Information Leakage, Digital Fraud

Phishing: Introdução aos crimes cibernéticos

Por Deivid Luchi em
COMPARTILHAR

Phishing_

O ataque conhecido como Phishing (traduzido livremente para "pescaria") consiste em um atacante se passando por um órgão ou instituição na internet, com o objetivo de roubar os dados dos clientes da organização atacada, geralmente utilizando-se de páginas falsas. Esta técnica foi batizada com este nome devido ao modo como é operada, onde uma pessoa mal intencionada cria uma página falsa e distribui diversas mensagens se passando pela instituição (isca). A partir disso, o fraudador aguarda que os usuários mais despercebidos caiam na fraude (sejam fisgados, seguindo a analogia).

Phishing é uma forma de roubo de dados e de identidade que ocorre quando um website malicioso personifica um website legítimo, com o objetivo de obter dados como senhas, detalhes de contas de usuários, ou números de cartão de crédito. Phishing também podem ser enviados por e-mail para às vítimas como uma mensagem falsa, induzindo então o acesso ao website fraudulento. De acordo com o relatório da TrendMicro, o Brasil é o país líder em cibercrimes na América Latina, e quarto lugar no mundo. Quando o assunto é  phishing, o país gera cerca de 38% da quantidade total de ataques da América Latina e América Central.

Com o crescimento de fraudes digitais, um mercado foi formado ao redor deste tipo de ataque, e devido a isto, sua qualidade e nível de detalhe também cresceram significativamente. Hoje em dia, grande parte dos phishing tem grandes semelhanças ou até mesmo é uma cópia exata de todos os elementos visuais do website afetado, tornando-se assim mais efetivo e trazendo melhores resultados para os criminosos.

Como eu sei se estou na página oficial ou em uma página de phishing?

O phishing pode ser propagado por qualquer meio de comunicação, seja ele eletrônico como e-mail, mensagens de texto, publicações em redes sociais, entre outros, ou até mesmo em meios físicos como folhetos com links, banners, QR Codes, etc. Utilizam-se principalmente de duas técnicas: promoções de venda muito boas para serem verdade, e intimações por órgãos governamentais ou instituições. Por muitas vezes, criminosos se utilizam de e-mails oficiais de órgãos governamentais como por exemplo polícia, exército, correios, entre outros, para causar medo e com isto aumentar a possibilidade de cair em um phishing. Este tipo de instituição jamais irá entrar em contato para uma notificação por e-mail.

Você já deve  ter recebido mensagens como "a polícia está atrás de você, clique aqui para ver", "seu pedido está disponível para retirada nos correios, clique aqui", "você tem uma dívida com o banco XPTO, clique aqui para ver". Este tipo de mensagem é utilizado para convencer o usuário a acessar o link malicioso, que temendo ter algo errado ou uma pendência acaba preenchendo os dados solicitados e assim entregando-os a criminosos.

Instituições financeiras, órgãos governamentais e forças policiais nunca entram em contato por e-mail ou redes sociais para informar pendências, se você recebeu alguma destas mensagens, é muito provável que seja  golpe, e quando um produto está sendo ofertado por um preço inacreditável talvez realmente seja bom demais para ser verdade.

Acessei um site e não tenho certeza se é verdadeiro. O que eu faço?

  • Verifique a barra de endereço: websites que não contém um domínio, apenas o endereço IP, são altamente suspeitos;
  • Nome do domínio (Registro de DNS) anormal: websites que contenham um domínio similar ao de uma instituição, mas contém inconsistências no registro (registrados por outro nome que não a organização em questão) são grandes indicadores de fraude. Esta informação pode ser obtida através dos registros de domínio (Whois)(http://whois.domaintools.com);
  • Verifique a idade do domínio: domínios muito novos, com poucos dias ou meses de uso e que contém conteúdo de instituições tem grandes indicações de fraude, visto que a maioria das organizações conhecidas estão presentes na internet a diversos anos. Esta informação pode ser obtida através dos registros de domínio (Whois)(http://whois.domaintools.com);
  • Cheque o Certificado SSL: verifique se a página possui o certificado SSL válido (representado por um cadeado verde ao lado da barra de endereço). Existem casos onde fraudes contém certificados válidos, para verificar isto, clique no cadeado verde e veja se as informações correspondem a instituição;
  • Observe a presença de formulários no site: como o objetivo dos phishing é obter informações, diversos formulários solicitando todo o tipo de informação podem estar presentes na página, tentando se passar por um suposto recadastramento. Em caso de dúvida é recomendado testar com dados falsos, se a página for real, pode ser que algum dado falso  retornará com erro, páginas falsas costumam aceitar todo tipo de informação;
  • Endereço URL duvidoso: Para se assemelhar mais com a página real, os atacantes costumam manipular as URLs para se parecerem com a original, sendo feito com substituição de caracteres (substituir a letra "o" pelo número zero, letra "a" pelo símbolo @ e assim por diante), utilizam URLs muito longas (por exemplo, http://seubanco.com.br.xpto.abc.xyz.123.exemplo.com) ou a adição de prefixos e sufixos na barra de endereços (por exemplo, http://www.exemplo.com/xpto/abc/123/xyz/www.seubanco.com.br).

 

Como me proteger? 

Existem técnicas que você pode utilizar para a identificação de phishing:

  • Filtro de mensagens: o principal vetor de propagação de phishing e outros tipos de fraudes é o e-mail. Um bom sistema de filtro de mensagens e spams reduz o número de phishing chegando ao usuário;
  • Barras de segurança: diversas empresas de segurança distribuem softwares de segurança e outras ferramentas para navegadores. Estas barras monitoram os websites acessados e avisam o usuário quando uma página for maliciosa, como é o caso da barra do netcraft;
  • Identificação visual: Baseado nas características expostas acima você pode observar padrões que podem indicar tratar-se de um website falso;
  • Opte por plataformas com autenticação de múltiplos fatores para proteger seus serviços evitando assim que contas e serviços sejam acessadas. Caso um usuário informe seus dados a um phishing suas credenciais serão expostas, mas mesmo assim uma pessoa não autorizada não irá conseguir acessar.

 

Fontes_

ABURROUS, M.; HOSSAIN, A.; DAHAL, K. et al. Predicting Phishing Websites Using Classification Mining Techniques with Experimental Case Studies. 2010 Seventh International Conference on Information Technology: New Generations, 2010.

APWG,. Phishing Activity Trends Report. [s.l.: s.n.], 2016. Disponível em: <https://docs.apwg.org/reports/apwg_trends_report_q1_2016.pdf>. Acesso em: 30  ago.  2016.

BASNET, R.; MUKKAMALA, S.; SUNG, A. Detection of Phishing Attacks: A Machine Learning Approach. Soft Computing Applications In Industry. New Mexico, p. 373-383. 2008.

ELLEDGE, A. An Analysis of a Growing Threat. 2004. SANS Institute. Disponível em: <https://www.sans.org/reading-room/whitepapers/threats/phishing-analysis-growing-problem-1417>. Acesso em: 09 set. 2016.

TRENDMICRO, Brazil - Cybersecurity Challenges Faced by a Fast-Growing Market Economy, 2013. Disponível em: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-brazil.pdf

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Deivid Luchi

Deivid Luchi é apaixonado por tecnologia e inovação. Entusiasta de Machine Learning e IA em geral. Tecnólogo em Segurança da Informação formado pela Universidade do Vale do Rio dos Sinos - UNISINOS. Possui cerca de 10 anos de experiência profissional em TI, sendo os dois ultimos anos dedicado em segurança da informação como analista de segurança da informação e antifraude.