segunda-feira, 20 de junho de 2011

Mais Phishing

Como lidar com phishing

Saiba mais e confira algumas dicas

Há muitas ameaças perigosas à espreita no ciberespaço atualmente, desde vulnerabilidades de softwares e exploits a vírus e botnets. Dentre elas, encontram-se também os ataques de phishing, um golpe de comunicação eletrônica que visa a obtenção de informações altamente pessoais (como senhas de cartão de crédito, por exemplo), assumindo a identidade de um conhecido confiável. A abordagem pode se ocorrer por meio de qualquer tipo de mensagem, desde um simples email de um amigo (que a conta de e-mail foi comprometida) até importantes mensagens de grandes corporações, tais como bancos e lojas online (como Amazon e eBay).

Para persuadir as vítimas a revelarem informações importantes, os chamados “phishers” tentam levar vantagem utilizando engenharia social. Eles “pescam” indivíduos por meio de mensagens eletrônicas familiares ou relevantes para a vítima de alguma forma. O contato pode ser estabelecido através de e-mails, redes sociais, mensagens instatâneas e também por mensagens SMS. Por exemplo, um phisher pode falsificar um e-mail do banco da vítima, alegando que sua conta precisa ser atualizada. Esses e-mails podem ser muito realistas e oficiais, apresentando o logotipo do banco e uma URL que parece que está apontando para uma URL legítima. O phishing também pode vir de redes sociais, em que o corpo da mensagem pede à vítima para ver fotos atualizadas ou um "vídeo engraçado" efetuando o login com seu nome de usuário e senha. Contas de jogos on-line também são alvos freqüentes, em que o contato ocorre através de fóruns de discussão.

O “anzol”
Depois de fornecer a isca, o invasor precisa de informações sobre a vítima. Isso é feito de forma simples, isto é, puramente por email. O phisher pede ao usuário que responda às informações solicitadas por email ou que ligue para um número de telefone especificado (conhecido como "Vishing" - veja abaixo a definição).

Golpes como fraude seguem essa metodologia resposta. Normalmente, o “anzol” para apanhar a isca  ocorre por meio de um link (URL), que são falsificados com facilidade.  O texto vai parecer que o link é do site verdadeiro (
http://www.validbank.com), mas na realidade o link vai para um site completamente diferente. O typosquatting também é popular: os atacantes vão alterar um pouco o link para parecer legítimo a primeira vista (isto é: http://www.val1dbank.com, por exemplo) em que o erro é previsto pelo atacante que registra o domínio equivocado com o layout semelhante à pagina que o usuário iria acessar.

Como identificar
A maioria das mensagens de phishing chega sem ter sido solicitada. Esteja sempre ciente de tais mensagens, especialmente quando uma ação ou resposta é necessária da sua parte, não importa o quão urgente pareça ser. Sempre que possível, tente identificar o remetente. Se uma mensagem suspeita veio de alguém que você conhece, envie uma resposta contendo uma pergunta específica. Para qualquer material confidencial que esteja vinculado ao e-mail, a criptografia PGP e a assinatura digital são recomendadas para a confirmação da identidade de ambas as partes.

Dicas:
- Sempre preste atenção nos links antes de clicar.

- Passe o mouse sobre os links para ver aonde realmente eles irão te levar antes de clicá-los.

- Observe atentamente o domínio no link. Lembre-se: "validbank.com" é diferente de "validbank.com.accounts.com".

- Nunca forneça o número do cartão de crédito em um pedido não solicitado.

- Assegure-se sempre que transações seguras SSL (HTTPS) estão ativadas sempre que fizer qualquer movimentação on-line (procure o ícone de cadeado no seu navegador). Se o navegador afirmar que o certificado não é válido, protele até que você se certifique com especialistas em segurança de rede (você pode entrar em contato os laboratórios FortiGuard a qualquer momento através do site
http://www.fortiguard.com).

- Por fim, faça uma pesquisa para ver se os outros têm encontrado qualquer atividade suspeita no assunto / conteúdo da mensagem. Blog FortiGuard da Fortinet é um ótimo lugar para começar.
Os quatro tipos de golpes de phishing
Phishing às cegas
Blind phishing é simplesmente o ato de arremesso de “isca” para o ciberespaço, geralmente através de e-mails spam em massa na esperança de uma vítima qualquer. Estes ataques geralmente vão atrás de padrões comuns, como bancos e credenciais de rede social.

Spear-phishing  (“pesca com arpão”)
Spear-phishing envolve o alvo direto, como pescar utilizando uma única lança para a presa pré-determinada. Estes ataques são premeditados e muito mais eficientes graças ao alto nível de engenharia social utilizada. Casos como esse geralmente vão atrás de critérios específicos, tais como credenciais de banco de dados.

“Baleeiro”
Baleeiro é simplesmente spear-phishing, mas indo atrás de alvos de alto perfil, como celebridades ou grandes executivos em cargos de chefia.

Vishing (voice + phishing)
Vishing é o phishing em relação aos sistemas telefônicos. A prática é mais comum sobre a resposta (que exige que a vítima retorne a ligação efetuada), ao invés de diretamente com um telefonema inicial. O vishing normalmente é praticado visando números de cartão de crédito e senhas de banco – até mesmo senhas de sistemas corporativos. Para se ter uma ideia, em uma abordagem mecanizada, uma quadrilha poderia realizar milhares de tentativas por dia.

Não importa o tipo de ataque phishing usado, as práticas de segurança mesmo descritas acima devem ser aplicadas especialmente nos casos de spear-phishing, uma vez que este pode ser bastante personalizado, tornando-o mais importante a ser detectado nos estágios iniciais da abordagem.

Por - Fortinet

Nenhum comentário: