Phishing – A Engenharia no Roubo de Dados

phishing - diversas maneiras de pescar os dados do usuário

O phishing é uma das técnicas de roubo de dados através de mensagens de email e propagandas e sites fake que estão ficando cada vez mais sofisticados e muitas vezes o antivírus não detecta, portanto, quando receber email solicitando dados cadastrais tenha muito cuidado e leia com atenção se não há nenhum truque. Pequenos atos lhe ajudarão a tornar sua navegação mais segura.

Segundo o Wikipedia:
Phishing é o termo que designa as tentativas de obtenção de informação pessoalmente identificável através de uma suplantação de identidade por parte de criminosos em contextos informáticos (engenharia social). A palavra é um neologismo criado a partir do inglês fishing (pesca) devido à semelhança entre as duas técnicas, servindo-se de um isca para apanhar uma vítima. Em 2014, estimava-se que o seu impacto econômico mundial fosse de 5 mil milhões de dólares.

As mensagens enviadas através de emails contém informações relevantes que parecem de instituições sérias. O usuário pode se atentar aos seguintes itens para descobrir se é falsa:

  • a mensagem é de uma empresa que nunca tive contato antes, por exemplo, de um banco que não tenho conta;
  • o email aparece diferente do qual eu recebi quando respondo;
  • o link não apresenta o ícone de segurança (cadeado) quando visito o site;
  • o endereço do site (URL) foi redirecionado para outro ou é estranho e é solicitado informações que nunca foi solicitada antes;
  • as promoções estão exageradas;
  • há anexos para baixar;

Exemplos de Mensagens Indesejadas

Nessa galeria, você pode notar como os bandidos se utilizam das informações para induzir o usuário a passar seus dados e baixar vírus.

Além das mensagens por email também há aquelas recebidas por meio das redes sociais e aplicativos como Instagram, Messenger e WhatsApp.

Phishing – O Método Padrão

O método é sempre o mesmo para o primeiro contato: recebimento de email enganoso, ou mensagem por qualquer aplicativo, contendo informação bem elaborada, induzindo o usuário a clicar em um link para abrir uma página web ou baixar um arquivo.

O clique em um link:

  1. resulta em redirecionamento para outro site para coleta de dados – acarretando em muitos casos perdas financeiras consideráveis;
  2. baixa um arquivo indesejado (podendo ou não comprometer o computador ou smartphone) – este arquivo normalmente é um vírus que instala e pode vigiar tudo que o usuário faz e repassar ao criador, ou sequestrar os dados e solicitar posteriormente o pagamento de resgate;

Outro item que deve ser levado em consideração é com relação a exploração de vulnerabilidade em DNS (técnica de cache poisoning), que nesse caso fica difícil para o usuário perceber que trata-se de um site falso, pois a URL no navegador poderá, por exemplo, ser igual a de um banco. Apenas verificando o cadeado pode-se ter certeza se o certificado é válido e é realmente o emitido pela instituição. Se apresentar um erro de certificado na tela, é certeza que é falso. Prefira utilizar navegadores mais recentes, pois incluem proteção contra este tipo de ataque.

Análises Estatísticas

Reporte Mobile Security Index 2019 realizado pela Verizon

Para a elaboração do reporte foi entrevistado cerca de 700 profissionais envolvidos na compra, gerenciamento e proteção de dispositivos móveis de suas organizações, além da colaboração de alguns líderes da indústria em segurança móvel e gerenciamento que disponibilizaram informações de dados coletados de seus usuários.

É evidenciado que com o crescente número de dispositivos conectados, segundo o reporte, 67% das organizações estão menos confiantes sobre a segurança de seus dispositivos móveis do que de outros, e que 33% das empresas sofreram comprometimento dos dados, antes 27% em 2018.

Um dos ataques o Spear Phishing, é tres vezes mais efetivo em telas pequenas como a de smartphones do que em desktops. Dos entrevistados, 42% disseram que o phishing teve origem em um dispositivo móvel.

Desde o Mobile Security Index Report (MSIR) de 2018, a Regulação Geral de Proteção de Dados da União Européia (RGPD) reforçou sua segurança e a California definiu um padrão mínimo para a segurança de dispositivos conectados.

Enquanto a proteção das empresas ocorre no email, 85% dos ataques ocorrem fora dele.

ataques em dispositivos mobile, incluindo o phishing

Onde os ataques ocorrem em dispositivos móveis – fonte: MSIR 2019

Kasperky Lab

Segundo o reporte do 3° semestre de 2018, o Brasil é o segundo país com mais ataques de Phishing (18,62%) perdendo apenas para a Guatemala (18,97%). 

Ataques de phishing direcionados a portais globais correspondem a 32,27%, bancos 18,27%, companias de TI 6,91% e redes socias e blogs 6%.

A coleta dos dados é obtida por meio do software da empresa Kasperky ao qual o usuário concorda em enviar dados de análises e estatísticas para aprimoramento do programa.

Antiphishing WorkGroup

De acordo com o reporte do 4° trimestre de 2018 do Grupo de Trabalho AntiPhishing os setores alvos com mais ataques são SaaS/Webmail correspondendo a 29,8%, financeiros 14,3%, pagamentos 33%, e outros 12,9%. Houve o dobro de ataques direcionados aos serviços SaaS/Webmail.

Segundo o relatório, o número de websites de phishing únicos detectados foram de 136 mil no trimestre, e cerca de 240 mil emails de phishing únicos foram reportados para WorkGroup pelos consumidores.

O parceiro do Grupo, FishLabs, reportou em sua analise que no quarto trimestre de 2018, comparado com o terceiro trimestre do mesmo ano, o número de phishing websites com o protocolo seguro HTTPS, diminuiu 3% para cerca de 47%.

Ações Preventivas contra Ataques

Microsoft

Simulador de ataques do Office 365 – prepara o ambiente contra ataques do tipo Spear Phishing, Password-Spray e Ataque Força Bruta.
Proteção antifalsificação no Office 365 – direcionada para ataques em emails.

Oracle

Medidas contra Spams – para o Oracle Communications Messaging Server em sua documentação, há um guia com vários métodos de segurança.
FireEye Email Security Suite – é um serviço de terceiro embutido na infra estrutura da Oracle Cloud que garante segurança para os mais diversos tipos de ataques.

Notícias

Antes a autenticação em 2 passos com a 2FA era considerada segura, porém o hacker Kevin explorou uma falha e expos em vídeo como enviou um usuário para uma página fake e capturou, login, senha e cookie, para depois acessar o site verdadeiro.

Pouco tempo depois contas do Yahoo e Google foram comprometidas por phishers que utilizaram essa mesma autenticação.

Um polonês lançou uma ferramenta que ignora a autenticação 2FA para fins educacionais e deixa o código público no GitHub.

Com golpes cada vez mais sofisticados está sendo utilizado no mercado a autenticação física U2F/FIDO 2 ao qual melhora em muito a segurança.

Denunciar phishing

Separei alguns links para reportar os crimes digitais: CERT, GMail, SafeBrowsing, Outlook, e Office365.

Para tratar dos crimes virtuais foi sancionado pela ex-presidente Dilma a Lei contra crimes cibernéticos.

O Departamento de Segurança da Informação (DSI) do Gabinete de Segurança Institucional da Presidencia da República lançou uma atualização em 28/03/2019 com recomendações referente ao phishing.

Para evitar que você seja alvo de ataques de phishing, além das proteções como o antivírus, é necessário se informar, e este site tem essa finalidade.

 

Fontes
https://pt.wikipedia.org/wiki/Phishing
https://www.antiphishing.org/apwg-news-center
https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327
https://www.nytimes.com/2018/06/28/technology/california-online-privacy-law.html
https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml
https://www.hostinger.com.br/tutoriais/o-que-e-phishing-e-como-se-proteger-de-golpes-na-internet
https://br.malwarebytes.com/phishing/
https://www.theverge.com/2018/9/28/17874768/california-iot-smart-device-cybersecurity-bill-sb-327-signed-law


(Visited 23 times, 1 visits today)