O que é phishing?
Phishing é basicamente um golpe on-line de falsificação, e seus criadores não passam de falsários e ladrões de identidade especializados em tecnologia. Eles usam spam, websites falsos, crimeware e outras técnicas para fazer com que as pessoas revelem informações sigilosas, como detalhes de contas bancárias e de cartões de crédito. Após capturarem informações suficientes sobre as vítimas, eles as usam para enganá-las (por exemplo, abrindo novas contas usando o nome da vítima ou esvaziando suas contas bancárias) ou as vendem no mercado negro para obter lucros.Como o phishing funciona
Na maioria dos casos, os phishers (propagadores de phishing) enviam uma onda de e-mails de spam, às vezes até milhões de mensagens. Cada e-mail contém uma mensagem que parece ter sido enviada por uma empresa conhecida e confiável. Geralmente, a mensagem inclui o logotipo e o nome da empresa e, quase sempre, tenta provocar uma resposta emocional a uma falsa crise. Contendo uma linguagem comercial e urgente, o e-mail quase sempre solicita informações pessoais do usuário. Algumas vezes, o e-mail direciona o destinatário diretamente para um site falso. O website, assim como o e-mail, parece autêntico e, em alguns casos, o URL pode ter sido mascarado para sugerir que o endereço da Web pareça real.
O website falso solicita, com urgência, que o visitante forneça informações confidenciais, como números de CPF, números de contas bancárias, senhas, etc. Como o e-mail e o site correspondente parecem legítimos, o phisher espera que pelo menos uma fração dos destinatários seja convencida a enviar seus dados. Apesar de ser impossível saber a taxa real de resposta das vítimas a todos os ataques de phishing, acredita-se que uma média de um a dez por cento dos destinatários são enganados por uma campanha de phishing bem-sucedida, com uma taxa de respostas de mais ou menos cinco por cento.Para se ter uma idéia melhor, as campanhas de spam normalmente têm uma taxa de resposta de menos de um por cento.
Durante 2005, os phishers se tornaram muito mais sofisticados. Eles começaram a usar crimeware em conjunto com seus websites falsos e hostis, aproveitando as vulnerabilidades comuns dos navegadores da Web, a fim de infectar os computadores das vítimas. Essa tendência significa que, com um simples clique em um link contido em um e-mail de phishing para um website falso, a identidade de um usuário pode ser roubada, uma vez que o phisher já não precisará que você insira as suas informações pessoais. O Cavalo de Tróia ou spyware inserido em seu computador irá capturar essas informações da próxima vez que você acessar o site legítimo do seu banco ou outro serviço on-line. Durante todo o ano passado, esse tipo de crimeware se tornou mais direcionado (capturando somente as informações desejadas pelo phisher) e silencioso, com o uso de rootkits e outras técnicas agressivas de dissimulação para permanecerem ocultos em um sistema infectado.
Outro exemplo das crescentes habilidades dos grupos de phishing é o uso que fazem das falhas no design de websites para tornar seus ataques mais convincentes. Por exemplo, uma falha no site do IRS permitiu que os phishers tornassem seus URLs de "isca" parecidos com o site do IRS, apesar de as vítimas serem encaminhadas para um servidor da Web diferente, de propriedade dos criminosos. Esse é apenas um exemplo dos recursos cada vez mais avançados utilizados pelas fraudes on-line.
Exemplo de phishing
A Symantec administra um grupo de computadores conhecido como honeypots, uma rede de sistemas propositalmente vulneráveis que são usados para capturar e estudar ataques reais. Essas informações são, então, usadas para fins de pesquisa e refinamento dos produtos Symantec. A Symantec capturou recentemente um ataque típico de phishing em sua rede honeypot relacionado ao serviço de leilão on-line eBay. A popularidade e apelo universal do eBay tornou essa marca um dos maiores alvos de ataques de phishing na Internet.
Os eventos começaram com o agressor aproveitando uma falha de segurança antiga que foi disponibilizada propositalmente em um dos servidores do honeypot, visando justamente a ocorrência de eventos como esse. Depois que o agressor obteve acesso total ao sistema através de técnicas adicionais de hacking e uma ferramenta de controle remoto oculta, um website falso do eBay foi estabelecido no servidor. Veja acima a página de login falsa do eBay criada pelo phisher. Ela é extremamente semelhante à versão legítima do eBay e bastante convincente.
Observação: O site fraudulento do eBay foi desativado antes que uma vítima o acessasse e se caísse no golpe.
aquiiiiiiiO e-mail de "isca", como a mensagem exibida abaixo, é então enviado pelo phisher a uma lista de e-mail das vítimas potenciais. Esta mensagem, extraída de um ataque de phishing real, segue a fórmula típica de linguagem que deseja parecer oficial, aliada a um aviso ameaçador, alertando o destinatário a agir imediatamente para que a sua conta permaneça ativada. Todos os links incluídos na mensagem remetem ao website real do eBay, com a notável exceção do convite falso, "clique aqui para reinserir as informações sobre a sua conta."O link para essa seção leva o usuário para a página de login falsa do http://signin.ebaay-com.us/ ao invés da página genuína de login do eBay, http://signin.ebay.com/.
Assunto: Aviso!Atualização de cartões de débito ou crédito [1]Registrar no eBay [2][poweredByLogo_112x22.gif] Prezado cliente, [3][SYIStart_LiveHelp_75x20.gif] Sentimos informar que a sua conta do eBay poderá ser suspensa, se você não atualizar novamente as informações da sua conta. Para resolver esse problema, [4]clique aqui para reinserir as informações da sua conta. Se seus problemas não puderem ser solucionados, a sua conta será suspensa por um período de 24 horas, sendo que após esse período a conta será encerrada. De acordo com o Contrato do Usuário, seção 9, devemos emitir um aviso imediatamente, suspender temporariamente, indefinidamente ou encerrar sua afiliação e recusar o fornecimento de nossos serviços, se acreditarmos que as suas ações poderão causar perda financeira ou responsabilidade legal para você, para nós ou para nossos usuários. Deveremos também executar essas ações, caso não seja possível verificar ou autenticar qualquer informação que você nos forneça. Devido à suspensão desta conta, você estará proibido de usar o eBay para qualquer propósito. Isso inclui o registro de uma nova conta. Observe que essa suspensão não cancela nenhuma obrigação de pagamento de tarifas à eBay, com a qual você tenha se comprometido. Atenciosamente, Safeharbor Department eBay,Inc, Equipe do eBay. Esta é uma mensagem automática. Favor não responder. [5]Sobre o eBay | [6]Notificações | [7]Centro de segurança | [8]Políticas | [9]Mapa do site | [10]Ajuda ______________________________________________________ Copyright © 1995-2005 eBay Inc. Todos os direitos reservados. Nomes e marcas comerciais designados são propriedades de seus respectivos proprietários. O uso deste website constitui a aceitação do [11]Contrato do Usuário e da [12]Política de privacidade do eBay. [13]TrustE
Após clicar no link falso da mensagem de e-mail de phishing, as vítimas fazem o login no site falso do eBay usando seu nome e senha (este site de phishing não fazia nenhuma restrição, aceitava todos os nomes de usuários e senhas). A vítima era então encaminhada para uma página onde poderia supostamente atualizar seu perfil de cobrança, o que enviaria por e-mail informações altamente confidenciais sobre a vítima, como informações do cartão de crédito, número de RG e CPF, endereço residencial e nome de solteira da mãe, diretamente para o phisher. Apesar de alguns phishers coletarem todas as informações da vítima em um servidor conhecido como "dead drop" ou "egg drop", esse phisher específico preferia que as informações fossem enviadas a sua conta de e-mail gratuita, onde poderiam acessar e ler as informações pessoais de cada vítima como desejassem. A maioria dos ataques de phishing como esse dura somente alguns dias, com o maior número de vítimas respondendo dentro das primeiras 24 horas.
