INFORME OFICIAL: Phishing

Informe oficial

Phishing As tticas mais recentes e o impacto potencial nos negcios

Phishing As tticas mais recentes e o impacto potencial nos negcios

Phishing As tticas mais recentes e o impacto potencial nos negcios

Contedo Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 O phishing no conhece limites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 As atividades de hackers em servidores virtuais compartilhados explodem . 3 Os spammers continuam a se aproveitar de feriados e eventos globais . . . . 4 O phishing que explora os temores econmicos . . . . . . . . . . . . . . . . . . . . . . . . 4 Ameaas combinadas de phishing/malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Stripping de SSL com man-in-the-middle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Fraudes de phishing para telefones celulares e SMS . . . . . . . . . . . . . . . . . . . . 5 Spam e phishing migram para a mdia social . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Como o phishing pode afetar seus negcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Protegendo seus negcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Educao de consumidores e funcionrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Phishers: adversrios cibernticos resistentes e mutantes . . . . . . . . . . . . . . . . . 7 Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Phishing As tticas mais recentes e o impacto potencial nos negcios

Introduo Como uma das principais tticas dos crimes cibernticos que afetam consumidores e empresas, o phishing continua a ser uma ameaa consistentemente potente h muitos anos. Na verdade, houve uma mdia de mais de 37.000 ataques de phishing por ms em 20121. No mais preciso ser um hacker sofisticado para perpetrar fraudes na Internet. Qualquer pessoa motivada pode fazer isso, graas aos kits de phishing prontos para uso fornecidos por um crescente ecossistema de crimes cibernticos. Os criminosos cibernticos esto, at mesmo, migrando para um novo modelo de negcios conhecido como malware como servio (MaaS), no qual os autores de kits de exploraes oferecem servios extras aos clientes, alm do prprio kit de exploraes2. O impacto sobre uma empresa pode ser bastante grave. Em seu relatrio de fraudes de fevereiro de 2013, a RSA estimou que as perdas mundiais chegaram a um bilho e meio de dlares em 2012 e que poderiam ter ultrapassado dois bilhes de dlares se o tempo de atividade mdio dos ataques de phishing tivesse permanecido idntico ao de 20113.No importa a ameaa se funcionrios ou clientes foram atacados ou se o site da empresa foi comprometido o phishing algo a ser levado muito a srio. As organizaes precisam se manter informadas sobre os mtodos mais recentes utilizados pelos criminosos cibernticos e seguir medidas proativas para se protegerem de fraudes. Este documento destaca o crescimento atual e as tendncias dos esquemas de phishing de hoje em dia, o impacto potencial nas empresas e as percepes de como a tecnologia pode ser usada nos negcios para a sua prpria proteo e a de seus clientes. O phishing no conhece limites O phishing o ato de enganar pessoas inocentes para que forneam informaes confidenciais, como nomes de usurio, senhas e dados de carto de crdito por meio de comunicaes eletrnicas aparentemente confiveis uma sria ameaa a consumidores e empresas. Na dcada que se passou desde o surgimento do phishing, esse mtodo de fraude tem crescido rapidamente, com uma estimati va de que ocorram aproximadamente oito milhes de tentativas de phishing todos os dias, em todo o mundo4. Em 2012, um em cada 414 e-mails transmitidos pela Web estava relacionado a phishing5. No segundo semestre de 2012, o Anti-Phishing Working Group (APWG) relatou 123.486 ataques de phishing individuais que envolveram 89.748 nomes de domnio individuais, registrando um aumento de 32% no nmero de ataques em relao ao primeiro semestre de 20126. Embora represente um nmero maior do que os 115.472 ataques observados pelo APWG no primeiro semestre de 2011, esse resultado ficou um pouco abaixo do recorde de 126.697 observado no segun do semestre de 2009, quando o botnet Avalanche estava solta.

RSA: February Fraud Report, RSA, fevereiro de 2013. Verisign iDefense 2012 Cyber Threats and Trends, Verisign, 2012. RSA: February Fraud Report, RSA, fevereiro de 2013. 4 Counterfeiting & Spear Phishing Growth Scams of 2009, Trade Me, Infonews.co.nz, 2 de maro de 2009. 5 Symantec 2013 Internet Threat Report, Symantec.com/threatreport. 6 Global Phishing Survey 2H2012: Trends and Domain Name Use, Anti-Phishing Working Group.
1 2 3

Phishing As tticas mais recentes e o impacto potencial nos negcios

As atividades de hackers em servidores virtuais compartilhados explodem Embora os hackers estejam sempre desenvolvendo novos esquemas de phishing, existe um tipo realmente antigo (embora pouco conhecido) que tem ressurgido com sucesso. Nesse ataque, um phisher invade um servidor Web que hospeda um grande nmero de domnios e coloca o contedo do site de phishing em todos eles, de forma que cada site desse servidor exiba as pginas de phishing. Dessa forma, os phishers podem infectar milhares de sites ao mesmo tempo. O APWG identificou 42.448 ataques individuais que usaram essa estratgia, um nmero que representa 37% de todos os ataques de phishing globalmente7. Os spammers continuam a se aproveitar de feriados e eventos globais Todos os anos, logo antes do Natal, spammers falsificam diversos varejistas legtimos, oferecendo promoes de Natal para uma grande variedade de produtos. Houve um grande nmero de campanhas de phishing relacionadas ao terremoto do Japo, ao movimento da primavera rabe e a outros importantes acontecimentos globais. Aps o rotineiro ataque do Dia dos Namorados, especialistas antiphishing esperam ver fraudes semelhantes em eventos populares futuros8. Os ataques extremamente especficos de spear phishing, embora estejam menos presentes nos noticirios do que em anos anteriores, aumentam consideravelmente em pocas de feriados, quando as operaes de segurana das empresas tendem a estar com menos funcionrios do que o necessrio. Dessa forma, as operaes dos criminosos cibernticos tm maior oportunidade de sucesso. No entanto, isso parece ocorrer menos entre os feriados de Natal e AnoNovo. Uma explicao possvel que, embora as equipes de segurana possam estar com poucos funcionrios, tambm h menos funcion rios trabalhando, o que diminui o nmero de oportunidades de que usurios-alvo abram anexos malintencionados. O phishing que explora os temores econmicos A agitao econmica dos dias de hoje fornece oportunidades incomparveis para que os criminosos explorem suas vtimas. Por exemplo, fraudes populares incluem e-mails de phishing que parecem vir de uma instituio financeira que adquiriu recentemente o banco da vtima pretendida, incluindo servios de poupana, emprstimo e hipoteca9. A grande quantidade de fuses e aquisies que ocorrem atualmente cria uma atmosfera de confuso para os consumidores, o que exacer bado pela carncia de comunicaes consistentes com os clientes. Os phishers prosperam nesse tipo de situao. Ameaas combinadas de phishing/malware Para aumentar as taxas de sucesso, alguns ataques utilizam phishing e malware em um modelo combinado. Por exemplo, uma vtima potencial recebe um e-card de phishing em um e-mail que parece ser legtimo. Ao clicar no link do e-mail para receber o carto, a pessoa levada para um site falsificado que faz o download de um Cavalo de Troia no computador da vtima. Uma alternativa a vtima ver uma mensagem que solicita o download de software atualizado necessrio para exibir o carto. Quando a vtima faz o download, o software , na verdade, um keylogger. Keyloggers baseados em phishing possuem componentes de rastreamento que tentam monitorar aes especficas (e organizaes especficas, como instituies financeiras, varejistas online e comerciantes de e-commerce) para obter informa es confidenciais, como nmeros de conta, identificaes de usurios e senhas.
7 8 9

Ibid. Symantec Intelligence Report, Symantec, janeiro de 2012. FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-ermans Special, www.ftc.gov.

Phishing As tticas mais recentes e o impacto potencial nos negcios

Outro tipo de Cavalo de Troia que capacita phishers a obterem informaes confidenciais o redirecionador. Um redirecionador roteia o trfego de rede dos usurios finais para um local aonde no deveria ir. Stripping de SSL com man-in-the-middle Em 2008, foi lanado um novo tipo de malware que permitia que os criminosos cibernticos falsificassem uma sesso criptografada. Ele era uma variante do ataque man-in-the-middle (MITM) comum, que os criminosos usam para acessar senhas ou informaes confidenciais que passem desprotegidas pela rede. Fraudes de phishing para telefones celulares e SMS Passando-se por uma instituio financeira real, os phishers utilizam o SMS como uma alternativa ao e-mail para tentar obter acesso a informaes de conta confi denciais. Conhecida como smishing, essa fraude tpica informa o usurio do telefone celular de que a sua conta bancria foi comprometida ou que um carto de crdito ou de caixa eletrnico foi desativado. A vtima potencial instruda a ligar para um nmero ou visitar um site falsificado a fim de reativar o carto. J no site, ou por um sistema telefnico automatizado, a vtima potencial solicitada a fornecer seus nmeros de conta e carto e as senhas associadas. Spam e phishing migram para a mdia social Nos ltimos anos, temos visto um aumento significativo na ocorrncia de spam e phishing nos sites de mdia social. Os criminosos seguem os usurios at sites conhecidos. Alm de o Facebook e o Twitter terem crescido em popularidade, eles tambm tm atrado mais atividades criminosas. Porm, no ltimo ano, os crimino sos online tambm comearam a visar sites mais novos que crescem rapidamente, como Instagram, Pinterest e Tumblr. As ameaas tpicas incluem vales-presentes falsos e pesquisas fraudulentas. Esses tipos de ofertas falsas so responsveis por mais da metade (56%) de todos os ataques em mdias sociais. Como o phishing pode afetar seus negcios Enquanto o spam apresentou um leve declnio em 2012, os ataques de phishing aumentaram. Os phishers esto usando sites falsos muito sofisticados em alguns casos, rplicas perfeitas de sites reais para enganar as vtimas, fazendo com que passem informaes pessoais, senhas, informaes de carto de crdito e credenciais bancrias. No passado, eles usavam mais e-mails falsos, mas agora, alm deles, usam tambm links semelhantes postados em sites de mdia social para atrair as vtimas a esses sites de phishing mais avanados. Entre os sites falsos tpicos esto os de bancos e companhias de carto de crdito, como de se esperar, mas tambm h sites de mdia social. O nmero de sites de phishing que falsificaram sites de redes sociais aumentou em 123% em 2012. Se os criminosos puderem capturar seus detalhes de login de mdias sociais, podero usar sua conta para enviar e-mails de phishing a todos os seus amigos. Uma mensagem vinda de um amigo parece muito mais confivel. Outro modo de usar uma conta de mdia social invadida enviar uma mensagem falsa aos amigos de uma pessoa sobre algum tipo de urgncia. Em uma tentativa de burlar softwares de filtragem e segurana, os criminosos usam endereos de sites complexos e servios aninhados de encurtamento de URLs. Tambm usam engenharia social para motivar as vtimas a clicar em links. No ltimo ano, os temas principais das mensagens foram celebridades, filmes, personalidades do esporte e gadgets atraentes, como smartphones e tablets. 5

Phishing As tticas mais recentes e o impacto potencial nos negcios

Ataques de phishing cujo objetivo seja falsificar o site oficial de uma empresa diminuem o poder da marca online dessa empresa e impedem os clientes de usar o site verdadeiro por receio de se tornarem vtimas de fraude. Alm dos custos diretos das perdas por fraude, as empresas cujos clientes se tornam vtimas de uma fraude de phishing tambm se sujeitam a: Queda nas receitas e/ou na utilizao online, devido menor confiana do cliente Possveis multas de no conformidade, caso os dados dos clientes sejam comprometidos Mesmo as fraudes de phishing voltadas para outras marcas podem afetar uma empresa. O temor causado pelo phishing pode fazer com que os consumidores parem de fazer transaes com empresas nas quais no confiem. Protegendo seus negcios Embora no haja uma soluo mgica, existem tecnologias que podem ajudar a proteger voc e seus clientes. Muitas das tcnicas de phishing atuais dependem de levar os clientes at sites falsificados que capturam informaes pessoais. Tecnologias como Secure Sockets Layer (SSL) e Extended Validation (EV) SSL so crticas na luta contra o phishing e outras formas de crimes cibernticos, porque criptografam informaes confidenciais e ajudam os clientes a autenticarem o seu site. As melhores prticas de segurana exigem implementar os nveis mais altos poss veis de criptografia e autenticao contra fraudes cibernticas e criar a confiana do cliente na marca. A tecnologia SSL, o padro mundial de segurana na Web, usada para criptografar e proteger informaes transmitidas pela Web com o onipresente protocolo HTTPS. O SSL protege dados em movimento, que podem ser interceptados e violados se enviados sem criptografia. O suporte para SSL est integrado a todos os principais sistemas operacionais, navegadores da Web, aplicativos para Internet e hardware de servidor. Para ajudar a impedir que ataques de phishing sejam bem-sucedidos e a desenvol ver a confiana do cliente, as empresas tambm precisam ter uma forma de indicar aos clientes que elas fazem negcios legtimos. Os certificados Extended Validation (EV) SSL so a resposta, oferecendo o nvel de autenticao mais alto disponvel com um certificado SSL e fornecendo uma prova tangvel para os usurios online de que o site realmente legtimo.

Figura 1. Barra de endereo verde acionada por um certificado EV SSL

Phishing As tticas mais recentes e o impacto potencial nos negcios

O EV SSL fornece aos visitantes do site uma maneira fcil e confivel de estabele cer confiana online, fazendo com que navegadores da Web de alta segurana exibam uma barra de endereo verde com o nome da organizao proprietria do certificado SSL e o nome da autoridade de certificao que o emitiu. A Figura 1 mostra a barra de endereo verde no Internet Explorer. A barra verde mostra aos visitantes do site que a transao est criptografada e que a organizao foi autenticada de acordo com o padro mais rigoroso do setor. Os phishers no podem mais ganhar dinheiro fazendo os visitantes pensar que esto em uma sesso SSL real. Embora os criminosos cibernticos estejam se tornando hbeis em imitar sites legtimos, sem o certificado EV SSL da empresa no existe forma de exibir seu nome na barra de endereo, porque as informaes mostradas ali esto alm do controle dos criminosos. E eles no podem obter os certificados EV SSL legtimos da empresa devido ao rgido processo de autenticao. Educao de consumidores e funcionrios Alm de implementarem a tecnologia EV SSL, as empresas devem continuar a educar seus clientes e funcionrios sobre prticas de Internet seguras e sobre como evitar fraudes cibernticas. Eles devem ser ensinados a reconhecer os sinais de uma tentativa de phishing, incluindo: Erros de ortografia (menos comuns medida que os phishers se tornam mais sofisticados) Saudaes genricas em vez de chamadas ao personalizadas e urgentes Ameaas sobre o status de contas Solicitao de informaes pessoais Nomes de domnio/links falsos Alm disso, ensine estas tticas a seus clientes e funcionrios para que reconheam um site seguro e vlido antes de fornecer quaisquer informaes pessoais ou confidenciais: Procurar a barra verde Certificar-se de que a URL seja HTTPS Clicar no cadeado para comparar as informaes do certificado com o site que desejam visitar Procurar um selo de confiana, como o Norton Secured Seal A educao um componente do desenvolvimento da confiana necessria para superar os temores do phishing. Ao ajudar seus clientes a entenderem como confirmar que esto seguros em seu site, voc pode aumentar receitas, diferenciar a sua oferta e/ou beneficiar-se da economia operacional com o crescimento das transaes online. Phishers: adversrios cibernticos resistentes e mutantes O phishing continuar a evoluir para novas formas, tentando ao mesmo tempo aproveitar-se de comportamentos humanos como compaixo, confiana ou curio sidade. Proteger a sua marca e a sua empresa contra o phishing requer cuidados constantes, mas as recompensas esto muito alm de reduzir as perdas por fraude.

Phishing As tticas mais recentes e o impacto potencial nos negcios

Ao educar e proteger seus clientes com os nveis mais altos de proteo fornecidos por certificados EV SSL, sua empresa pode ajudar a garantir que os clientes te nham maior confiana em seus servios online. Ao demonstrar liderana na segu rana online, voc pode ampliar seu apelo de mercado e, com isso, gerar novos fluxos de receita. Para obter as informaes mais recentes sobre as tendncias globais de phishing, leia o Symantec Monthly Intelligence Report (Relatrio de inteligncia mensal da Symantec). Glossrio Autoridade de certificao (CA) Uma autoridade de certificao uma organi zao confivel de terceiros que emite certificados digitais (como os certificados Secure Sockets Layer (SSL)) aps verificar as informaes includas nos certifica dos. Criptografia A criptografia o processo de embaralhar uma mensagem para que apenas o destinatrio desejado tenha acesso s informaes. A tecnologia Secure Sockets Layer (SSL) estabelece um canal de comunicao privado no qual os dados podem ser criptografados durante a transmisso online, protegendo informaes confidenciais contra a escuta eletrnica online. Certificado Extended Validation (EV) SSL Requer um alto padro de verifica o de certificados Secure Sockets (SSL), ditado por um terceiro, o CA/Browser Forum. No Microsoft Internet Explorer 7 e em outros navegadores de alta seguran a conhecidos, sites protegidos com certificados Extended Validation SSL fazem com que a barra de endereo de URL fique verde. HTTPS Pginas da Web iniciando por https em vez de http habilitam a trans misso segura de informaes por meio do protocolo http seguro. Https uma medida de segurana que deve ser verificada no envio ou compartilhamento de informaes confidenciais, como nmeros de carto de crdito, registros de dados pessoais ou dados de parceiros comerciais. Tecnologia Secure Sockets Layer (SSL) O SSL e seu sucessor, a segurana de camada de transporte (Transport Layer Security, TLS), usam criptografia para fornecer segurana s transaes online. O SSL usa duas chaves para criptografar e descriptografar dados uma chave pblica conhecida de todos e uma chave pri vada ou secreta conhecida apenas pelo destinatrio da mensagem. Certificado SSL Um certificado Secure Sockets Layer (SSL) incorpora uma assi natura digital para vincular uma chave pblica a uma identidade. Os certificados SSL habilitam a criptografia de informaes confidenciais durante transaes online e, no caso de certificados validados para a organizao, tambm funcionam como um atestado da identidade do proprietrio do certificado.

Phishing As tticas mais recentes e o impacto potencial nos negcios

Mais informaes Visite nosso site www.symantec.com/pt/br/ssl-certificates Para conversar com um Especialista em Produtos ligue para +1 650-436-3400 Sobre a Symantec A Symantec lder global no fornecimento de solues de gerenciamento de segurana, armazenamento e sistemas que ajudam consumidores e organizaes a gerenciar seu mundo orientado por informaes. Nossos softwares e servios oferecem proteo contra mais riscos em mais locais, de forma mais completa e eficaz, aumentando a confiana sempre que informaes so usadas ou armaze nadas. Symantec Brasil Headquarters Av. Dr. Chucri Zaidan, 920 - 12o andar Market Place Tower So Paulo, SP, Brasil www.symantec.com/pt/br

2013 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec e o logotipo com a marca de verificao so marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos Estados Unidos e em outros pases. VeriSign e outras marcas relacionadas so marcas comerciais ou registradas da VeriSign, Inc. ou de suas afiliadas ou subsidirias nos Estados Unidos e em outros pases e licenciadas para a Symantec Corporation. Outros nomes podem ser marcas comerciais de seus respectivos proprietrios.