| |
NÃO MORDA ESTA ISCA
|
Em setembro
de 2003, falar de Phishing era quase como falar de física
quântica: somente alguns poucos especialistas
na matéria poderiam dissertar sobre o assunto.
Doze meses depois, ele já era a maior ameaça
de todos os tempos, com crescimento e projeção
de danos muito superiores a qualquer vírus conhecido
em toda a história.
O que levou essa forma de malware (malicious software)
a crescer nessa proporção acelerada?
O dinheiro. Até 2003, era seguro
afirmar que a grande maioria dos vírus e suas
variantes, como os worms e trojans, tinham como objetivo
causar danos na infra-estrutura e nos dados de pessoas
e organizações. Mesmo quando isso se resumia
em gastos de tempo e dinheiro, raras vezes o criador
do programa malicioso recebia um benefício econômico
pelo seu trabalho.
Com o crescimento das atividades econômicas na
internet, uma grande quantidade de programadores mal-intencionados
desenvolveram tecnologias para enganar o usuário
e assim se apoderar de informações essenciais
como os dados de cartões de crédito, nomes
de usuário e senhas de Internet Banking, conta
e agência bancária. Esse é o conceito
de fraude eletrônica.
|
PHISHING, DEFINIÇÃO FUNCIONAL
|
| O conjunto de técnicas
empregadas para roubar a Identidade Eletrônica de
um indivíduo, permitindo o acesso a áreas
ou serviços privados em benefício próprio
constitui delito de fraude e é conhecido como Phishing.
A grande maioria dos esquemas de segurança estabelece
que um indivíduo necessita, no mínimo,
um Nome de Usuário e uma Senha
para acessar áreas privadas, como contas de e-mail,
Internet banking, Compras on-line e até seu próprio
computador.
Esses dados e demais dispositivos de segurança
formam o que se conhece por “Identidade
Eletrônica” ou, em alguns meios,
“Credenciais” de um indivíduo.
Mas, além disso, é importante ter o cuidado
especial de não divulgar sua Identidade Eletrônica
a ninguém. Qualquer pessoa que chegue a conhecer
a senha do seu e-mail, por exemplo, poderia lê-lo
e inclusive se passar por você diante dos olhos
do receptor da mensagem.
A maioria dos espiões virtuais têm como
interesse o acesso à somente uma coisa: seu dinheiro.
|
MAS COMO CONSEGUIRAM ROUBAR MEU DINHEIRO?
|
| |
| Os Phishers
são criminosos virtuais que utilizam uma combinação
de Engenharia Social e elementos técnicos para
roubar a Identidade Eletrônica de um indivíduo.
Entende-se por Engenharia Social, o método de
ataque onde o invasor utiliza da ingenuidade e confiança
do usuário para roubar informações
sigilosas e a identidade eletrônica.
Os esquemas de “Engenharia Sociais” mais
utilizados são os e-mails falsos, projetados
para atrair as vítimas a sites igualmente falsos,
porém idênticos aos das instituições
bancárias e de cartões de crédito
que foram programados para solicitar ao visitante que
divulgue sua informação sensível
para depois fazer uso em benefício próprio.
Ao instalar um tipo de software malicioso (keyloggers
ou trojans) no equipamento da vítima, o invasor
é capaz de captar o que o usuário escreve
no teclado, conseguindo assim roubar sua identidade
eletrônica.
É através de sites falsos ou executáveis
em anexos de e-mail desconhecidos que esses invasores
podem agir, por isso repetimos a mesma recomendação
de sempre: não siga links que venham em e-mails
ou páginas que não sejam seguras, nem
execute arquivos anexos em e-mails a menos que você
saiba perfeitamente quem o enviou.
Esse ato de instalar um software no equipamento do
usuário, sem seu consentimento, para conseguir
roubar sua identidade eletrônica é conhecido
pelo nome de CRIMEWARE, já que
é utilizado em uma atividade criminal que causa
danos aos patrimônios das vítimas.
Ao final, o criminoso dispõe de sua
Identidade Eletrônica e com isso pode entrar em
suas contas, ver seus saldos, solicitar transferências,
comprar produtos e fazer tudo o que você mesmo
faria sem que a instituição financeira
tenha como saber que não é exatamente
você que está fazendo tudo isso.
Os ataques de Phishing causam maiores estragos entre
usuários leigos em serviços de comércio
e bancos eletrônicos, pois eles podem considerar
verdadeiro o fato de receber um e-mail que solicite
ir a um site para inserir sua informação.
Mas não se alarme. A seção “Recomendações”
traz conselhos simples que ajudam a fazer praticamente
impossível que isso aconteça. Esteja consciente
de que isso pode acontecer se as precauções
adequadas não forem tomadas. Quanto mais informado
você estiver, mais difícil será
surpreenderem você, mesmo que seja um usuário
principiante.
Cabe ressaltar ainda que, embora mais de 90% das campanhas
de Phishing abranjam o setor financeiro, são
registrados ataques a sistemas de comércio eletrônico
como eBay e PayPal, serviços de reservas como
Expedia.com e a vários estabelecimentos comerciais,
entre outros.
|
BLOQUEIE AS IMAGENS
|
| |
Do mesmo modo
que um farol transmite mensagens por meio de um facho
de luz, as imagens em mensagens de e-mail (também
chamadas de "Web beacons") podem se adaptar
para enviar mensagens ao remetente. Os criadores de e-mails
indesejados se baseiam nessa informação
para localizar os endereços de e-mail ativos. As
imagens também podem conter código mal-intencionado
permitindo que as mensagens enganem os filtros.
O melhor que você pode fazer contra esses "web
beacons" é impedir o download das imagens
até que possa verificar a mensagem em questão.
De forma predeterminada, o MSN Hotmail e o Microsoft Outlook
2003 bloqueiam o download de imagens incluídas
em mensagens enviadas a partir de endereços que
não se encontram em seu catálogo. Adicionalmente,
o Outlook Express incrementa o nível de proteção
contra os “Web beacons” se for utilizado junto
com o Windows XP Service Pack 2. |
CENÁRIOS PARA A FARSA
|
| |
| Em praticamente
todos os casos, você recebe um e-mail que procura
enganá-lo de duas formas conhecidas:
Cenário nº 1: O arquivo anexo.
Você recebe um e-mail informando que seu serviço
de banco on-line foi suspenso por várias causas
e que você deve seguir as instruções
contidas no arquivo anexo para restabelecê-lo.
No momento em que você executa o arquivo anexo,
um código trojan (keylogger) é instalado
no seu computador sem que você perceba. A partir
desse momento, esse código malicioso fica encarregado
de armazenar tudo o que você fizer no seu equipamento.
O que escrever no teclado, os programas executados,
os movimentos do mouse e tudo que fizer serão
transmitidos para sites especiais em que toda essa informação
será revisada por pessoas mal-intencionadas,
que podem facilmente distinguir quais são os
nomes de usuário, senhas e demais dados necessários
para cometerem suas fraudes.
Cenário nº 2: O site falso.
Nesse caso, o e-mail explica que por diferentes causas
(todas falsas) sua instituição financeira
requer que você confirme todas suas informações
confidenciais, pedindo que você visite uma página
da internet em que serão cobrados seus dados
como número da conta, nome de usuário,
senha e outros.
Quase sempre incluem um link para “facilitar”
as coisas para você. Quando você clicar
sobre ele, será levado a um site falso.
Uma variante desse cenário acontece ao visitar
um site fraudulento, um código trojan (keylogger)
é automaticamente instalado no seu equipamento
sem sua aceitação, criando então
o mesmo risco para sua privacidade apresentado no cenário
nº 1.
É válido mencionar que esses e-mails
e sites falsos são projetados com muita atenção
aos detalhes. É muito difícil distingui-los
dos reais e, de fato, requere preciso muita criatividade
e conhecimentos técnicos para desenvolvê-los.
Se você tem interesse em conhecer modelos diferentes
que foram realmente utilizados por criminosos para enganar
os usuários, o Anti-Phishing Working Group, uma
organização sem fins lucrativos que se
dedica a combater esse câncer da informática,
publica em seu site um arquivo histórico que
pode ser consultado em http://www.antiphishing.org/phishing_archive.html
(em inglês).
Finalmente, reiteramos a importância de se educar
neste tema para se manter alerta e protegido. Não
deixe de consultar a seção mais adiante
em que se explica o que é o Pharming, outro modelo
tecnológico pensado para enganar o usuário
e obter sua Identidade Eletrônica. A seção
“Tecnologia Explicada” o ajuda a entender
o conceito de Crimeware.
Não se deixe surpreender, atualize seus
conhecimentos!
|
COMO SE PROTEGER DO ATAQUE DE PHISHING |
| |
Na
tabela abaixo, você encontrará recomendações
importantes de segurança que o ajudarão
a evitar esquemas de fraude. Como poderá notar,
algumas são relativas à segurança
em geral, por isso as informações da coluna
Observações o ajudará em relação
direta ao Phishing. |
| |
|
| RECOMENDAÇÃO |
PORQUE... |
OBSERVAÇÕES |
| Mantenha
atualizados seu sistema operacional e todos os seus
componentes. Visite o Centro de Atualização
da Microsoft.
|
Uma
grande quantidade de ataques a PCs nos quais se
“plantam” códigos maliciosos
para roubar sua identidade é obtida através
de vulnerabilidades do sistema operacional ou de
algum de seus componentes. |
Um
estudo da CompTIA (em inglês) demonstrou que
os ataques baseados em falhas do Internet Explorer
cresceram pelo terceiro ano consecutivo. Neste último
estudo, demonstra-se que 56,6% das 500 organizações
participantes reportaram ter sofrido ataques desse
tipo. |
| Utilize um software
antivírus e o mantenha atualizado |
Quase a totalidade dos códigos
maliciosos enviados em arquivos anexos de e-mail
é detida pelos programas antivírus
comerciais. |
Dessa maneira, você
evitará que um usuário mal-intencionado
possa “plantar” software (keyloggers)
que registre sua atividade e a envie a sites fraudulentos.
|
| Instale
um Firewall pessoal |
Se
o antivírus não detectar um código
malicioso, tenha certeza se que o firewall pode
se comunicar com um site fraudulento mediante “backdoors”
do seu equipamento. Um firewall mantém essas
“portas” fechadas para evitar tal comunicação. |
Se
seu sistema operacional é o Windows XP,
o Service Pack 2 inclui um firewall que se configura
automaticamente para proteger você.
Visite o Centro
de Atualização da Microsoft
para garantir que está contando com ele. |
| Instale um software
antivírus e o mantenha atualizado |
Infelizmente somente
é necessário visitar algumas páginas
da Web para que seu equipamento fique automaticamente
contaminado com software que espia suas atividades
e que em muitos casos não é detectado
pelo antivírus. |
A Microsoft oferece
uma versão gratuita do seu software antivírus
a usuário de cópias legítimas
do Windows, que também é atualizado
automaticamente.
Faça
o download aqui. |
| Configure
os níveis de Segurança e Privacidade
do Internet Explorer em um nível não
menor que Médio. |
Dessa
forma, o Internet Explorer não permitirá
que sejam depositados em seu equipamento arquivos
de identificação potencialmente perigosos
e o avisará quando um controle ativo tentar
se executar no seu equipamento. |
Vá
a Ferramentas | Opções da Internet
e verifique os níveis nas guias “Segurança”
e “Privacidade” para garantir que não
estejam abaixo do nível “Médio”. |
| Não clique sobre
um link de e-mail se não pode verificar a
autenticidade do remetente. Não deixe
de ler a seção sobre o tema “Pharming”.
|
Uma das coisas mais
simples para um Phisher é disfarçar
o endereço ao qual você realmente será
levado se clicar sobre um link. Ainda que o link
possa ser lido no e-mail e diz algo como http://www.sitexyz.com/registro,
ele pode na realidade levá-lo a outro lugar. |
Sempre é preferível
escrever o endereço URL completo quando desejar
visitar um site, principalmente quando se trata
de um com atividade sensível, como seria
o do seu banco. O melhor é abrir seu navegador
e no campo Endereço digitar o site que deseja
visitar, por exemplo, http://www.bancoxyz.com. |
| Certifique-se
de estar em um site seguro se for realizar operações
de comércio ou banco eletrônicos.
NOTA: Devemos mencionar que,
infelizmente, mesmo quando o endereço do
site comece com https:// e apareça o ícone
do cadeado, existe uma pequena possibilidade de
que ambos sejam falsos. Uma vulnerabilidade chamada
Cross-Site Scripting (XSS), por
exemplo, permite implementar esses elementos e
dar a falsa sensação de segurança
a um usuário.
Entretanto, devemos também dizer
que praticamente todos os sites de instituições
financeiras estão atualizados para não
permitir um ataque por esse meio.
Informações
detalhadas… (em inglês)
|
As
instituições sérias protegem
a segurança de seus clientes por meio de
“Certificados de Segurança”
em seus sites, que, entre outras coisas, permitem
criptografar a informação que você
envia para que ela viaje segura pela Internet. Assim
você pode confiar que dados confidenciais,
como senhas, números de conta ou de cartões
de crédito, não sejam vistos por delinqüentes. |
Verifique
se o endereço do site em que você se
encontra começa por https:// no lugar do
tradicional http://.
O “s” adicional significa “Seguro”.
Além disso, observe o símbolo de cadeado
que aparece na barra inferior do seu navegador,
o que indica que o site conta com um certificado
de segurança. Você pode dar um clique
duplo sobre esse ícone para saber os detalhes
dele, que empresa o expediu, quando vence, etc.
|
| Nunca revele a ninguém
sua informação confidencial. |
Lembre-se de que sua
Identidade Eletrônica é tudo o que
um delinqüente precisa para entrar em suas
contas e realizar todas as operações
que você mesmo poderia fazer. |
Evite inclusive entregar
sua informação a pessoas de sua confiança,
pois até eles podem acidentalmente passá-las
para terceiros. |
| Mude
seus nomes de usuário e senhas com certa
freqüência. |
Dessa
forma, você limita ainda mais a possibilidade
de uma fraude, mas ainda assim utilize senhas complexas
mas fáceis de recordar. |
Se
você suspeita que sua Identidade Eletrônica
foi roubada, mude sua senha de imediato e relate
o ocorrido à sua instituição
financeira. |
| Aprenda a distinguir
os sinais de advertência. |
Você pode evitar
os perigos se aprender a distinguir métodos
fraudulentos para se apoderar da sua identidade
eletrônica. |
Suspeite sempre de:
a) solicitações de informação
pessoal via e-mail;
b) mensagens com ofertas muito atrativas para serem
verdade, ou seja, muito alarmistas;
c) erros de redação – muitas
dessas mensagens vêm da Ásia e de outros
países do Ocidente, por isso podem apresentar
erros evidentes de escrita;
d) mensagens que não venham personalizadas.
|
| Pense
em instalar uma barra de ferramentas no seu navegador
que o proteja de sites fraudulentos. |
Essas
barras estão associadas a bases de dados
com o registro de todos os sites que foram relatados
como fraudulentos. Quando você tentar visitá-los,
receberá um aviso. |
Verifique
os links dessa seção com informações
sobre a barra gratuita que a NetCraft oferece e
que foi avaliada pela nossa empresa. |
| Evite realizar operações
financeiras a partir de lugares públicos. |
Os cybercafés,
clubes de Internet, aeroportos e demais lugares
com acessos públicos e abertos apresentam
um risco muito alto de que sua informação
seja roubada. |
Se você inclusive
utiliza seu laptop em um lugar com acesso sem fio
aberto (mesmo que não seja gratuito), realizar
operações com suas contas também
pode implicar um risco. Na medida do possível,
realize-as a partir de seu escritório ou
casa em um PC que seja de sua confiança. |
| Verifique periodicamente
todas as suas contas às quais tenha acesso
eletrônico. |
Às vezes
abrimos contas em lugares que utilizamos uma única
vez, por exemplo, o sistema PayPal para pagar algum
serviço, ou o eBay para poder fazer alguma
compra, e depois leva muito tempo para as usarmos
novamente. |
Nessas contas podem
estar sendo realizadas operações em
seu nome sem que você saiba. Não
passe mais de 30 dias sem verificá-las. |
| Diante de qualquer irregularidade,
entre em contato com sua instituição
financeira. |
Elas são o melhor meio para
verificar se um e-mail é autêntico. |
Se você vai chamar sua instituição
financeira, ignore os números de telefone
que estejam incluídos nas mensagens, porque
eles também podem ser igualmente falsos.
Ligue para um número que você conheça
ou que esteja nas páginas amarelas. |
| Relate os e-mails
fraudulentos. |
Dessa forma, você
ajuda a proteger o resto da comunidade da Internet. |
Redirecione a mensagem
intacta ao endereço: reportphishing@antiphishing.org |
| Mantenha-se atento aos alertas e
recomendações da sua instituição
financeira ou de comércio eletrônico. |
Nesses sites é comum agora
encontrar seções especialmente dedicadas
à segurança com informação
sempre atualizada das ameaças às quais
você deve dar mais atenção. |
Não se esqueça também
de checar as recomendações da Febraban,
que
você pode conferir aqui. |
| E, finalmente, seja
precavido! |
É melhor começar
não acreditando em nada e depois averiguar
do que o contrário. |
A todo esse arsenal de
sistemas de defesa que utilizar, como antivírus,
firewall, etc., adicione um muito simples, mas eficaz:
A Precaução
|
|
|
|
