Você está na página 1de 6

Phishing

Em computação, phishing, termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir da- dos pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pes- soais. O ato consiste em um fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma co- municação eletrônica oficial. Isto ocorre de várias ma- neiras, principalmente por email, mensagem instantânea, SMS, dentre outros. Como o nome propõe (Phishing), é uma tentativa de um fraudador tentar “pescar” informa- ções pessoais de usuários desavisados ou inexperientes.

1 Tipos de ataques de Phishing Scam

Um Phishing pode ser realizado de diversas maneiras. As mais comuns são:

1.1 Ataque ao Servidor DNS

Ataque baseado na técnica “DNS cache poisoning”, ou envenenamento de cache DNS, que consiste em corrom- per o DNS (Sistema de nomes de domínio) em uma rede de computadores, fazendo com que a URL (localizador

uniforme de recursos ou endereço www) de um site passe

a apontar para um servidor diferente do original. Ao digi- tar a URL(endereço) do site que deseja acessar, um banco por exemplo, o servidor DNS converte o endereço em um número IP, correspondente ao do servidor do banco. Se

o servidor DNS estiver vulnerável a um ataque de Phar-

ming, o endereço poderá apontar para uma página falsa hospedada em outro servidor com outro endereço IP, que esteja sob controle de um golpista.

1.2 URLs Falsas

Uma outra maneira é a criação de URLs extensas que difi- cultam a identificação por parte do usuário. Um exemplo simples pode ser: secure.nomedoseubanco.com.br/

internetbanking/eud=651656JFYDHJJUHGRedirectto:

maisalgumacoisa.dominiofalso.com Onde o usuário pode diretamente olhar o início da URL e acreditar que está na região segura do site do seu banco, enquanto que na verdade está em um subdomínio do website dominiofalso.com.

1.3 Formulários HTML Falsos em E- mails

Outra técnica menos frequente é a utilização de formu- lários em emails com formatação HTML. Com isso, um usuário incauto pode diretamente no seu email incluir as informações requeridas pelo atacante, e com isso, esse não precisa se preocupar com a clonagem da interface do banco.

As buscas por essas informações sensíveis crescem com

o aumento da possibilidade de realizar as mais diversas

tarefas no conforto do lar. Isso pode trazer a uma grande massa de internautas uma ilusória sensação de segurança. Diz-se ilusória pois, uma vez que a internet é uma tendên- cia globalizada, não menos do que esperada é a presença de criminosos.

Aproveitando-se da desatenção de certos usuários, indi- víduos maliciosos desenvolvem e põem em prática mé- todos cada vez mais sofisticados para cometer ações ilí- citas. Alguns destes métodos, contudo, se destacam por sua eficácia e rendimento, e dentre estes, podemos citar, certamente, o ataque de Phishing Scam.

2

Um breve histórico

O

termo Phishing é relativamente novo, e sua criação data

de meados de 1996, por crackers que praticavam roubo de contas da America Online (AOL), fraudando senhas de usuários. Sua primeira menção pública ocorreu no grupo blackhat alt.2600, em 28 de Janeiro do mesmo ano de sua criação, feita pelo usuário mk590, que dizia:

“O que acontece é que antigamente, podia-se fazer uma conta falsa na AOL, uma vez que se tivesse um gerador

de cartões de crédito. Porém, a AOL foi esperta. Agora, após digitar-se os dados do cartão, é feita uma verifica- ção com o respectivo banco. Alguém mais conhece outra maneira de adquirir uma conta que não seja através de

Phishing?"

Apenas um ano depois, em 1997, o termo foi citado na mídia. Neste mesmo ano, os phishs (contas hackeadas) já eram utilizados como moeda no mundo hacker, e podia- se facilmente trocar 10 phishs da AOL por uma parte de um software malicioso. O Phishing, antigamente utili- zado para roubar contas de usuários da America Online, hoje tem aplicações muito maiores e obscuras, como por exemplo, o roubo de dinheiro de contas bancárias.

1

2

3 TIPOS DE MENSAGENS ELETRÔNICAS UTILIZADAS

3 Tipos de mensagens eletrônicas utilizadas

3.1 Email

Um estelionatário envia e-mails falsos forjando a identi- dade de entidades populares consideradas confiáveis, tais

como sites de entretenimento, bancos, empresas de car- tão de crédito, lojas, órgãos governamentais etc [1] . Ge- ralmente, as mensagens são enviadas para milhões de en- dereços de e-mail que foram previamente coletados na Internet. A entrega dos e-mails, normalmente, é feita por computadores que estão sob o controle de pessoas mal intencionadas e incluem principalmente servidores

de e-mail mal configurados e computadores com conexão

banda larga infectados com cavalos de tróia propositada- mente desenvolvidos para permitir o envio de e-mail em massa.

3.2 Spear Phishing

Spear Phishing traduz-se como um ataque de Phishing al- tamente localizado. É um tipo de ataque que exige toda uma etapa de minuciosa pesquisa por parte dos atacan- tes, além de muita paciência. Correlacionando ao nome “Phishing”, sua denominação pode ser entendida como algo semelhante à “pesca com arpão”. Neste tipo de ataque, o atacante estabelece seu alvo (geralmente uma empresa/departamento desta, podendo incluir ainda uni- versidades, instituições governamentais, dentre outras). Logo em seguida, inicia a etapa na qual o phisher sonda informações básicas de diferentes funcionários. Aqui, explora-se uma grande falha humana: A incapacidade de avaliar corretamente a sensibilidade de uma informação. Enquanto sozinha, esta informação pode não significar muito, mas em conjunto, se inteligentemente utilizada pelo atacante, pode garantir-lhe conhecimento suficiente para assimilar a identidade de alguém com mais poder na empresa.

3.3 Fraude 419

Criada por estudantes universitários em meados de 1980,

quando a economia petrolífera da Nigéria estava em crise, para manipular indivíduos interessados no petróleo nige- riano. Eram inicialmente distribuídos por cartas ou fax, mas com a popularização do e-mail, este passou a ser o meio utilizado. Na verdade, há registros de que a fraude

já existia previamente, datando de antes de 1588, quando

redigiam-se cartas supostamente provenientes de prisio- neiros de castelos espanhóis, que prometiam comparti- lhar um tesouro com aquele que os enviasse dinheiro para subornar os guardas. Seu nome vem da seção 419 do có-

digo penal nigeriano, que tipifica atividades fraudulentas.

O e-mail é proveniente de indivíduos que dizem ser do

Banco Central da Nigéria ou do Governo deste mesmo

país. Porém a fraude 419 não se resume a meramente um único e-mail. Muito além disso, é um verdadeiro jogo, no qual o risco e as regras dependem das capacidades de per- suasão do atacante. Vale frisar que neste caso, “atacante” pode ser lido como uma verdadeira equipe de criminosos profissionais, que articula minuciosamente seus planos.

3.4 iPhishing

iPhishing é a vertente que visa explorar vulnerabilidades conseqüentes do avanço excessivamente rápido da tecno- logia, que acaba por deixar aspectos de segurança em se- gundo plano, dando lugar à funcionalidade e ao design.

O ataque pode ocorrer de algumas maneiras, mas pode-

mos citar o envenenamento de DNS para exemplificar. Um servidor DNS, ou Domain Name System (Sistema

de Nomes e Domínios) tem como função traduzir nomes

para IP’s e IP’s para nomes. Um envenenamento de DNS faz com que usuários sejam redirecionados para sites di- ferentes daqueles que desejavam alcançar. Devido a li- mitação de espaço na tela de portáteis como o iPhone, os usuários podem não conseguir ver toda a URL das pági- nas que visitam, tornando-se assim muito mais vulnerá- veis.

3.5 Vishing Scam

Como bem se sabe, o advento de novas tecnologias geral- mente traz consigo a possibilidade de ser explorada pela

natureza humana para ser utilizada maleficamente. A VoIP (Voice over IP), tecnologia desenvolvida para possi- bilitar comunicação telefônica através da rede baseando-

se no Protocolo de Internet (IP), não se tornou uma ex-

ceção a regra. Uma vez que apresenta diversas vanta- gens sobre a telefonia convencional, como o fato de ser

uma tecnologia de baixo custo, e, acrescentando-se ainda

a possibilidade de mascarar o número de telefone que

será identificado pelo receptor, a VoIP configura-se como uma excelente “oportunidade” para indivíduos malicio- sos, que, percebendo-a, criaram uma nova vertente base- ada no Phishing Scam tradicional: O Vishing Scam. Ata- ques de Vishing Scam são geralmente propagados atra- vés de mensagens de texto (SMS), e-mails ou até mesmo mensagens de voz, e seu procedimento assemelha-se em muito ao do Phishing Scam tradicional. Um estelionatá- rio envia mensagens SMS falsas fingindo ser uma institu- ação de confiança. Estas mensagens pedem normalmente respostas com dados como cartão de crédito e senhas, ou até mesmo que a pessoa retorne a ligação para um certo número e fale com um atendente golpista. As justificati- vas dadas para se efetuar a ligação variam, mas dentre as mais comuns delas podemos citar, por exemplo, “a ocor- rência de possíveis atividades fraudulentas na conta ban- cária que levaram à suspensão da mesma”.

3

3.6 Por Mensageiros Instantâneos

Como uma das principais formas de comunicação no mundo atual, os mensageiros instantâneos estão longe de estarem isentos dos perigos do Phishing. Na verdade, pode-se dizer que é um dos terrenos mais férteis para

a proliferação deste ataque, devido a alguns fatores, a

serem aqui citados. O primeiro destes fatores é o tipo de comunicação que geralmente se estabelece em men- sageiros instantâneos. É uma comunicação mais infor- mal, entre indivíduos que geralmente se conhecem ou são até mesmo grandes amigos. Todo este ambiente “fami- liar” traz uma maior sensação de segurança, fazendo com que os cuidados sejam reduzidos, até porque em muitas vezes o remetente da mensagem é um amigo de confi- ança que foi, contudo, infectado por um malware que está distribuindo a mensagem através de sua rede de conta- tos. Em segundo lugar, podemos citar a velocidade (em tempo real) e grande quantidade de conversas estabele- cidas simultaneamente. Estando o usuário perdido em tantas conversas, nas quais a troca de URL’s é comum e constante, uma URL maliciosa tem maiores chances de passar despercebida. Além disso, a maior percentagem de usuários deste tipo de software engloba leigos em ge- ral, crianças e adolescentes, que muitas vezes não pos- suem a capacidade de discernir entre mensagens autênti- cas e maliciosas, acabando por acessar portais maliciosos e/ou efetuar o download de malwares sem ter notícia de tal. Este fato agrava-se caso o computador seja comparti- lhado com outros que possam vir a efetuar possíveis tran- sações bancárias (ou ações de importância equivalente) nesta mesma máquina, uma vez que pode estar infectada por keyloggers. Fatores humanos somam-se a periculo- sidade do ataque de Phishing Scam, tornando este vetor possivelmente mais ameaçador que e-mails.

3.7 Sites de Relacionamento

Assim como no caso dos mensageiros instantâneos, os sites de relacionamento são, por assim dizer, ambientes virtuais mais descontraídos que, por exemplo, uma caixa de e-mails, e novamente tem-se uma redução na cautela. Não assemelha-se apenas neste ponto: Além disto, na maior parte das vezes o remetente da mensagem é al- gum amigo de confiança, possivelmenteinfectado por um malware. Por se tratar de uma rede onde circulam foto-

grafias, informações da vida alheia, e onde estabelecem-

se paralelos com o mundo real, são estes os pontos que os

phishers exploram. As possibilidades são inesgotáveis:

os atacantes indicam a existência de uma foto da vítima circulando pela rede, de uma comunidade difamando-a, ou de um vídeo que deveria ser assistido, dentre outros. Os sites de relacionamento são um terreno fértil para phishings, pois nas páginas de recados, além da dissemi- nação de links ser normal, são de acesso público (se não forem definidos como privados), e há a possibilidade de fisgar outros usuários que naveguem pela rede. Devido à

desenfreada inclusão digital, temos nestes, ainda, muitos usuários leigos, completamente vulneráveis, passíveis de serem facilmente fraudados.

4 Como essas pessoas atuam?

Os Phishers adotam diversos vetores para distribuir seus ataques, indo do massivo envio de mensagens conhecido como Spam, até ataques altamente focalizados, conheci- dos como Spear Phishing. De qualquer modo, os ataques têm nível razoavelmente alto de sucesso, ultrapassando os 5%, de acordo com o Anti-Phishing Working Group.

4.1 Etapas do processo tradicional

1) Fase de planejamento (Fase inicial): Nesta fase, o ata- cante escolhe seu alvo, define o objetivo do ataque, de que artimanhas vai se valer e o método a utilizar.

2) Fase de preparação: Nesta fase, elabora-se todo o ma- terial a ser utilizado, como e-mails, websites falsos, den- tre outros. Obtém-se informações sobre o alvo, prepara toda a parte eletrônica a ser utilizada no ataque e, no caso de atacantes mais experientes, eleva seu nível de oculta- ção.

3) Fase de ataque: Na fase de ataque, o atacante utiliza a via pela qual optou na fase de planejamento. O ataque pode ocorrer:

Via e-mail;

Via website;

Via mensageiros instantâneos;

Via VoIP;

Via malware;

4) Fase de coleta: Nesta fase, ocorre a coleta dos dados obtidos com o ataque. Dados inseridos em páginas web previamente preparadas para o ataque, em respostas das mensagens disparadas ou capturadas por malwares.

5) Fase da fraude: Fase onde ocorre a fraude propria- mente dita. Nesta fase, há o roubo de dinheiro, de infor- mações sensíveis, apropriação da identidade alheia para cometer outros delitos,vendê-las a quem interesse ou uti- lizar em um segundo ataque em busca do objetivo defi- nido na fase inicial.

6) Fase pós-ataque: Nesta fase ocorre o desligamento das máquinas utilizadas, e a destruição das evidências. Há ainda a avaliação da efetividade e possivelmente lavagem do dinheiro adquirido (no caso de tê-lo sido).

4

6 DICAS PARA SE PROTEGER

5 Tipos de Furtos

5.1 Furto de identidade

Uma técnica popular é o furto de identidade via e-mail. Estelionatários enviam e-mails tentando persuadir os re- ceptores a fornecer dados pessoais sensíveis, tais como nome completo, endereço, nome da mãe, número da se- gurança social, cartões de crédito, números de conta ban- cária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras ilícitas. A iden- tidade usada nessas mensagens, geralmente, é de órgãos governamentais, bancos e empresas de cartão de crédito. No corpo da mensagem, normalmente, existem ligações que apontam para sites falsos, geralmente muito pareci- dos com os sites verdadeiros, onde existem formulários que a vítima deve preencher com as informações solici- tadas. O conteúdo preenchido no formulário é enviado ao estelionatário.

5.2 Furto de informações bancárias

A forma de persuasão é semelhante à do furto de identi- dade, porém a mensagem recebida contém ligações que apontam pra sítios que contém programas de computador que, se instalados, podem permitir a captura de informa- ções, principalmente números de conta e senhas bancá- rias. A instalação desses programas é, na maioria abso- luta dos casos, feita manualmente pelo usuário. Tecnica- mente, pode existir a possibilidade da instalação automá- tica desses programas apenas pela leitura da mensagem, mas isso depende de uma combinação de muitos fatores, que raramente acontece (e que não vale a pena ser expli- cada aqui). No Brasil, o phishing via e-mail não vem ape- nas com o nome de entidades famosas. São usados diver- sos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligação contida junto ao corpo do e-mail. Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas. Na verdade, a ligação não contém fotos, mas sim um arquivo executável, que ao ser baixado e executado instala um ca- valo de tróia (trojan) bancário no computador do usuário. Outro tema muito comum são os cartões virtuais. Eles são um bom chamariz, visto que é comum as pessoas tro- carem cartões virtuais via e-mail.Os supostos cartões vir- tuais, normalmente, têm a sua identidade associada a de algum sítio popular de cartões virtuais. Isso ajuda a tenta- tiva de legitimar o golpe e tenta dar mais credibilidade à farsa. A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos sítios de cartões virtuais. Um detalhe em que o usuário deve prestar a atenção são os erros de gramática que essas mensagens geralmente apresentam. Outro detalhe fundamental é que ao clicar em ligações contidas nessas mensagens quase sempre é aberta uma janela para download de arquivo. Nenhum site sério de cartões requer que o usuário baixe qualquer arquivo!

6 Dicas para se proteger

6.1 Alguns cuidados ao ler e-mails

6.1.1 Verifique o remetente do email

Desconfie de e-mails que não tenham um remetente co- nhecido. Ao receber e-mail de pessoas desconhecidas duplique o cuidado em relação às mensagens. Principal- mente, pense duas vezes antes de clicar em qualquer liga- ção no conteúdo da mensagem. Não acredite em ofertas milagrosas (do estilo “almoço grátis”). Tenha cuidado também com e-mails de um remetente co- nhecido. Caso o conteúdo do e-mail contiver arquivos, links para outras páginas ou imagens, verifique com o re- metente a autenticidade da mensagem. Facilmente gol- pistas podem falsificar sua identidade de remetente como alguem ou alguma instituição de confiança.

6.1.2 Não baixe e nem execute arquivos não solici- tados

Cavalos de tróia e outros programas que capturam senhas são “não solicitados”. Se alguém conhecido enviar um arquivo que você não pediu, verifique com a pessoa se ela realmente enviou o arquivo, e pergunte qual o conteúdo deste. Evite, ao máximo, executar programas. Programas que têm o nome do arquivo (a extensão) terminado em alguma dessas: .exe, .scr, .pif, .cmd, .com, .cpl, .bat, .vir entre outros, podem ser, em alguns casos, maliciosos.

6.2 Tópicos de segurança na Internet

6.2.1 Certifique-se de ter um antivírus atualizado no seu computador

Programas antivírus podem ajudá-lo filtrando possíveis

ameaças vindas por e-mail. Entretanto, lembre-se: você

é a primeira linha de defesa! O programa antivírus

é a segunda linha. Os programas antivírus usam assi-

naturas determinísticas pra detectar programas malicio- sos. As empresas de antivírus precisam primeiro receber um exemplar do vírus antes de prover uma assinatura e detectá-lo. Geralmente, a freqüência média de detecção dos vírus capturadores de senhas bancárias é menor do que 90%[1], independente da empresa que os fornece. Ou seja, mesmo tendo um antivírus atualizado não é ga- rantido que o arquivo será identificado e bloqueado. Mas um antivirus atualizado aumenta as chances de detecção desses programas.

6.2.2 Certifique-se que o seu Windows esteja atua- lizado

Esse tópico não é exatamente relacionado ao phishing ou a mensagens recebidas por e-mail, mas é um item impor-

5

tante de segurança em geral na Internet. Estar com as atualizações automáticas habilitadas no Windows ajuda a corrigir possíveis falhas de segurança que possam exis- tir, tornando o computador menos vulnerável a ataques. Principalmente, pode evitar a instalação de programas spyware, ad-ware entre outros.

6.2.3 Certifique-se de ter um firewall habilitado

Mais um item não relacionado a phishing, mas a segu- rança em geral. Ter um firewall instalado e habilitado bloqueia algumas tentativas de acesso externo ao com- putador tornando menos vulnerável a possíveis ataques externos.

7 Referências

[1] Cleber K., Olivo , Altair O., Santin , Luiz S., Oliveira (July 2011). Obtaining the Threat Model for E-mail Phishing (PDF) Applied Soft Computing. Cópia arquivada em 2011-

Termos correlacionados, em inglês:

Advanced Persistent Threat Anti-phishing software Cer- tificate authority Computer hacking Confidence trick Email spoofing FBI In-session phishing Internet fraud Pharming SMiShing Social engineering Spy-phishing Vishing White collar crime Wire fraud

8 Ligações internas

Malware

Cartilha de Segurança para a Internet (CERT.br) (versão completa) (versão checklist)

site “Monitor das Fraudes” - http://www.fraudes.org

6

9 FONTES, CONTRIBUIDORES E LICENÇAS DE TEXTO E IMAGEM

9 Fontes, contribuidores e licenças de texto e imagem

9.1 Texto

Phishing Fonte: http://pt.wikipedia.org/wiki/Phishing?oldid=40149912 Contribuidores: Hgfernan, LeonardoRob0t, Whooligan, Robot- Quistnix, André Koehne, Zwobot, Lijealso, YurikBot, Rbsmr, Fernando S. Aldado, FlaBot, MalafayaBot, Villarinho, PatríciaR, Chlewbot, Jo Lorib, FSogumo, MarcioBrener, Anchises, Thijs!bot, Vanghorn, Rei-bot, JCMP, Daimore, Almaguarda, JSSX, Garavello, Jlcarneiro, Bisbis, EuTuga, Mateus RM, Carlos28, Guibla, TXiKiBoT, Gunnex, VolkovBot, SieBot, Francisco Leandro, Teles, AlleborgoBot, GOE, Faunas, DorganBot, SilvonenBot, Pietro Roveri, OffsBlink, Vitor Mazuco, SpBot, Luckas-bot, LinkFA-Bot, Elísio12, Ptbotgourou, Hi- gor Douglas, Salebot, ArthurBot, DSisyphBot, Coriakin, Rpatinha, Xqbot, Lépton, Gean, Ricardo Ferreira de Oliveira, RedBot, Equipe Emprimeiro, Raphaelem, ÉratoS, Viniciusmc, EmausBot, TuHan-Bot, Reporter, Rengenesio, Stuckkey, Brendon Mauro, WikitanvirBot, Matheus de Siqueira Canedo, OriginalKratos, Dálet vav Dálet, PauloEduardo, Halan Crystian, Addbot, Holdfz, Jackgba e Anónimo: 106

9.2 Imagens

Ficheiro:Searchtool.svg Fonte: http://upload.wikimedia.org/wikipedia/commons/6/61/Searchtool.svg Licença: LGPL Contribuidores:

9.3 Licença