 |
|
|
 |
| |
|
|
 |
|
Sex, 22 de Junho de 2007 09:55 |
Saiba como identificar o conto do vigário virtual e impedir que dados sensíveis, como senhas bancárias, sejam roubados.
Um e-mail que surge repentinamente na caixa de entrada, de um remetente
desconhecido, com um endereço eletrônico sem sentido e uma mensagem
duvidosa. Esta é a descrição de um phishing.
Golpes que se
aproveitam do infinito mar de possibilidades chamado internet, os
phishings, literalmente pescam dados de usuários desatentos, que caem
no conto do vigário virtual.
A pesca, neste caso, é sinônimo de
roubo. Os crackers, através de e-mails, persuadem o internauta a
acreditar que ganhou viagens, prêmios ou que precisa recadastrar senhas
para não perder contas.
Diferente de outros golpes, os phishings
não trazem anexos. Do e-mail, o usuário é levado a clicar em um link. O
objetivo do cracker é um só: roubar informações pessoais do usuário e
utilizá-las ilegalmente.
História de pescador
Inspirado
no inglês “fish”, que significa pescar, a prática ilegal compete aos
crackers a mesma função dos pescadores, que jogam a isca para conseguir
o máximo de peixes.
A forma original de “hackear” informações, o
“phreaking”, foi criada por John Draper em 1970, com o Blue Box,
dispositivo que “hackeava” sistemas de telefonia. A prática ficou
conhecida como “Phone Phreaking”.
Transferida para a internet, a
modalidade de golpe recebeu o batismo “phish” em 1996, por um grupo de
hackers, o alt.2600. A inspiração veio do roubo de contas e scams de
senhas de usuários da America Online. As contas com informações
roubadas foram apelidadas de “phish”. O termo, um ano depois, já
constava no dicionário de linguagem cracker.
Estatísticas revelam apelo financeiro
Diariamente,
são enviadas 904 mensagens diferentes de phishings, segundo o Internet
Threat Report (ITR), da Symantec, compilado em março de 2007. A
Symantec bloqueou, no segundo semestre de 2006, um total de 1,5 bilhão
de mensagens de phishing, aumento de 19% em relação ao primeiro
semestre do mesmo ano.
A média de phishings enviados diariamente
ficou em 8,48 milhões. No total, foram detectadas 166.248 mensagens
diferentes, um aumento de 6% em relação a 2006.
O principal alvo
de phishings são instituições financeiras, com 84% dos ataques. No
Brasil, a técnica é líder entre os crackers para fazer vítimas.
“Os
bancos brasileiros sofrem com phishings mais que os de outros países”,
conta Paulo Vendramini, gerente de engenharia de sistemas da Symantec,
que explica que as instituições não liberam dados específicos sobre a
quantidade de ataques.
Atenção aos detalhes
Mensagens
complicadas e longas, jamais. Os criminosos utilizam textos simples
para disseminar phishings. “O e-mail é também chamativo para que se
clique rapidamente no link”, explica Vendramini.
Avisados que
usuários evitam abrir anexos (especialmente de desconhecidos), os
crackers driblam este alerta através do envio de um link, geralmente
com um endereço que parece confiável, como o de um banco ou de outra
organização séria.
Ao clicar no link, o usuário é direcionado
para um site falso, muito parecido com o original. O simples fato de
acessar o site malicioso já pode torná-lo uma vítima - ali, malwares
podem ser instalados.
Screenloggers, alternativa aos keyloggers,
detectam os movimentos e cliques do mouse, burlando o método de
segurança bancário que pede a digitação de senhas na tela.
Se
eles são tão espertos, como identificar estas fraudes? “É cada vez mais
imperceptível, mas às vezes acontece de ter erros de português”, revela
Vendramini. “O principal erro das pessoas é não prestar atenção aos
detalhes”, diz o engenheiro. Por impulso, o usuário abre um link que
parece inofensivo e cai na armadilha.
As dicas do especialista,
para não cair no golpe, são simples: não abrir e-mails de
desconhecidos, prestar muita atenção ao texto, que pode conter erros de
português e observar a URL para saber se o site indicado é o mesmo de
destino.
Vendramini aconselha os usuários a observarem se a
chave de segurança aparecerá na barra de status. Além disso, nem todos
os detalhes da página são reproduzidos pelo cracker.
Caso se
depare com um formulário que pede informações como número do RG, CPF,
senhas e outros dados sensíveis para quaisquer fins, opte por não
preenchê-lo caso isso nunca tenha sido solicitado por seu banco.
Se tiver dúvidas, sempre faça um contato com o seu gerente ou com a loja física que supostamente tenha enviado a mensagem.
Atenção
também para períodos de feriados e grandes eventos, que aumentam a
atividade de phishing. No período do Natal, foram bloqueadas 29% mais
mensagens, segundo o ITR, da Symantec. Durante a Copa Mundial da Fifa,
o aumento foi de 40%.
Outra dica é que as campanhas de phishing
são geralmente de curta duração, perdendo o sentido e validade, muitas
vezes, se a mensagem não for aberta imediatamente.
O próprio
engenheiro lembrou que, pouco após resolver questões a respeito de seu
Imposto de Renda, ele recebeu um e-mail cujo tema era restituição - e
por pouco ele não clicou. “Com a coincidência, você não pensa que pode
ser uma ameaça”, esclarece.
Prevenção começa na atitude
O
comportamento do usuário, no caso desta ameaça, é tão importante quanto
a utilização de ferramentas de proteção como antivírus e firewalls.
Uma
vez que os phishings induzem o usuário a clicar em um link, o firewall
muda o foco de proteção, já que a ação traduz a vontade própria do
usuário.
Contudo, ferramentas de proteção estão incorporando
dispositivos antiphishing. “As novas soluções possuem um algoritmo que
identifica sites falsos. Caso o usuário chegue a acessá-lo, a
ferramenta avisa que aquilo é um phishing”, explica Vendramini.
Atenção
também para a migração deste golpe para dispositivos como PDAs. “As
ameaças tendem a migrar para novas tecnologias, pois ainda não há a
preocupação de se proteger devidamente, embora existam ferramentas para
tal”, conclui o engenheiro.
Essa é a terceira reportagem da série Segurança Digital, que vai explicar como se defender das principais ameaças digitais.
Fonte: IDG Now
|
|
|
| |
|
|
| |
|
|
|
|
