O fenmeno do Phishing no Facebook

Francisco Pereira*

2012

Visite-nos em: http://protejainternet.blogspot.com

*Consultor/Formador em Segurana da Internet

O fenmeno do Phishing no Facebook

O processo de Phishing no Facebook no um mtodo utilizado para simplesmente enganar o utilizador e roubar os seus dados de acesso conta do Facebook, existem objectivos mais maliciosos na mente dos cibercriminosos que utilizam os ataques de phishing. Por muito seguras que sejam as redes, por muitas camadas de segurana que existam nos servidores e nas ligaes, ao elemento humano, em ltima instncia ao utilizador, mais concretamente ao utilizador domstico que cabe o processo de entender as tcticas envolvidas nos processos de phishing no Facebook e por que o Facebook um alvo to lucrativo para os criminosos.

Perfis do Facebook Os perfis do Facebook tm permitido que os ataques de phishing se tenham tornado mais fceis de executar. Muitos utilizadores do Facebook ainda no perceberam quo importante configurar correctamente as suas configuraes de privacidade, no permitindo que estranhos possam ter acesso s imagens, nomes, endereos, nmeros de telefone, endereos de correio electrnico e quaisquer outras informaes pessoais que estejam disponveis na sua conta do Facebook. Os ataques de phishing tornam-se mais fceis de realizar se o atacante conseguir alguma informao de base que possa ser utilizada para enganar a vtima e dessa forma obter mais informaes.

Os perfis do Facebook podem ajudar muito a executar os ataques de spear phishing. O ataque spear phishing visa especificamente as organizaes e ou empresas em geral. Um ataque desse tipo comearia por procurar por perfis do Facebook e encontrar funcionrios de uma organizao que o cibercriminoso ir de seguida atacar. Os criminosos procuram encontrar informaes como seja o cargo que a vtima ocupa no seu local de emprego, o endereo de correio electrnico do local de trabalho bem como o nmero de telefone. A obteno do endereo de correio electrnico da empresa pode ajudar a identificar a conveno de nomenclatura do correio electrnico da empresa. Os perfis do Facebook tm permitido aos cibercriminosos reunir informaes que lhes facilitam o trabalho para atingir informaes mais valiosas. muito mais fcil convencer uma puder recolhidas vtima, se o as as

cibercriminoso informaes

relacionar com

informaes retiradas do perfil da vtima. tambm muito mais fcil criar um endereo de e-mail falso relacionado com a vtima, caso o cibercriminoso saiba algo sobre a vida pessoal e profissional da vtima. Informaes constantes de um perfil, mesmo as muito simples, como a orientao poltica da vtima podem ajudar a criar uma mensagem de correio electrnico que relacionando-se com as ideias fundamentais da vtima a poder levar a aceder a um site que vai infectar com malware o computador da vtima, ou de forma enganosa levar a pessoa a fornecer informaes pessoais.

Os Grupos do Facebook Os Grupos do Facebook so um recurso recente adicionado ao Facebook. Estas aplicaes permitem que pessoas com interesses semelhantes, de trabalho na mesma empresa, de hobbies ou de outro qualquer assunto, possam participar num grupo e falar com outras pessoas que partilhem os mesmos interesses. Um cibercriminoso pode ento criar uma conta falsa e participar num desses grupos, integrado-se lentamente, ficando numa posio que lhe permite recolher e divulgar informaes.

Numa empresa que j alvo de ataques de phishing, esses grupos no Facebook oferecerem uma outra oportunidade que os cibercriminosos exploram. Um cibercriminoso pode buscar informao atravs dos perfis do Facebook, criando seguidamente uma conta de correio electrnico falsa em que vai utilizar cargos de funcionrios de uma empresa bem como a mesma conveno de e-mail utilizada por funcionrios da empresa no Facebook. Dessa forma o criminoso poder juntar-se ao grupo da empresa, que provavelmente no est a ser monitorizado e a partir da recolher informaes importantes. Uma vez junto ao grupo, o cibercriminoso pode por exemplo colocar uma mensagem no mural do grupo afirmando que o departamento de recursos humanos lanou recentemente um qualquer programa,

nessa mensagem surge uma ligao para uma pgina aparentemente legtima. Os funcionrios ao clicarem na ligao e digitarem as suas credenciais da empresa, acabam a olhar para uma pgina com uma qualquer mensagem com por exemplo work in progress", enquanto a sua informao foi roubada pelo site falso de phishing. Existe uma mirade de grupos no Facebook, o cibercriminoso pode perfeitamente participar e criar sites falsos para desenvolver a sua actividade criminosa. Existem uns mais apetecveis do que outros, algumas das temticas mais apetecidas e alvo de ataques incluem: Voluntariado - Grupos sem fins lucrativos organizao de eventos relativos ao combate ao cancro, autismo e outras causas sociais. Condomnios Existem Condomnios que tm grupos e os moradores so os participantes. Assuntos teis Como por exemplo empresas de telemveis, companhias de guas, empresas fornecedoras de electricidade, todos esses grupos tm fs para participar. Eventos de celebridades - Eventos de celebridades, ou sites de fs de celebridades.

Tenha ateno que um site falso pedindo um login com credenciais pode ser criado e compartilhado em qualquer um desses grupos, se houver pouca ou nenhuma moderao nesse grupo, os criminosos podem ludibriar as vtimas e leva-las a fornecer as suas informaes.

Aplicativos para o Facebook Este tipo de ferramentas tem crescido exponencialmente. Existem aplicativos no Facebook para todos os tipos de utilizadores, jogos, agregadores de notcias, tabelas de aniversrios entre outros. Na maioria das vezes, o perigo no advm do aplicativo, so as aces que os criminosos podem realizar utilizando as aplicao para enganar os utilizadores. Um mtodo comum de ataque de phishing atravs do uso de aplicativos do Facebook , centra-se na criao de uma aplicao que ir gerar uma mensagem falsa de erro no perfil da vtima no Facebook. A vtima vai usar um motor de busca como o Google ou Bing para determinar a origem dessa mensagem de erro. O primeiro resultado que oferece soluo para esse problema realmente um site destinado a instalar malware ou redireccionar a vtima a uma pgina falsa do Facebook, ou em alguns casos, ambos. A vtima ou infectado com malware ou tenta entrar e fornece as suas credenciais de acesso. Outro mtodo de ataque de phishing combinar o ataque com a falsificao, para tal criada uma aplicao que ir enviar links para a lista de amigos. A vtima instala o aplicativo, o aplicativo em si poder ter um aspecto inocente como por exemplo um jogo, nesse caso a vtima inicia o jogo obtm uma pontuao sendo-lhe solicitado se deseja postar a sua pontuao, um registo falso surge no monitor e a vtima fornece desse modo as suas credenciais de acesso. Os cibercriminosos tambm pode desenvolver aplicaes que utilizam o JavaScript a correr nos bastidores. O que vai acontecer o seguinte, durante a execuo da aplicao, numa fraco de segundo, quando o script carrega, enviado um sinal de chamada para um site falso do Facebook, ento rapidamente surgem actualizaes, redireccionando a barra de endereos novamente para o Facebook. A vtima no se apercebe da diferena e continua at que uma caixa de login aparea no monitor.

A vtima digita as suas credenciais de acesso, pensando que a ligao estava desconectada, completa assim a fraude fornecendo as suas informaes sem sequer se aperceber que est a ser enganada.

O Chat e o sistema de mensagens internas do Facebook Um dos ltimos recursos para o Facebook o recurso de chat. Ele permite a comunicao imediata com os amigos, como qualquer sistema de mensagens. O perigo reside em mensagens de phishing para as vtimas. Pode ser uma mensagem simples, com um URL encurtado solicitando vtima para votar numa determinada aplicao, como por exemplo: "Vote em mim ',' Ol ',' Confira 121.im '. A vtima clica no link e acaba a ser redireccionada para um site falso do Facebook, afirmando que o utilizador deve entrar para votar. Em muitos casos, os pedidos legtimos do Facebook no solicitam aos utilizadores o uso das suas credenciais de acesso, ou para instalar ou usar um aplicativo, fazendo com que este golpe seja muito mais eficaz. Uma outra tctica de ataque passa pelo envio de uma mensagem vtima, utilizando o sistema interno do Facebook, o cibercriminoso age como se fosse um amigo, pedindo ajuda. A mensagem informa que o pretenso amigo est num outro pas e foi assaltado e necessita de ajuda para voltar para casa. Nessa mensagem tambm disponibilizado um link direccionado para um site falso de transferncia de dinheiro ou para um banco. A vtima no consciente do logro vai clicar no link e tentar fazer o login, fornecendo as suas credenciais do banco desse modo permitindo um ataque de phishing bem sucedido, pois invariavelmente a vtima ver o seu dinheiro roubado pelo criminoso.

Ataque por correio electrnico Um outro modo de ataque, levado a cabo atravs do mtodo antigo de correio electrnico. O cibercriminoso envia uma mensagem de correio electrnico para um utilizador do Facebook a partir de um endereo falso de correio electrnico, nessa mensagem a vtima informada que a sua senha foi recentemente

comprometida e deve ser alterada.

A vtima recebe junto com a mensagem um anexo com a nova senha, esse documento foi anexado mensagem para convenincia da vtima, isto segundo o texto da mensagem, toda a gente gosta de ser poupado a maadas, pois com isso que o cibercriminoso conta, na realidade esse anexo um programa de malware, projectado para roubar as senhas da vtima a partir do seu computador, enviando esses dados para o cibercriminoso sem a vtima saber.

O Video Chat do Facebook Os golpes do Facebook e os vrus que se propagam atravs dessa rede social crescem a cada dia, isto no nenhuma surpresa, os cibercriminosos esto actualmente a aproveitar-se da nova funcionalidade de vdeo chamada, para novos esquemas fraudulentos. O mais recente golpe do Facebook faz uso do recurso Video Chat. Os utilizadores so levados a aprovar pedidos para ter permisses mais liberais. No entanto, existem alguns problemas mais visveis com essas permisses quando realmente se l o acordo de utilizao. Afinal, porque que um aplicativo que vem directamente do Facebook pede para aceder aos seus dados, quando o Facebook pode fazer isso sempre que quiser. Podemos tambm argumentar que uma aplicao de chamada de vdeo no precisa de colocar posts no seu mural e no feed de notcias, no entanto a aplicao Google Hangouts faz algo semelhante no Google +.

Aparentemente, este novo golpe no to nocivo como outros golpes do Facebook tem sido. Este actual esquema envia spam aos amigos do utilizador, bem como leva o utilizador a efectuar pesquisas que geram taxas de referncia para os cibercriminosos. Assim sendo da prxima vez que receber uma mensagem no seu mural no Facebook que diz "Permitir chamadas de vdeo", no clique nele. Se desejar configurar a verso vlida e oficial de vdeo com o Skype, verifique as

instrues autnticas do Facebook, neste link. A aplicao Converse com seus amigos face a face, uma rplica do recurso de chamada de vdeo oficial do Facebook, foi criada para permitir conversas de vdeo com amigos no Facebook sem ter que baixar e instalar o arquivo do aplicativo oficial. Quando um utilizador d permisso para a aplicao, essa aplicao automaticamente envia uma mensagem no mural do utilizador direccionando o utilizador para um site de pesquisa. Os Spammers ganham dinheiro ou comisses quando os utilizadores respondem s pesquisas. Por vezes, ao autorizar essa aplicao poder tambm estar a fazer download de programas maliciosos que podem servir para roubar os seus dados pessoais sem o seu conhecimento.

Recomenda-se que nunca clique em mensagens deste tipo, removendo quaisquer mensagens no seu mural do Facebook que faam referncia a "chamadas de vdeo" ou "Activar vdeo chamadas imediatamente. O utilizador dever tambm relatar essas mensagens ao Centro de Segurana Facebook.

Concluso O Facebook, tal como outras redes sociais, est sujeito a esquemas fraudulentos, o utilizador desse tipo de aplicaes deve estar perfeitamente ciente dos pressupostos de segurana que envolvem a utilizao das redes sociais neste caso do Facebook. Os utilizadores devem ter conscincia de que so o elo mais fraco da equao, por causa disso todo o conhecimento que obtenha sobre os processos fraudulentos que possam ocorrer na utilizao das aplicaes existentes na Internet, so uma ajuda de extrema importncia para manter uma utilizao segura da Internet. Todo o cuidado pouco, a preveno e o conhecimento sobre os mecanismos de segurana, bem como dos tipos de fraude, mantendo-se sempre actualizado, so pressupostos essenciais para garantir ao utilizador domstico uma mais segura utilizao dos meios informticos.

@protejainternet