Email Phishing e Scam - Securing The Human
Transcrição
Email Phishing e Scam - Securing The Human
OUCH! | Dezembro 2011 Nesta edição •Phishing •Scams (fraudes) •Como se proteger Email Phishing e Scam EDITOR CONVIDADO Pieter Danhieux é o editor convidado desta edição. trabalhar para BAE Systems Stratsec na Ele Austrália email fingindo ser alguém ou alguma coisa que você conhece ou confia, como seu banco ou loja online favorita. Então (www.stratsec.net) e é instrutor do curso de teste de invasão esses mails tentam seduzi-lo para tomar uma ação, como no SANS Institute. clicar em um link, abrir um anexo ou responder uma mensagem. VISÃO GERAL Email é uma das maneiras primárias de comunicação. Nós o usamos todo dia para trabalhar e também para manter contato com nossos amigos e família. Além disso o email é como algumas companhias provêm produtos ou serviços como a confirmação online de compras ou atualizações da sua conta bancária. criminosos montam emails de pessoas ao redor do mundo. Os criminosos não tem um alvo específico em mente, nem sabem exatamente quem vai ser a vítima. Eles simplesmente sabem que quanto mais emails enviam, mais pessoas eles poderão enganar. Ataques de Phishing frequentemente têm um dos seguintes objetivos: • Coleta de Informação: O objetivo do atacante é convencê-lo a clicar em um link e levá-lo a um site de principais meios utilizados por cyber criminosos para ataques. Internet que pede seu usuário e senha, ou talvez sua Nessa edição vamos explicar quais são esses perigos e o que cor favorita, ou o nome de solteira de sua mãe. Esses fazer para se proteger. sites de Internet podem parecer legítimos com exatamente a mesma aparência do seu banco online, PHISHING mas eles são feitos para roubar informação que pode Phishing é um dos ataques baseados em email mais comuns. Ele utiliza engenharia social, uma técnica onde os atacantes cyber convincentes e então enviam para milhares, se não milhões, Como muitas pessoas ao redor do mundo dependem do email, ele também tem se tornado um dos Os fornecer o acesso à sua conta online. • Controlar seu computador através de um link tentam persuadí-lo a tomar uma ação. Phishing foi um termo malicioso: Novamente, o objetivo do atacante é fazer originalmente utilizado para descrever um ataque designado a você clicar em um link. Contudo, ao invés de coletar roubar informações de sua conta bancária online. Contudo, o suas termo evoluiu e agora se refere a quase todos os ataques computador. Se você clica no link, é direcionado a um enviados por email. Um ataque de phishing começa com um site de Internet que lança silenciosamente um ataque © The SANS Institute 2011 informações, o objetivo é infectar seu http://www.securingthehuman.org OUCH! | Dezembro 2011 Email Phishing e Scam contra seu navegador de Internet (Internet Explorer ou Mozilla Firefox) que, se bem sucedido, dá aos atacantes controle total sobre seu computador. • Controlar seu computador através de um anexo malicioso: São os ataques de phishing que têm anexos infectados, como arquivos PDF ou Microsoft Office, infectados. Se você abre esses anexos, eles atacam seu computador e, se bem sucedidos, dão ao atacante o controle completo. SCAMS Use bom senso. Se um email parecer único ou bom demais para ser verdade, é bem provável que seja um ataque. Scam, ou fraudes, não são novidades e são tentativas de criminosos de defraudar você. Exemplos clássicos incluem notícias de que você ganhou na loteria (mesmo que nunca tenha jogado) ou que alguém precisa transferir milhões de dólares para o seu país e pagaria você para ajudá-lo na transferência. Eles dizem então que é preciso pagar uma taxa de serviço antes de receber seu dinheiro. E depois de pagar a taxa, os criminosos desaparecem e você nunca mais ouve falar deles. • Suspeite de erros de gramática. Muitas empresas revisam suas mensagens cuidadosamente; COMO SE PROTEGER • Se um link em um email parecer suspeito, passe seu Na maioria dos casos, simplesmente abrir um email é mouse sobre o link. seguro. Para a maioria dos ataques funcionar, você tem que destino para onde será direcionado se clicar nele. O fazer alguma coisa depois de ler o email (como abrir o link que está escrito no email pode ser bem diferente anexo, clicar em um link ou responder o pedido de do lugar para onde ele irá enviá-lo; informação). Se depois de ler um email você achar que ele é • Isso irá mostrar o verdadeiro Não clique em links. Ao invés disso, copie o endereço um ataque ou fraude, simplesmente apague o email. Aqui de Internet enviado no email e cole no seu navegador estão algumas características para identificar se um email é de Internet. um ataque: nome de destino no seu navegador. Por exemplo, se Melhor ainda é simplesmente digitar o você recebe um email do Correio dizendo que sua • • Suspeite de qualquer email que peça “ação imediata” encomenda está pronta para ser retirada, não clique ou crie um senso de urgência. Esse é um método no link. Ao invés disso, vá ao site do Correio e então comum utilizado para enganar pessoas; copie e cole o número de rastreamento; Suspeite de emails endereçados para “Querido Cliente” ou outra saudação genérica; © The SANS Institute 2011 • v Suspeite de anexos. Abra apenas os anexos que estiver esperando; http://www.securingthehuman.org OUCH! | Dezembro2011 Email Phishing e Scam • Só por que recebeu um email de um amigo não Anti-Phishing Working Group (Inglês): significa que foi ele que enviou. O computador do seu http://www.apwg.org amigo pode ter sido infectado ou a conta dele pode ter sido comprometida e um software Catálogo de fraudes do CAIS: (programa) http://www.rnp.br/cais/fraudes.php malicioso pode estar enviando email para todos os contatos do seu amigo. Se você receber um email Termos e Definições de Segurança: suspeito de um amigo em quem confia ou um colega, http://cartilha.cert.br/glossario/ ligue para ele para confirmar que foi ele que enviou; Delegacia de cyber crimes, por estado: Finalmente, utilizar email de forma segura é sempre uma http://www.safernet.org.br/site/prevencao/orientacao/delegacias questão de bom senso. Se alguma coisa parecer suspeita ou boa demais pra ser verdade, é bem provável que seja um SAIBA MAIS ataque. Simplesmente apague o email. Assine a publicação mensal OUCH! de sensibilização de RECURSOS segurança, acesse os arquivos OUCH! e aprenda mais sobre as soluções de sensibilização de segurança do SANS nos Alguns dos links abaixo foram abreviados para melhorar a visitando em http://www.securingthehuman.org. leitura utilizando o serviço TinyURL. Para reduzir riscos de segurança, o OUCH! Sempre usa o recurso de pré- VERSÃO BRASILEIRA visualização do TinyURL, que mostra o destino final do link e Traduzida por: sempre pede sua permissão para prosseguir. Homero Palheta Michelini, Arquiteto de T/I, especialista em Segurança da Informação - twitter.com/homerop Como funciona o Phishing: Marcello Belloni Gomes, Arquiteto de Segurança de TI - http://informatica.hsw.uol.com.br/phishing.htm twitter.com/marcellobelloni Michel Girardias, Analista de Segurança da Informação - Anti-SPAM.br – Evitando fraudes: twitter.com/michelgirardias http://www.antispam.br/tipos/fraudes/ Marta Visser - Tradutora autônoma OUCH! É publicado pelo programa “SANS SecuringtheHuman” e distribuído sob o licenciamento Creative Commons BY-‐NC-‐ND 3.0 license.A distribuição desta publicação é permitida desde que sua origem seja informada, seu conteúdo não seja modificado e não seja utilizada para fins comerciais. Para tradução ou outras informações, [email protected]. Time Editorial: Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner, Carmen RuyleHardy © The SANS Institute 2011 z http://www.securingthehuman.org