Phishing: conhecer para se proteger

O termo phishing é originado da palavra inglesa fishing que significa pescar, ou seja, é a conduta daquele que pesca informações sobre o usuário de computador.
No início a palavra phishing (ou phishing scam) era utilizada para definir a fraude que consistia no envio de e-mail não solicitado pela vítima, que era estimulada a acessar páginas (sites) fraudulentas. Estas eram criadas com a intenção de permitir o acesso as informações eletrônicas da pessoa que lhe acessava, como por exemplo, número da conta bancária, cartão de crédito, senhas, e-mails e outras informações pessoas.
Uma característica destas mensagens é que simulavam ser originadas de uma instituição conhecida, como por exemplo, banco, órgão governamental, empresa, etc.
Nestes casos o hacker criava uma falsa história para atrair os usuários de computadores e com isso acessar as informações que tenha interesse, principalmente visando obter lucros ou causar prejuízos para as vítimas.
Atualmente esta palavra é utilizada para definir também a conduta das pessoas que encaminham mensagens com a finalidade de induzir a vítima a preencher formulários com seus dados privados ou que objetivam induzir o usuário a instalar códigos maliciosos, capazes de transmitir para o hacker as informações que tenha interesse.
De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, os principais tipos de ações envolvendo phishing utilizados pelos hackers são:

1 Mensagens que contêm links para programas maliciosos
A pessoa recebe uma mensagem por e-mail ou pelo serviço de mensagens instantâneas (MSN, ICQ, etc), normalmente com alguma promessa de lucro fácil, informação que desperte a curiosidade ou ameaça de produzir algum mal a vítima, de forma que ela clique em um link para fazer download (sinônimo de copiar, baixar) de um arquivo malicioso (malware) e em seguida abra/execute um arquivo malicioso.
São exemplos destas mensagens:
1.1 Oferta de grandes lucros: mensagens de um milionário da África ou da China que esteja interessado em parceria para lavar dinheiro, golpe da pirâmide, etc.
1.2 Fotos de conhecidos ou celebridades: notícias de celebridades, informação de que a pessoa está sendo traída, etc.
1.3 Notícias e boatos: tragédias divulgadas na mídia, boatos sobre personalidades, fotos de uma pessoa famosa que foi assassinada, filmagens de ator surpreendido consumindo drogas, etc.
1.4 Realy shows: fotos e vídeos sobre BBB, Fazenda, etc.
1.5 Orçamentos e cotações de preços: geralmente com links para acessar os dados do produto.
1.6 Sites de comércio eletrônico: cobrança de débito, devolução de compra e outros fatos envolvendo grandes empresas do gênero.
1.7 Empresas de telefonia ou provedoras de acesso a internet: aviso de bloqueio de serviços, promoções, consulta detalhadas, etc.
1.8 Falsos cartões virtuais: cartão do voxcards, etc.
1.9 Avisos de órgãos do governo: CPF cancelado ou pendente de regularização, correção do programa para enviar o Imposto de Renda, titulo eleitoral cancelado, etc,
1.10 SERASA ou SPC: inclusão de nome em cadastro de devedores, restrições financeiras, possibilidade de acessar ao extrato com as informações, etc.
1.11 Ameaças de órgãos do governo: mensagem da Polícia Federal sobre pornografia infantil em seu computador, intimação da Polícia Civil, informação sobre multa, cobrança de impostos, ação de despejo, etc.
1.12 Transações bancárias: necessidade de instalar novo módulo de segurança, etc.
1.13 Antivírus: cópia gratuita do antivírus, nova versão, atualização, etc.
Geralmente a vítima recebe algum destes e-mails, clica em determinado endereço da internet (link) encontrado no corpo do e-mail e, em seguida, é direcionada para um site semelhante ao que a desejava visitar. No site a vítima preenche um formulário ou realiza o login e seus dados sãos transmitidos para o computador do hacker, geralmente e-mail, CPF, RG, telefones, endereço, etc. Em certos casos ao acessar o site, a pessoa é estimulada a copiar determinado arquivo malicioso (malware) em seu computador e depois a abrir/executar este programa. O programa pode ter a funcionalidade de gravar todos os dados digitados (spyware), incluindo número da conta bancária, cartão de crédito, senha e outros dados importantes.
Uma medida para evitar que a pessoa seja vítima de phishing é sempre ler atentamente a mensagem, pois se for phishing geralmente possui diversos erros de gramática.
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil também recomenda passar o cursor do mouse sobre o link e ver na barra de status do programa de e-mail qual o endereço que aparece, pois algumas vezes o link que o usuário lê na mensagem tem um endereço e o link que ele acessa ao clicar nele é outro.
Deve-se tomar muito cuidado com a extensão do arquivo anexo ao e-mail. Qualquer extensão pode conter arquivos maliciosos, porém se for .exe, .scr, .com, .dll, .zip e .rar o risco é maior.
O mesmo ocorre quando a mensagem recebida exige que o usuário faça download ou execute determinado arquivo ou programa. Independente do remetente da mensagem que o usuário tenha recebido deve-se tomar muito cuidado com seu conteúdo, pois aqueles que praticam crimes cibernéticos conseguem facilmente obter um e-mail com os mais variados nomes, inclusive de pessoas conhecidas. Além disso, o hacker pode infectar o computador da pessoa e fazer com que ela encaminhe e-mails com anexos ou links maliciosos para a sua lista de e-mails e você que é usuário pode ser uma vítima.

2 Páginas de comércio eletrônico ou internet banking falsificadas
Neste tipo de golpe a vítima recebe por e-mail (ou programa de comunicações instantâneas) mensagens, em nome de instituição bancária, loja de comércio eletrônico, seguradora, empresa de cartões de crédito, etc. Com a utilização de programas de envio em massa de e-mails (spam) o criminoso encaminha milhares em poucas horas.
Geralmente estas mensagens informam a vítima sobre a necessidade de atualizar o módulo de segurança do banco (ex.: itoken de determinado banco), alterar o cadastro, receber prêmio de um sorteio, promoção, etc. Na mensagem há sempre um link que direciona a vítima ao site falsificado, que exige seus dados pessoais ou bancários, incluindo a senha ou faz com que a pessoa copie e execute em seu computador o programa malicioso, como por exemplo, um keylogger (ou kl – programa em que tudo que a vítima digita é encaminhado para o hacker).
Em poder destas informações os criminosos podem efetuar transações bancárias, vender as informações para outros criminosos virtuais, transferir dinheiro para contas de laranjas, pagar boletos bancários, adquirir produtos pela internet, etc.
É importante ressaltar que os criminosos mascaram o verdadeiro site que a pessoa acessa ao clicar no link apresentado na mensagem. Se a pessoa clica em um link para acessar ao site de um banco, na verdade trata-se de um site falso, criado com a finalidade de obter informações da vítima. No momento que o usuário do computador passa com o cursor do mouse sobre o link apresentado na mensagem que recebeu, aparece na barra de status o verdadeiro endereço do site que o usuário será direcionado. Vale notar que esse link obscuro geralmente não pode ser visualizado na mensagem. Apenas se o usuário de computador passar com o cursor do mouse sobre o mesmo é que pode ser observado o site que a pessoa será direcionada ao clicá-lo.
Independente do destinatário do e-mail, o seu conteúdo pode ser relacionado com phishing, pois é possível criar um falso e-mail, semelhante ao pertencente a algum remetente conhecido. Por exemplo, a pessoa recebe um e-mail de um familiar, mas na verdade o mesmo foi encaminhado automaticamente para todos os integrantes da sua lista de contatos, sem que o remetente tenha conhecimento do e-mail que foi enviado.
Se o internauta tiver dúvidas sobre algum site, evite clicar em links, o correto é digitar o endereço do site que deseja acessar e, no interior do site, solicitar informações para descobrir se o link é verdadeiro ou não passa de um site criado para coletar dados sobre a vítima.
Geralmente o site verdadeiro é do tipo “.com.br”, mas o site que a vítima acessa ao clicar no link é apenas “.com” ou tem sufixo de provedores de hospedagem gratuita.
É recomendável fazer o teste do “falso positivo” que consiste em digitar a senha errada no site supostamente verdadeiro. Se constar que ela é falsa, o site é verdadeiro. Se a senha constar como certa, como aceita pelo sistema, então é sinal de que o site é falso.
Em poder dos dados obtidos da vítima, o criminoso paga boleto bancário, cria conta corrente em agência, adquire produtos ou moedas virtuais como o pay-pal, etc.

3 Mensagens contendo formulários para o fornecimento de informações importantes
O usuário de computadores recebe e-mail com a solicitação de recadastramento de informações ou que confirme seus dados.
A mensagem apresenta um formulário composto por campos para a digitação dos seus dados pessoais.
Na prática a vítima é estimulada a inserir informações sobre sua conta bancária, agência, senha, além de dados pessoais. Ao clicar em enviar as informações, o criminoso recebe as mesmas e, em poder delas, causa prejuízos a vítima. Apenas quando a vítima visualiza seu extrato bancário é que ela percebe o sumiço do seu dinheiro.
Ao receber um e-mail contendo este tipo de formulário é interessante levar em consideração que uma instituição séria não realizaria esse tipo de solicitação por e-mail e sim no próprio site confiável da mesma.

BIBLIOGRAFIA
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para Internet, versão 3.1. São Paulo: Comitê Gestor da Internet no Brasil, 2006. Disponível em: < http://cartilha.cert.br/download/cartilha-seguranca-internet.pdf>. Acesso em: 17 nov. 2010.

HIGOR VINICIUS NOGUEIRA JORGE é Delegado de Polícia, professor de análise de inteligência da Academia da Polícia Civil, professor universitário e tem feito palestras sobre segurança da informação, crimes cibernéticos, TI e drogas. Site: www.higorjorge.com.br Twitter: http://twitter.com/higorjorge

2 comentários sobre “Phishing: conhecer para se proteger

  1. Sr Higor,

    Recebi um email:atendimento@emailbol.com.br Assunto: Verifique sua conta.

    Comuniquei o pessoal da bol que cofirmou que era uma fraude. O conteúdo total:
    ====================================================================
    Foi constatado em nosso sistema que sua Conta encontra-se em processo de bloqueio em virtude de erros no seu contrato e em virtude de descumprimento contratual, pedimos que regularize o quanto antes a situação da sua conta evitando o bloqueio por tempo indeterminado.

    Usuário para visualizar o seu contrato Clique aqui

    Para facilitar os transmite de regularização pedimos que leia atentamente os novos termos de usos do BOL MAIL.
    Desde já agradecemos a confiabilidade e uso de nossos serviços. Para visualizar os novos termos Clique aqui

    Lembre-se: sua senha de acesso no BOL é secreta; não a informe a ninguém.
    O BOL jamais solicitará sua senha por e-mail ou por telefone.

    Copyright 1999 – 2011 – Brasil Online – Todos os direitos reservados
    =====================================================================

    Entretanto cheguei a linkar “visualizar seu contrato” e o “novo contrato”. Em ambos cheguei a uma espécie e botão “contrato”. Não fui mais em frente.

    Isto pode ter dados poderes para eles roubarem dados ? Será que injetaram algum malware que o antivirus NOD não tenha detectado? Ou foi roubo somente de contatos?

    Gostaria de algum comentário seu.

    Kiyoshi Umemura

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *