Email Phishing e Scam - Securing The Human

OUCH! | Dezembro 2011
Nesta edição
•Phishing
•Scams (fraudes)
•Como se proteger
Email Phishing e Scam EDITOR CONVIDADO
Pieter Danhieux é o editor convidado desta edição.
trabalhar
para
BAE
Systems
Stratsec
na
Ele
Austrália
email fingindo ser alguém ou alguma coisa que você conhece
ou confia, como seu banco ou loja online favorita.
Então
(www.stratsec.net) e é instrutor do curso de teste de invasão
esses mails tentam seduzi-lo para tomar uma ação, como
no SANS Institute.
clicar em um link, abrir um anexo ou responder uma
mensagem.
VISÃO GERAL
Email é uma das maneiras primárias de comunicação. Nós o
usamos todo dia para trabalhar e também para manter contato
com nossos amigos e família. Além disso o email é como
algumas companhias provêm produtos ou serviços como a
confirmação online de compras ou atualizações da sua conta
bancária.
criminosos
montam
emails
de pessoas ao redor do mundo. Os criminosos não tem um
alvo específico em mente, nem sabem exatamente quem vai
ser a vítima.
Eles simplesmente sabem que quanto mais
emails enviam, mais pessoas eles poderão enganar. Ataques
de Phishing frequentemente têm um dos seguintes objetivos:
•
Coleta de Informação: O objetivo do atacante é
convencê-lo a clicar em um link e levá-lo a um site de
principais meios utilizados por cyber criminosos para ataques.
Internet que pede seu usuário e senha, ou talvez sua
Nessa edição vamos explicar quais são esses perigos e o que
cor favorita, ou o nome de solteira de sua mãe. Esses
fazer para se proteger.
sites de Internet podem parecer legítimos com
exatamente a mesma aparência do seu banco online,
PHISHING
mas eles são feitos para roubar informação que pode
Phishing é um dos ataques baseados em email mais comuns.
Ele utiliza engenharia social, uma técnica onde os atacantes
cyber
convincentes e então enviam para milhares, se não milhões,
Como muitas pessoas ao redor do mundo
dependem do email, ele também tem se tornado um dos
Os
fornecer o acesso à sua conta online.
•
Controlar seu computador através de um link
tentam persuadí-lo a tomar uma ação. Phishing foi um termo
malicioso: Novamente, o objetivo do atacante é fazer
originalmente utilizado para descrever um ataque designado a
você clicar em um link. Contudo, ao invés de coletar
roubar informações de sua conta bancária online. Contudo, o
suas
termo evoluiu e agora se refere a quase todos os ataques
computador. Se você clica no link, é direcionado a um
enviados por email. Um ataque de phishing começa com um
site de Internet que lança silenciosamente um ataque
© The SANS Institute 2011
informações,
o
objetivo
é
infectar
seu
http://www.securingthehuman.org
OUCH! | Dezembro 2011
Email Phishing e Scam
contra seu navegador de Internet (Internet Explorer
ou Mozilla Firefox) que, se bem sucedido, dá aos
atacantes controle total sobre seu computador.
•
Controlar seu computador através de um anexo
malicioso: São os ataques de phishing que têm
anexos infectados, como arquivos PDF ou Microsoft
Office, infectados. Se você abre esses anexos, eles
atacam seu computador e, se bem sucedidos, dão
ao atacante o controle completo.
SCAMS
Use bom senso. Se um
email parecer único ou
bom demais para ser
verdade, é bem provável
que seja um ataque.
Scam, ou fraudes, não são novidades e são tentativas de
criminosos de defraudar você. Exemplos clássicos incluem
notícias de que você ganhou na loteria (mesmo que nunca
tenha jogado) ou que alguém precisa transferir milhões de
dólares para o seu país e pagaria você para ajudá-lo na
transferência. Eles dizem então que é preciso pagar uma
taxa de serviço antes de receber seu dinheiro. E depois de
pagar a taxa, os criminosos desaparecem e você nunca mais
ouve falar deles.
•
Suspeite de erros de gramática.
Muitas empresas
revisam suas mensagens cuidadosamente;
COMO SE PROTEGER
•
Se um link em um email parecer suspeito, passe seu
Na maioria dos casos, simplesmente abrir um email é
mouse sobre o link.
seguro. Para a maioria dos ataques funcionar, você tem que
destino para onde será direcionado se clicar nele. O
fazer alguma coisa depois de ler o email (como abrir o
link que está escrito no email pode ser bem diferente
anexo, clicar em um link ou responder o pedido de
do lugar para onde ele irá enviá-lo;
informação). Se depois de ler um email você achar que ele é
•
Isso irá mostrar o verdadeiro
Não clique em links. Ao invés disso, copie o endereço
um ataque ou fraude, simplesmente apague o email. Aqui
de Internet enviado no email e cole no seu navegador
estão algumas características para identificar se um email é
de Internet.
um ataque:
nome de destino no seu navegador. Por exemplo, se
Melhor ainda é simplesmente digitar o
você recebe um email do Correio dizendo que sua
•
•
Suspeite de qualquer email que peça “ação imediata”
encomenda está pronta para ser retirada, não clique
ou crie um senso de urgência. Esse é um método
no link. Ao invés disso, vá ao site do Correio e então
comum utilizado para enganar pessoas;
copie e cole o número de rastreamento;
Suspeite de emails endereçados para “Querido
Cliente” ou outra saudação genérica;
© The SANS Institute 2011
•
v Suspeite de anexos.
Abra apenas os anexos que
estiver esperando;
http://www.securingthehuman.org
OUCH! | Dezembro2011
Email Phishing e Scam
•
Só por que recebeu um email de um amigo não
Anti-Phishing Working Group (Inglês):
significa que foi ele que enviou. O computador do seu
http://www.apwg.org
amigo pode ter sido infectado ou a conta dele pode ter
sido
comprometida
e
um
software
Catálogo de fraudes do CAIS:
(programa)
http://www.rnp.br/cais/fraudes.php
malicioso pode estar enviando email para todos os
contatos do seu amigo. Se você receber um email
Termos e Definições de Segurança:
suspeito de um amigo em quem confia ou um colega,
http://cartilha.cert.br/glossario/
ligue para ele para confirmar que foi ele que enviou;
Delegacia de cyber crimes, por estado:
Finalmente, utilizar email de forma segura é sempre uma
http://www.safernet.org.br/site/prevencao/orientacao/delegacias
questão de bom senso. Se alguma coisa parecer suspeita ou
boa demais pra ser verdade, é bem provável que seja um
SAIBA MAIS
ataque. Simplesmente apague o email.
Assine a publicação mensal OUCH! de sensibilização de
RECURSOS
segurança, acesse os arquivos OUCH! e aprenda mais sobre
as soluções de sensibilização de segurança do SANS nos
Alguns dos links abaixo foram abreviados para melhorar a
visitando em http://www.securingthehuman.org.
leitura utilizando o serviço TinyURL. Para reduzir riscos de
segurança, o OUCH! Sempre usa o recurso de pré-
VERSÃO BRASILEIRA
visualização do TinyURL, que mostra o destino final do link e
Traduzida por:
sempre pede sua permissão para prosseguir.
Homero Palheta Michelini, Arquiteto de T/I, especialista em
Segurança da Informação - twitter.com/homerop
Como funciona o Phishing:
Marcello Belloni Gomes, Arquiteto de Segurança de TI -
http://informatica.hsw.uol.com.br/phishing.htm twitter.com/marcellobelloni
Michel Girardias, Analista de Segurança da Informação -
Anti-SPAM.br – Evitando fraudes:
twitter.com/michelgirardias
http://www.antispam.br/tipos/fraudes/
Marta Visser - Tradutora autônoma
OUCH! É publicado pelo programa “SANS SecuringtheHuman” e distribuído sob o licenciamento Creative Commons BY-­‐NC-­‐ND 3.0 license.A distribuição desta publicação é permitida desde que sua origem seja informada, seu conteúdo não seja modificado e não seja utilizada para fins comerciais. Para tradução ou outras informações, [email protected]. Time Editorial: Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner, Carmen RuyleHardy © The SANS Institute 2011
z http://www.securingthehuman.org