das máquinas utilizadas, e a destruição das evidências. Há ainda a avaliação da efetividade e possivelmente lavagem do dinheiro adquirido (no caso de tê-lo sido).

Tipos de Furtos[editar | editar código-fonte]

Furto de identidade[editar | editar código-fonte]

Uma técnica popular é o furto de identidade via e-mail. Estelionatários enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensíveis, tais como nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras ilícitas.
A identidade usada nessas mensagens, geralmente, é de órgãos governamentais, bancos e empresas de cartão de crédito. No corpo da mensagem, normalmente, existem ligações que apontam para sites falsos, geralmente muito parecidos com os sites verdadeiros, onde existem formulários que a vítima deve preencher com as informações solicitadas. O conteúdo preenchido no formulário é enviado ao estelionatário.

Furto de informações bancárias[editar | editar código-fonte]

A forma de persuasão é semelhante à do furto de identidade, porém a mensagem recebida contém ligações que apontam pra sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de conta e senhas bancárias. A instalação desses programas é, na maioria absoluta dos casos, feita manualmente pelo usuário. Tecnicamente, pode existir a possibilidade da instalação automática desses programas apenas pela leitura da mensagem, mas isso depende de uma combinação de muitos fatores, que raramente acontece.
No Brasil, o phishing via e-mail não vem apenas com o nome de entidades famosas. São usados diversos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligação contida junto ao corpo do e-mail. Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas. Na verdade, a ligação não contém fotos, mas sim um arquivo executável, que ao ser baixado e executado instala um cavalo de tróia (trojan) bancário no computador do usuário.
Outro tema muito comum são os cartões virtuais. Eles são um bom chamariz, visto que é comum as pessoas trocarem cartões virtuais via e-mail.Os supostos cartões virtuais, normalmente, têm a sua identidade associada a de algum sítio popular de cartões virtuais. Isso ajuda a tentativa de legitimar o golpe e tenta dar mais credibilidade à farsa. A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos sítios de cartões virtuais. Um detalhe em que o usuário deve prestar a atenção são os erros de gramática que essas mensagens geralmente apresentam.
Outro detalhe é que ao clicar em ligações contidas nessas mensagens quase sempre é aberta uma janela para download de arquivo. Nenhum site de cartões requer que o usuário baixe qualquer arquivo.

Ver também[editar | editar código-fonte]

Referências

  1. Ir para cima "Como identificar Phishing".
  2. Ir para cima Cleber K., Olivo, Altair O., Santin, Luiz S., Oliveira (2011). "Obtaining the Threat Model for E-mail Phishing" (PDF)Applied Soft Computing. Arquivado desde o original (PDF) em 2011-07-08. Parâmetro desconhecido |month=ignorado (|data=) (Ajuda)

Ligações internas[editar | editar código-fonte]

Nenhum comentário:

Postar um comentário