O que é phishing e engenharia social (ou como escapar de golpes na internet)

27/03/2014 às 3:14 | Publicado em Artigos e textos, Zuniversitas | Deixe um comentário
Tags: , ,

Esse é mais um post de alerta para todos que viajam na grande rede (e hoje essa viagem é feita dos dois aos cem anos). Prestem bem atenção, você pode ser a próxima vítima, se já não é !


O que é phishing e engenharia social (ou como escapar de golpes na internet)

Este não é um tutorial sobre como instalar o último anti-vírus, é um guia para abrir a mente e reconhecer ameaças que se dão, muitas vezes, fora dos computadores.

Apesar da fiscalização e punição de crimes digitais terem crescido bastante, a internet tem algumas características que dificultam bastante o processo.

Toda informação pode ser replicada rapidamente, de forma praticamente instantânea, sendo assim, no momento em que um site nocivo é fechado, vários outros quase idênticos estão nascendo.

Outro problema é dificuldade de controle geográfico. Muitos sites maliciosos estão hospedados em servidores localizados fisicamente em países onde existe pouca ou quase nenhum tipo de legislação que responda por crimes eletrônicos, como por exemplo a Rússia.

Se alguém faz uma denúncia sobre um site que está coletando dados de cartão de crédito, a polícia brasileira vai apurar, chegar aos detalhes do servidor e pode acabar esbarrando num país que não faz a mínima questão de colaborar. O site vai continuar no ar por um bom tempo.

E1

Mesmo assim, é importante denunciar. A Carolina Dini fez um excelente texto explicando a quem recorrer quando se deparar com fraudes online, vale a pena dar atenção ao conteúdo.

Como nem todas as denúncias podem ser apuradas imediatamente e a quantidade de ameaças cresce num ritmo alarmante, o que nos resta é saber como nos proteger e analisar quando estamos diante de uma fraude ou golpe.

Engenharia Social

O dinheiro investido no desenvolvimento de aparatos de segurança da informação gira na casa dos bilhões. São anti-vírus, firewalls, detectores de intrusão, appliances e muito treinamento. Para alguém invadir um computador, para utilizar o termo vulgar, é necessário muito, muito trabalho.

Apesar de ainda existirem casos, quase nenhum criminoso está disposto a ter todo esse sacrifício. A figura do invasor agora não explora vulnerabilidades em sistemas, explora a confiança das vítimas.

Dentro da segurança da informação utilizamos o termo engenharia social como uma forma de manipulação psicológica com o objetivo de ganhar credibilidade e ter acesso à informações ou lugares confidenciais, frequentemente como um dos passos de um golpe ou fraude maior.

Para exemplificar como a engenharia social funciona, vou contar uma história.

O telefone de Adriana tocou logo cedo pela manhã, no outro lado da linha um rapaz bem educado, mas um pouco tímido se identificou como Thiago e disse que era funcionário novo na empresa. Disse também que o Gilberto pediu para ele atualizar o anti-vírus de todas as máquinas antes do meio dia.

“Ainda estou um pouco perdido, era para a Chris fazer, mas querem que eu vá me acostumando com os procedimentos, então se eu fizer algo errado, não fique brava, tá?”, riu Thiago.

Ele pediu que ela entrasse num endereço de internet, informou que era um teste para facilitar o processo de atualização. “Se correr tudo bem, daqui pra frente só faremos assim, se der errado eu vou aí e faço manualmente”. Ao acessar, ela encontrou uma página com tela de login e o visual bem parecido com o site oficial da empresa.

Thiago informou que ela precisaria entrar com a senha da rede e em seguida fizesse download da atualização com a data daquele dia. Depois bastaria executar.

“Só precisa clicar duas vezes. Ele vai executar em plano de fundo e você não vai precisar fazer mais nada, tudo automático”.

Thiago agradeceu e se despediu.

O que realmente aconteceu na história

O criminoso ligou na semana anterior para um departamento qualquer da empresa alvo. Perguntou se era do suporte de informática e recebeu uma resposta negativa, então emendou: “acho que o número que tenho está errado, você sabe qual é o telefone de lá?”, a pessoa do outro lado da linha confirmou o ramal, então despediram-se.

Após desligar, discou diretamente para a informática, onde se apresentou como Fernando, um fornecedor de produtos de informática e disse que gostaria de convidar o responsável pelo departamento para um evento, aconteceria num hotel chique da cidade. A moça que atendeu respondeu que o chefe não estava no momento, mas que ele poderia enviar o convite por e-mail. Ela passou o nome completo e e-mail para o fraudador, confirmando, para ver se não havia escrito corretamente.

Ele perguntou o nome dela, agradeceu e desligou.

Thiago, nosso criminoso inventado, fez o dever de casa. Ligou para o setor, descobriu o nome de uma funcionária e do responsável pelo setor de informática. Para ele, esta informação é muito valiosa, será utilizada como ponto de credibilidade inconsciente. Numa conversa por telefone, citar estes nomes vai confirmar ainda mais a história contada.

Nosso personagem também disse que era novo na empresa, então tudo bem a vítima nunca ter ouvido falar dele antes. Isso ainda abriu uma vantagem enorme, utilizou do sentimento de medo do primeiro dia de trabalho como um vínculo de compaixão entre os dois. Ela não só acreditava que ele trabalhava na empresa, como agora queria ajudá-lo a se sair bem em seu primeiro dia. A partir daí, ele foi extremamente profissional, tratou todos os passos como se realmente trabalhasse na empresa. Pedia uma ação e explicava calmamente o que estava fazendo.

Ela, sem saber, entrou num site montado por ele, que roubou o design do site da empresa e fez algumas pequenas modificações para atender sua necessidade. Ela não questionou o endereço do link, já que era apenas um site para uso interno, como ele falou.

Ao digitar o nome de usuário e senha, o site não fez nenhum tipo de verificação, apenas armazenou o nome e usuário de rede no banco de dados do site. Ela, inocentemente, baixou um programa que abre as portas do computador para que o criminoso consiga se conectar de longe ao computador dela. Ela acreditava que era apenas a atualização do anti-vírus.

Essa história serve para ilustrar vários pontos abordados através da engenharia social e que, quanto maior a empresa, mais riscos corremos. Muita gente pode se perguntar: o que ele poderia fazer utilizando o computador dela de longe?

  • Utilizar a conta de e-mail dela a partir do computador com assinatura e tudo, para emitir ordens que o beneficie ou que o ajude a ganhar mais confiança para extrair mais dados;
  • Dependendo da situação o criminoso poderia querer alguma informação contida no computador. Planilhas, documentos, intenções de compra, processos licitatórios, acordos, e-mails entre parceiros ou clientes;
  • Utilizar o computador alvo para disseminar vírus ou outros códigos maliciosos que possam prejudicar ou até inutilizar a operação da empresa por vários dias. Prejudicando contratos, negócios, prazos e licitações;
  • Através do computador da vítima coletar dados de outros computadores mais importantes, como servidores de arquivos da empresa.

O exemplo é simples e muita gente pode dizer que não cairia em algo do tipo. Mas cuidado, grande parte das pessoas já caiu e nem se dá conta. A sorte é que as dicas para evitar ataques de engenharia social são, em geral, bem simples. Estes exemplos não se aplicam apenas à empresas, também servem para nossa vida pessoal.

  • Não atenda nenhuma requisição feita por telefone, a não ser que você já conheça a pessoa que está do outro lado e reconheça a voz;
  • Se existir a necessidade de tomar alguma ação para uma pessoa que não conhece, mas as informações são mais que convincentes, diga que está ocupado com outra ligação, peça um número de contato e diz que liga em 5 minutos. Dê o tempo e ligue de volta, assim já tem alguma pista para recorrer caso algo dê errado;
  • Aprenda a desafiar autoridade. Muitos ataques  estão associados ao medo e poder. Dizer que é um diretor de outra filial ou departamento frequentemente serve como gancho para fazer pessoas agirem sem questionar as consequências;
  • Em raros casos engenheiros sociais se expõem a ponto de ir pessoalmente até seu alvo, mas sempre que alguém, mesmo uniformizado se apresentar à você, peça para ver um documento ou uma identificação oficial. Em empresas, o uso de crachá deve ser estimulado. Qualquer pessoa sem crachá (mesmo de visitante) deve ser questionada e devidamente identificada;
  • Proteja todas as suas informações, até as mais básicas (leia-se: Facebook), tudo isso pode servir como isca para tirar proveito de você.

Em maio de 2000, aproximadamente 50 milhões de computadores foram infectados em 10 dias, com um vírus que destruía arquivos e se enviava para os primeiros 50 endereços de email cadastrados na agenda do Microsoft Outlook.

O vírus chegava com um titulo forte: “ILOVEYOU”. Milhões de pessoas carentes abriram esta mensagem. Como código malicioso se enviava automaticamente para contatos da lista da vítima, as pessoas acreditavam que o remetente era real e que a mensagem era verdadeira.

Você acabou de receber um email daquela linda garota que você viu poucas vezes, o título diz “Eu te amo”. Você abriria?

Pescando Vítimas

Phishing é outro dos modelos de ataque mais comuns na internet.

Antes, resolvi explicar exatamente o que é Engenharia Social porque ataques de Phishing e Engenharia social caminham de mãos dadas.

Na história anterior, por exemplo, o criminoso utilizou uma réplica de um site real para convencer a vítima da veracidade do conteúdo. Assim funcionam os golpes: cria-se uma estrutura convincente para fazer a vítima acreditar que está acessando algo verdadeiro, quando na verdade está entregando dados de bandeja.

Estes ataques costumam explorar suas vítimas de três formas básicas:

1. Criando uma necessidade de agir, como um banco enviando um pedido para o usuário alterar a senha ou confirmar seus dados.

2. Explorando a ambição da vítima, que acredita receber algum benefício a partir daquele e-mail ou site, como uma promoção de iPhone 5 por 599 reais.

3. E não menos raro, explorando os sentimentos e curiosidade da vítima, como no exemplo do ILOVEYOU ou emails com títulos “Fotos da Festa”, “Sua namorada caiu na net”, “vídeo de Neymar e Bruna Marquezine” ou similares.

O infográfico abaixo compila excelentes informações sobre como entender e evitar este tipo de golpe. Recomendo clicar para vê-lo maior.

infografico_phishing-620x1801

* * *

Os métodos utilizados pelos fraudadores são constantemente modificados, golpes novos surgem com bastante frequência. Checar pessoas e dados que não conhecemos a procedência e criar padrões de verificação antes de transmitir qualquer informação sensível pode nos poupar muita dor de cabeça.

Compartilhe nos comentários se já caiu em algum golpe ou se tem alguma dica que não foi abordada no texto.

* * *

Se cair num desses, aprenda Como denunciar crimes digitais.

(Alberto Brandão. Conta sua jornada, falando sobre empreendeorismo e startup no QG Secreto. Outros artigos escritos por Alberto Brandão)


(Posted: 05 Feb 2014 04:29 AM PST)

FONTE: PAPO DE HOMEM http://papodehomem.com.br/phishing-engenharia-social-como-escapar-de-golpes-na-internet/

Continue Reading O que é phishing e engenharia social (ou como escapar de golpes na internet)…

Anúncios

A especialização do cibercrime

07/05/2011 às 3:15 | Publicado em Artigos e textos | Deixe um comentário
Tags: , ,

CibercriminosoO tema cibercrime já foi objeto este ano de outros dois posts aqui no ZEducando. Este agora obtive da revista “Risk Report”, especializada em Segurança da Informação. Concordo plenamente com o autor quando diz: o melhor caminho é investir na educação do usuário !


A ESPECIALIZAÇÃO DO CIBERCRIME

(Novos dispositivos e redes sociais tornam os ataques virtuais
mais específicos e sofisticados. Especialista internacional
aponta outras técnicas de golpes – Por Léia Machado)

Os crimes virtuais foram evoluindo conforme a própria internet. No passado, o cibercrime
não tinha uma motivação financeira e era comandado por jovens com objetivos distintos.
Atacavam para mostrar as vulnerabilidades de um sistema ou para ganhar status por sua capacidade de invasão. Mas com o avanço da Internet e o surgimento de novas tecnologias essa ideia está obsoleta.
Os ataques no universo online estão cada vez mais sofisticados e conta com as mais
diversas ferramentas tecnológicas, o próprio perfil do cibercriminoso mudou.
Hoje, são quadrilhas inteiras que atacam via web e tem um objetivo claro: roubar
informações pessoais para obter lucro com elas. “Na Internet há muita vulnerabilidade,
o que facilita a criação de novas ferramentas de ataques”, afirma Michael
Sutton, pesquisador na área de Segurança e vice-presidente da Zscaler.
Na última década, o cibercrime prosperou e custou aos consumidores centenas
de milhões de dólares. A sofisticação dos crimes virtuais é clara, desde a criação do worm “I Love You”, em 2000, até as ameaças atuais como o GeneXus. Segundo a entidade
Internet World Stats, o uso da Web cresceu de 361 milhões de usuários, em 2000, para quase 2 bilhões em 2010. Com isso, a Internet tornou-se um importante alvo para os criminosos.

Variedades de ataques
De acordo com Sutton, os aplicativos da Web 2.0 são muito dinâmicos e mais fáceis de atacar. Uma das grandes tendências destacadas pelo pesquisador é o phishing, um golpe online de falsificação de sites legítimos. Os criminosos usam spams, websites maliciosos
e mensagens de e-mail para roubar informações sigilosas. “Normalmente são sites que usamos no nosso dia a dia e esses criminosos tentam nos convencer a entrar
nessa página infectada”, comenta Sutton. Além disso, as práticas de ataques são as
mais variadas. Os e-mails, por exemplo, já não são os maiores vilões na disseminação
de ameaças de segurança pela Web. As redes sociais são os atuais alvos de ataques virtuais tornando-se uma das principais fontes de disseminação do cibercrime.
Outra vítima dos crimes digitais sãos os mecanismos de busca. Segundo Sutton, a cada 100 resultados 1 já se refere a uma página maliciosa. Esses endereços contaminados estão entre os primeiros que aparecem nas pesquisas. A mobilidade também não escapou dos ataques
por meio da Web, o cibercrime desenvolve vírus específicos para esses dispositivos.
Sutton também destacou outra vulnerabilidade chamada clickjacking. Trata-se de uma técnica usada por um cracker para esconder programas maliciosos embaixo de um botão legítimo de um site legítimo. Ou seja, é uma forma de enganar o usuário para que
entre em uma página, embora tenha visualizado outra.
“Os criminosos simplesmente tiram vantagens, eles conhecem as formas legitimas de formatar uma página, enganam os usuários e exploram a credibilidade dos sites. Normalmente eles tiram vantagem de uma vulnerabilidade, escrevem um script e colocam
conteúdo malicioso. A meta é atingir o maior número possível de sites”, explica o executivo.
Em um estudo realizado pelo website MaliciousNetworkin.org, mantido pelo International Secure Systems Lab, Vienna University of Technology, Eurecom France e UC Santa Barbara, entre os dez países que possuem a maior quantidade de conteúdo malicioso
o Brasil aparece em quarto lugar, atrás apenas dos Estados Unidos, Rússia e China, respectivamente.”Definitivamente, essa não é a lista em que um país gostaria de
figurar nos primeiros lugares. A Segurança deve estar na mente das pessoas e
das empresas”.

Medidas de segurança
Com a especialização do cibercrime, é natural que as empresas tomem medidas
de Segurança em seu ambiente corporativo. E Sutton provoca algumas
discussões: as companhias devem bloquear o acesso às redes socias? Em
relação aos ataques, qual é o foco dos recursos de Segurança? Como é feita a
Segurança nos dispositivos móveis? Diante dessas questões, o executivo foi
bem categórico. “Não acredito que bloquear o acesso às mídias sociais seja um caminho seguro. Muito menos de 1% dos ataques na Web vêm dessas mídias. Com o bloqueio
desses websites, os usuários acabam achando outra maneira de acessá-los, o que pode causar um maior descontrole na rede e aumento da vulnerabilidade”.
O pesquisador acredita que a melhor medida nessas situações é monitoração do tráfego no ambiente corporativo. As empresas podem criar suas próprias regras e políticas internas, o que garante o controle e transparência no relacionamento. Em relação aos recursos de Segurança, o executivo afirma que o melhor caminho é investir na educação do usuário. “Gastamos muito dinheiro protegendo servidores, mas esquecemos dos nossos colaboradores, é aí que devemos trabalhar”.
Em termos de mobilidade, a Segurança precisa ser semelhante à de um desktop. “Os ataques funcionam muito bem em qualquer plataforma, se as empresas não fizerem nada para proteger todos os dispositivos, independente se for móvel ou não, provavelmente
já esteja infectada”, finaliza o pesquisador.

image

 

Do simples worm aos modernos “scarewares”

02/04/2011 às 3:42 | Publicado em Artigos e textos, Zuniversitas | 2 Comentários
Tags: , ,

cibercrimeEste artigo é muito interessante e atual. Afinal no mundo da cibercultura qualquer pessoa que entre na grande rede está sujeito a estes crimes. Além de mostrar a evolução e o espantoso crescimento destes delitos nos dias de hoje (60 mil novos casos de malware por dia em 2010 e 6 milhões de novas infecções por botnets – redes de robôs – por mês em 2010), o artigo ainda traz o que nos espera nos próximos meses, em destaque:

AUMENTO DOS GOLPES ENVOLVENDO REDES SOCIAIS (links maliciosos, solicitações falsas e phishing);

AMEAÇAS A DISPOSITIVOS MÓVEIS (com o boom dos celulares, smartphones e outros);

ATAQUES À APPLE (com o uso cada vez maior de IPhones e IPads);

APLICATIVOS PERIGOSOS (jogos com malware, por exemplo);

SOBREVIVÊNCIA DOS BOTNETS (via redes sociais e serviços de geolocalização);

No final do artigo há ainda um link para o relatório “Uma boa década para o cibercrime”, da McAfee.

FONTE: Newsletter da McAfee


A EVOLUÇÃO DO CIBERCRIME

Há dez anos, os criminosos ainda eram mais conhecidos pelas denominações como gângsteres, ladrões de bancos e criminosos do “colarinho branco”. Hoje, porém, eles têm sido também chamados por uma nova designação. Agora, os criminosos mais bem-sucedidos são os cibercriminosos, aqueles que roubam o dinheiro e as informações dos usuários de Internet a partir do conforto de suas próprias casas, podendo conseguir milhões de dólares e tendo pouca chance de serem apanhados.
Na verdade, o cibercrime cresceu de maneira tão significativa que o McAfee Labs™ relatou que houve uma média de 6 milhões de novas infecções a cada mês por botnets ou redes de robôs em 2010. Isso significa que a cada mês milhões de computadores de usuários estão sendo infectados com malware e adicionados a uma rede de robôs, controlada remotamente por cibercriminosos, sem o conhecimento dos usuários, para enviar spams e executar outras ações mal-intencionadas.
Além disso, o McAfee Labs detectou uma média de 60 mil novos tipos de malware por dia em 2010, incluindo vírus, software antivírus falso e golpes de phishing, todos visando o computador, a identidade e o bolso do usuário.
Então, o que impulsionou esse aumento no cibercrime? Para começar, o número de usuários da Internet explodiu durante a última década, proporcionando aos bandidos atacar mais vítimas potenciais. Além disso, os aplicativos e sites na Internet tornaram-se mais sofisticados e passaram a lidar com dados valiosos, como informações bancárias e detalhes de identidade, os quais os cibercriminosos podem ter acesso por meio de violações de dados, tentativas de phishing e golpes pela Internet.
O cibercrime começou como uma tentativa, por parte dos criminosos, de se vangloriar e ganhar notoriedade por meio de vírus e ataques a sites de renome, mas as atuais ameaças são direcionadas, discretas e apenas com o objetivo de lucro, ou seja, para ganhar dinheiro.
Por exemplo, no ano de 2000, milhões de usuários da Internet foram infectados por um worm relativamente simples, o “I love you”, que chegava por meio de spam e instigava os usuários baixarem o arquivo anexado “love letter” que, na verdade, era um vírus. Apesar de esse worm traiçoeiro ter custado bilhões para ser erradicado pelas empresas e pelos governos, os cibercriminosos não ganharam dinheiro com ele. Compare esse evento do “I love you” com fatos atuais, em que golpes denominados “scareware” têm o objetivo de assustar os usuários e os levam a comprar um software de antivírus falso, gerando em alguns casos centenas de milhões1 de dólares para os cibercriminosos.
Essa evolução dos vírus relativamente simples para os golpes engenhosos visando lucro foi rápida e fascinante. Em meados da última década, os cibercriminosos mudaram suas formas de ataques, deixando de desejar destaque nas manchetes jornalísticas para visar “empreendimentos” lucrativos, como distribuição de adware ou software de publicidade, que automaticamente exibiam pop-ups ou anúncios de download para o computador, com o objetivo de estimular o usuário a comprar produtos ou serviços. Os atacantes aproveitavam a oportunidade para instalar diferentes pacotes de adware em milhões de sistemas, ao mesmo tempo em que recebiam vistosos cheques ao longo do caminho.
E, já no fim da década, os cibercriminosos tornaram-se especialistas em engenharia social, ou seja, em manipular os usuários para que executassem ações ou revelassem suas informações pessoais. Esses cibercriminosos, então, passaram a se concentrar nos locais nos quais milhões de usuários estavam aderindo e baixavam a guarda em termos de proteção: as redes sociais.
Na verdade, golpes modernos envolvendo redes sociais são alguns dos mais bem-sucedidos porque os cibercriminosos conseguem obter informação e dinheiro de usuários fazendo com que eles cliquem em links perigosos ou respondam a pedidos de informação que acreditam ser provenientes de amigos. Um bom exemplo disso é o golpe “Fui roubado”, que circulou no Facebook recentemente. Neste golpe, os cibercriminosos aproveitam a popularidade do Facebook e obtêm acesso a contas de usuários para, em seguida, enviar mensagens desesperadas para seus amigos, dizendo que foram roubados enquanto estavam no exterior e que precisam que o amigo deposite dinheiro para que consigam voltar para casa. Como a mensagem parece vir de um amigo, os destinatários ficam mais propensos a cair no golpe.
E, ao olharmos para o futuro, avaliamos que os cibercriminosos continuarão a evoluir suas formas de ataques e a utilizar a engenharia social para conseguir o que querem, principalmente, no que se refere a lucro e ganho financeiro. A seguir estão indicadas algumas das ameaças emergentes identificadas pelo McAfee Labs™ e divulgadas em seu Relatório de Previsões de Ameaças para 2011:

  • Aumento dos golpes envolvendo redes sociais
    Os cibercriminosos continuarão tendo como alvo as redes sociais, disseminando links maliciosos, solicitações falsas de amigos e tentativas de phishing.
    Uma vez que as pessoas estão armazenando mais informações pessoais e enviando um número maior de mensagens em redes sociais, se comparado à quantidade e-mails, essas plataformas vêm se tornando cada vez mais atraentes aos cibercriminosos.
  • Ameaças a dispositivos móveis
    Há algum tempo tem-se falado a respeito de ameaças a dispositivos móveis,
    mas acredita-se que este ano será um divisor de águas, pois veremos ataques destinados a várias plataformas móveis. Isso pode ser particularmente perigoso para os usuários, já que agora muitos armazenam informações pessoais em seus aparelhos de telefones móveis e as utilizam para fazer compras e utilizar serviços bancários pela Internet.
  • Ataques à Apple
    Embora a plataforma Apple seja considerada menos vulnerável a ataques
    em comparação à plataforma de computadores do tipo PC, estima-se que
    a popularidade crescente de produtos Apple, como iPhones e iPads, atraia
    ameaças novas e direcionadas.
  • Aplicativos perigosos
    O uso crescente de aplicativos (apps) para mídias sociais, tablets e dispositivos móveis será irresistível para os cibercriminosos, que criarão apps perigosos e induzirão os usuários a fazer o download desses.  Por exemplo, eles podem promover um aplicativo desejável, como um jogo e, em vez disso, fornecer um malware projetado para roubar informações pessoais.
  • Sobrevivência da Botnet
    Os cibercriminosos continuarão a usar botnets, ou redes de computadores infectados que podem ser controlados remotamente, para distribuir spams e lançar ataques. O McAfee Labs avaliou que as botnets comecem a se direcionar para sites de redes sociais e também de serviços de geolocalização.

O cibercrime percorreu um longo caminho em um período de tempo relativamente curto e, sem dúvida, continuará a evoluir. Para saber mais sobre a indústria lucrativa do cibercrime, para onde está indo e com o que se deve ter cuidado, leia o relatório “Uma boa década para o cibercrime”.

Crie um website ou blog gratuito no WordPress.com.
Entries e comentários feeds.

%d blogueiros gostam disto: