::: PHISHING
+ Não Morda Esta Isca

     Em setembro de 2003, falar de Phishing era quase como falar de física quântica: somente alguns poucos especialistas na matéria poderiam dissertar sobre o assunto. Doze meses depois, ele já era a maior ameaça de todos os tempos, com crescimento e projeção de danos muito superiores a qualquer vírus conhecido em toda a história.

     O que levou essa forma de malware (malicious software) a crescer nessa proporção acelerada?

     O dinheiro. Até 2003, era seguro afirmar que a grande maioria dos vírus e suas variantes, como os worms e trojans, tinham como objetivo causar danos na infra-estrutura e nos dados de pessoas e organizações. Mesmo quando isso se resumia em gastos de tempo e dinheiro, raras vezes o criador do programa malicioso recebia um benefício econômico pelo seu trabalho.

     Com o crescimento das atividades econômicas na internet, uma grande quantidade de programadores mal-intencionados desenvolveram tecnologias para enganar o usuário e assim se apoderar de informações essenciais como os dados de cartões de crédito, nomes de usuário e senhas de Internet Banking, conta e agência bancária. Esse é o conceito de fraude eletrônica.

+ Phishing, Definição Funcional

     O conjunto de técnicas empregadas para roubar a Identidade Eletrônica de um indivíduo, permitindo o acesso a áreas ou serviços privados em benefício próprio constitui delito de fraude e é conhecido como Phishing.

     A grande maioria dos esquemas de segurança estabelece que um indivíduo necessita, no mínimo, um Nome de Usuário e uma Senha para acessar áreas privadas, como contas de e-mail, Internet banking, Compras on-line e até seu próprio computador.

     Esses dados e demais dispositivos de segurança formam o que se conhece por “Identidade Eletrônica” ou, em alguns meios, “Credenciais” de um indivíduo.

     Mas, além disso, é importante ter o cuidado especial de não divulgar sua Identidade Eletrônica a ninguém. Qualquer pessoa que chegue a conhecer a senha do seu e-mail, por exemplo, poderia lê-lo e inclusive se passar por você diante dos olhos do receptor da mensagem.

     A maioria dos espiões virtuais têm como interesse o acesso à somente uma coisa: seu dinheiro.

+ Mas, Como Conseguiram Roubar Meu Dinheiro?

     Os Phishers são criminosos virtuais que utilizam uma combinação de Engenharia Social e elementos técnicos para roubar a Identidade Eletrônica de um indivíduo.

+ Guarde-o Debaixo Do Assento Dianteiro

     Entende-se por Engenharia Social, o método de ataque onde o invasor utiliza da ingenuidade e confiança do usuário para roubar informações sigilosas e a identidade eletrônica.

     Os esquemas de “Engenharia Sociais” mais utilizados são os e-mails falsos, projetados para atrair as vítimas a sites igualmente falsos, porém idênticos aos das instituições bancárias e de cartões de crédito que foram programados para solicitar ao visitante que divulgue sua informação sensível para depois fazer uso em benefício próprio.

     Ao instalar um tipo de software malicioso (keyloggers ou trojans) no equipamento da vítima, o invasor é capaz de captar o que o usuário escreve no teclado, conseguindo assim roubar sua identidade eletrônica.

     É através de sites falsos ou executáveis em anexos de e-mail desconhecidos que esses invasores podem agir, por isso repetimos a mesma recomendação de sempre: não siga links que venham em e-mails ou páginas que não sejam seguras, nem execute arquivos anexos em e-mails a menos que você saiba perfeitamente quem o enviou.

     Esse ato de instalar um software no equipamento do usuário, sem seu consentimento, para conseguir roubar sua identidade eletrônica é conhecido pelo nome de CRIMEWARE, já que é utilizado em uma atividade criminal que causa danos aos patrimônios das vítimas.

     Ao final, o criminoso dispõe de sua Identidade Eletrônica e com isso pode entrar em suas contas, ver seus saldos, solicitar transferências, comprar produtos e fazer tudo o que você mesmo faria sem que a instituição financeira tenha como saber que não é exatamente você que está fazendo tudo isso.

     Os ataques de Phishing causam maiores estragos entre usuários leigos em serviços de comércio e bancos eletrônicos, pois eles podem considerar verdadeiro o fato de receber um e-mail que solicite ir a um site para inserir sua informação.

     Mas não se alarme. A seção “Recomendações” traz conselhos simples que ajudam a fazer praticamente impossível que isso aconteça. Esteja consciente de que isso pode acontecer se as precauções adequadas não forem tomadas. Quanto mais informado você estiver, mais difícil será surpreenderem você, mesmo que seja um usuário principiante.

     Cabe ressaltar ainda que, embora mais de 90% das campanhas de Phishing abranjam o setor financeiro, são registrados ataques a sistemas de comércio eletrônico como eBay e PayPal, serviços de reservas como Expedia.com e a vários estabelecimentos comerciais, entre outros.

+ Bloqueie As Imagens

     Do mesmo modo que um farol transmite mensagens por meio de um facho de luz, as imagens em mensagens de e-mail (também chamadas de "Web beacons") podem se adaptar para enviar mensagens ao remetente. Os criadores de e-mails indesejados se baseiam nessa informação para localizar os endereços de e-mail ativos.

     As imagens também podem conter código mal-intencionado permitindo que as mensagens enganem os filtros.

     O melhor que você pode fazer contra esses "web beacons" é impedir o download das imagens até que possa verificar a mensagem em questão. De forma predeterminada, o MSN Hotmail e o Microsoft Outlook 2003 bloqueiam o download de imagens incluídas em mensagens enviadas a partir de endereços que não se encontram em seu catálogo. Adicionalmente, o Outlook Express incrementa o nível de proteção contra os “Web beacons” se for utilizado junto com o Windows XP Service Pack 2.

+ Cenário Para As Farsas

     Em praticamente todos os casos, você recebe um e-mail que procura enganá-lo de duas formas conhecidas:

     Cenário nº 1: O arquivo anexo.

     Você recebe um e-mail informando que seu serviço de banco on-line foi suspenso por várias causas e que você deve seguir as instruções contidas no arquivo anexo para restabelecê-lo.

     No momento em que você executa o arquivo anexo, um código trojan (keylogger) é instalado no seu computador sem que você perceba. A partir desse momento, esse código malicioso fica encarregado de armazenar tudo o que você fizer no seu equipamento. O que escrever no teclado, os programas executados, os movimentos do mouse e tudo que fizer serão transmitidos para sites especiais em que toda essa informação será revisada por pessoas mal-intencionadas, que podem facilmente distinguir quais são os nomes de usuário, senhas e demais dados necessários para cometerem suas fraudes.

     Cenário nº 2: O site falso.

     Nesse caso, o e-mail explica que por diferentes causas (todas falsas) sua instituição financeira requer que você confirme todas suas informações confidenciais, pedindo que você visite uma página da internet em que serão cobrados seus dados como número da conta, nome de usuário, senha e outros.

     Quase sempre incluem um link para “facilitar” as coisas para você. Quando você clicar sobre ele, será levado a um site falso.

     Uma variante desse cenário acontece ao visitar um site fraudulento, um código trojan (keylogger) é automaticamente instalado no seu equipamento sem sua aceitação, criando então o mesmo risco para sua privacidade apresentado no cenário nº 1.

     É válido mencionar que esses e-mails e sites falsos são projetados com muita atenção aos detalhes. É muito difícil distingui-los dos reais e, de fato, requere preciso muita criatividade e conhecimentos técnicos para desenvolvê-los.

     Se você tem interesse em conhecer modelos diferentes que foram realmente utilizados por criminosos para enganar os usuários, o Anti-Phishing Working Group, uma organização sem fins lucrativos que se dedica a combater esse câncer da informática, publica em seu site um arquivo histórico que pode ser consultado em http://www.antiphishing.org/phishing_archive.html (em inglês).

     Finalmente, reiteramos a importância de se educar neste tema para se manter alerta e protegido. Não deixe de consultar a seção mais adiante em que se explica o que é o Pharming, outro modelo tecnológico pensado para enganar o usuário e obter sua Identidade Eletrônica. A seção “Tecnologia Explicada” o ajuda a entender o conceito de Crimeware.

     Não se deixe surpreender, atualize seus conhecimentos!

+ Como Se Proteger De Ataques De Phishing

     Na tabela abaixo, você encontrará recomendações importantes de segurança que o ajudarão a evitar esquemas de fraude. Como poderá notar, algumas são relativas à segurança em geral, por isso as informações da coluna Observações o ajudará em relação direta ao Phishing.

Recomandações: Porque... Observações:

    Mantenha atualizados seu sistema operacional e todos os seus componentes.

    Visite o Centro de Atualização da Microsoft.

    Utilize um software antivírus e o mantenha atualizado

    Instale um Firewall pessoal

    Instale um software antivírus e o mantenha atualizado

    Configure os níveis de Segurança e Privacidade do Internet Explorer em um nível não menor que Médio.

     Não clique sobre um link de e-mail se não pode verificar a autenticidade do remetente.

    Não deixe de ler a seção sobre o tema “Pharming”.

    Certifique-se de estar em um site seguro se for realizar operações de comércio ou banco eletrônicos.

    NOTA: Devemos mencionar que, infelizmente, mesmo quando o endereço do site comece com https:// e apareça o ícone do cadeado, existe uma pequena possibilidade de que ambos sejam falsos. Uma vulnerabilidade chamada Cross-Site Scripting (XSS), por exemplo, permite implementar esses elementos e dar a falsa sensação de segurança a um usuário.

    Entretanto, devemos também dizer que praticamente todos os sites de instituições financeiras estão atualizados para não permitir um ataque por esse meio. Informações detalhadas… (em inglês)

    Nunca revele a ninguém sua informação confidencial.

    Mude seus nomes de usuário e senhas com certa freqüência.

    Aprenda a distinguir os sinais de advertência.

    Pense em instalar uma barra de ferramentas no seu navegador que o proteja de sites fraudulentos.

    Evite realizar operações financeiras a partir de lugares públicos.

    Verifique periodicamente todas as suas contas às quais tenha acesso eletrônico.

    Diante de qualquer irregularidade, entre em contato com sua instituição financeira.

    Relate os e-mails fraudulentos.

    Mantenha-se atento aos alertas e recomendações da sua instituição financeira ou de comércio eletrônico.

    Uma grande quantidade de ataques a PCs nos quais se “plantam” códigos maliciosos para roubar sua identidade é obtida através de vulnerabilidades do sistema operacional ou de algum de seus componentes.

    Quase a totalidade dos códigos maliciosos enviados em arquivos anexos de e-mail é detida pelos programas antivírus comerciais.

    Se o antivírus não detectar um código malicioso, tenha certeza se que o firewall pode se comunicar com um site fraudulento mediante “backdoors” do seu equipamento. Um firewall mantém essas “portas” fechadas para evitar tal comunicação.

    Infelizmente somente é necessário visitar algumas páginas da Web para que seu equipamento fique automaticamente contaminado com software que espia suas atividades e que em muitos casos não é detectado pelo antivírus.

    Dessa forma, o Internet Explorer não permitirá que sejam depositados em seu equipamento arquivos de identificação potencialmente perigosos e o avisará quando um controle ativo tentar se executar no seu equipamento.

    Uma das coisas mais simples para um Phisher é disfarçar o endereço ao qual você realmente será levado se clicar sobre um link. Ainda que o link possa ser lido no e-mail e diz algo como http://www.sitexyz.com/registro, ele pode na realidade levá-lo a outro lugar.

    As instituições sérias protegem a segurança de seus clientes por meio de “Certificados de Segurança” em seus sites, que, entre outras coisas, permitem criptografar a informação que você envia para que ela viaje segura pela Internet. Assim você pode confiar que dados confidenciais, como senhas, números de conta ou de cartões de crédito, não sejam vistos por delinqüentes.

    Lembre-se de que sua Identidade Eletrônica é tudo o que um delinqüente precisa para entrar em suas contas e realizar todas as operações que você mesmo poderia fazer.

    Dessa forma, você limita ainda mais a possibilidade de uma fraude, mas ainda assim utilize senhas complexas mas fáceis de recordar.

    Você pode evitar os perigos se aprender a distinguir métodos fraudulentos para se apoderar da sua identidade eletrônica.

    Essas barras estão associadas a bases de dados com o registro de todos os sites que foram relatados como fraudulentos. Quando você tentar visitá-los, receberá um aviso.

    Os cybercafés, clubes de Internet, aeroportos e demais lugares com acessos públicos e abertos apresentam um risco muito alto de que sua informação seja roubada.

    Às vezes abrimos contas em lugares que utilizamos uma única vez, por exemplo, o sistema PayPal para pagar algum serviço, ou o eBay para poder fazer alguma compra, e depois leva muito tempo para as usarmos novamente.

    Elas são o melhor meio para verificar se um e-mail é autêntico.

    Dessa forma, você ajuda a proteger o resto da comunidade da Internet.

    Nesses sites é comum agora encontrar seções especialmente dedicadas à segurança com informação sempre atualizada das ameaças às quais você deve dar mais atenção.

    Um estudo da CompTIA (em inglês) demonstrou que os ataques baseados em falhas do Internet Explorer cresceram pelo terceiro ano consecutivo. Neste último estudo, demonstra-se que 56,6% das 500 organizações participantes reportaram ter sofrido ataques desse tipo.

    Dessa maneira, você evitará que um usuário mal-intencionado possa “plantar” software (keyloggers) que registre sua atividade e a envie a sites fraudulentos.

    Se seu sistema operacional é o Windows XP, o Service Pack 2 inclui um firewall que se configura automaticamente para proteger você.

    Visite o Centro de Atualização da Microsoft para garantir que está contando com ele.

    A Microsoft oferece uma versão gratuita do seu software antivírus a usuário de cópias legítimas do Windows, que também é atualizado automaticamente.

Faça o download aqui.

    Vá a Ferramentas -> Opções da Internet e verifique os níveis nas guias “Segurança” e “Privacidade” para garantir que não estejam abaixo do nível “Médio”.

    Sempre é preferível escrever o endereço URL completo quando desejar visitar um site, principalmente quando se trata de um com atividade sensível, como seria o do seu banco. O melhor é abrir seu navegador e no campo Endereço digitar o site que deseja visitar, por exemplo: http://www.bancoxyz.com

    Verifique se o endereço do site em que você se encontra começa por https:// no lugar do tradicional http://.
O “s” adicional significa “Seguro”.
Além disso, observe o símbolo de cadeado que aparece na barra inferior do seu navegador, o que indica que o site conta com um certificado de segurança. Você pode dar um clique duplo sobre esse ícone para saber os detalhes dele, que empresa o expediu, quando vence, etc.

    Evite inclusive entregar sua informação a pessoas de sua confiança, pois até eles podem acidentalmente passá-las para terceiros.

    Se você suspeita que sua Identidade Eletrônica foi roubada, mude sua senha de imediato e relate o ocorrido à sua instituição financeira.

    Suspeite sempre de:
a) solicitações de informação pessoal via e-mail;
b) mensagens com ofertas muito atrativas para serem verdade, ou seja, muito alarmistas;
c) erros de redação – muitas dessas mensagens vêm da Ásia e de outros países do Ocidente, por isso podem apresentar erros evidentes de escrita;
d) mensagens que não venham personalizadas.

    Verifique os links dessa seção com informações sobre a barra gratuita que a NetCraft oferece e que foi avaliada pela nossa empresa.

    Se você inclusive utiliza seu laptop em um lugar com acesso sem fio aberto (mesmo que não seja gratuito), realizar operações com suas contas também pode implicar um risco. Na medida do possível, realize-as a partir de seu escritório ou casa em um PC que seja de sua confiança.

    Nessas contas podem estar sendo realizadas operações em seu nome sem que você saiba. Não passe mais de 30 dias sem verificá-las.

    Se você vai chamar sua instituição financeira, ignore os números de telefone que estejam incluídos nas mensagens, porque eles também podem ser igualmente falsos. Ligue para um número que você conheça ou que esteja nas páginas amarelas.

    Redirecione a mensagem intacta ao endereço: reportphishing@antiphishing.org

    Não se esqueça também de checar as recomendações da Febraban, que você pode conferir aqui.

Voltar