Mundo_Conectado_Aula_3_Pishing

Prévia do material em texto

MUNDO CONECTADO
AulA 3: 
Phishing
Este material tem função didática. A última atualização ocorreu em Dezembro de 
2016. As afirmações e opiniões são de responsabilidade exclusiva do autor e podem 
não expressar a posição oficial do Tribunal de Contas da União.
© Copyright 2016, Tribunal de Contas de União 
<www.tcu.gov.br>
RESPONSABILIDADE PELO CONTEÚDO
Tribunal de Contas da União
Secretaria Geral da Presidência
Instituto Serzedello Corrêa
Secretaria de Planejamento, Governança e Gestão/Diretoria de Segurança da Informação e Continuidade de Negócio
Serviço de Educação Corporativa de Controle
SUPERVISÃO 
Carolina Beserra Pfeilsticker
Walter Fabrício de Castro Telli 
CONTEUDISTA 
Gustavo Rodrigues Lima Almeida
José Luiz Torres Ferreira Costa
Juliana Belmok Bordin
Maria Camila de Avila Dourado
Pedro Henrique Braz de Souza
Rafael Cancellier
TRATAMENTO PEDAGÓGICO 
Marta Eliane Silveira da Costa Bissacot 
PROJETO GRÁFICO 
Vanessa Vieira
DIAGRAMAÇÃO
Vanessa Vieira e Guilherme Resende
http://portal.tcu.gov.br/inicio/index.htm
Tribunal de Contas da União
Sumário
Sumário �������������������������������������������������������������������������������������������������������������������������������������������������������������������� 3
Introdução ������������������������������������������������������������������������������������������������������������������������������������������������������������ 5
1� PHISHING �������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 5
2� O QUE É PHISHING ? ���������������������������������������������������������������������������������������������������������������������������������������������������� 6
2.1. Principais tipos �������������������������������������������������������������������������������������������������������������������������������������������������� 6
2.2 Objetivos por trás dos ataques ����������������������������������������������������������������������������������������������������������������� 7
2.3 Como identificar o phishing? ����������������������������������������������������������������������������������������������������������������������� 8
3� DICAS PARA NÃO CAIR EM GOLPES DE PHISHING ������������������������������������������������������������������������������������10
Síntese �������������������������������������������������������������������������������������������������������������������������������������������������������������������11
Bibliografia ��������������������������������������������������������������������������������������������������������������������������������������������������������12
Anexo ����������������������������������������������������������������������������������������������������������������������������������������������������������������������13
Tribunal de Contas da União
5
Phishing
Nesta aula, estudaremos o que é phishing, quais são as suas principais modalidades e 
como podemos nos defender desse ataque cibernético.
1. PHISHING
A Intel Security promoveu um teste em 2015 que analisou o conhecimento das pessoas 
sobre e-mails de phishing. Aproximadamente 20 mil pessoas em 144 países participaram do 
teste e 97% dos participantes errou a avaliação de, pelo menos, um dos casos apresentados, 
indicando vulnerabilidade a ataques de phishing.
É provável que você já tenha ouvido a seguinte recomendação de segurança: “não clique 
em links recebidos por e-mail”. Será que isso é suficiente para mantê-lo protegido? E os e-mails 
que são legítimos?
Antes de conhecer mais sobre o que é phishing e como evitá-lo, faça o teste disponível no apli-
cativo de ensino à distância para avaliar sua capacidade de identificar corretamente essas ameaças. 
Ao conhecer mais sobre o assunto você poderá não só se proteger de diversas fraudes, mas 
também acessar com segurança conteúdos que são do seu interesse.
Introdução
Curiosidade 
 Â A pesquisa da Intel descobriu que o e-mail que mais causou dúvidas 
na identificação era legítimo. O e-mail pedia que o destinatário reali-
zasse uma ação para obter anúncios gratuitamente. Com frequência, as 
pessoas fazem associação entre a oferta de prêmio ou algo gratuito à 
ocorrência de phishing ou spam. Essa é a provável razão pela qual um 
grande número de pessoas não identificou corretamente a natureza 
desse e-mail.
6
Curso: Mundo Conectado
Ph
ish
in
g 2. O QUE É PHISHING ?
Phishing é um tipo de fraude na qual o atacante usa mecanismos tecnológicos, geralmente 
baseados em mensagens, para persuadir as vítimas a prestarem informações pessoais de utilida-
de para futuros ataques. 
Embora seja um golpe muito antigo, os ataques de phishing estão ficando cada vez mais 
sofisticados. Por isso, é preciso sempre se manter informado sobre o tema e conhecer as novas 
modalidades que estão sendo aplicadas. 
2.1. Principais tipos: 
 • Phishing Tradicional, que seria o equivalente a 
“pescar com rede”.
Nesse caso, um atacante cria uma mensagem ele-
trônica com phishing e envia para várias pessoas 
(ex: 10.000 usuários). Mesmo que só 10% caia na 
armadilha, a campanha será um sucesso. 
 
 
 
 • Spear Phishing
São ataques específicos e direcionados. São gol-
pes mais elaborados em que os fraudadores pes-
quisam o funcionamento de uma organização 
para conseguir informações específicas, como por 
exemplo os responsáveis por pagamentos.
Curiosidade 
 Â O termo “phishing” tem origem na palavra em inglês “fishing”, 
que significa pescaria. O uso do ph no lugar do f é porque os primeiros 
hackers de telefonia eram chamados de “phreaks”. Tem relação com o 
fato de que o atacante consegue “pescar” dados da vítima, que é enga-
nada e “morde o anzol”.
 Foto: freepik
 Foto: freepik
7
Tribunal de Contas da União
Phishing
2.2 Objetivos por trás dos ataques
Os objetivos por trás dos ataques podem ser roubo de dados bancários ou de cartões de 
crédito, sabotagem (manipulação das máquinas infectadas), extorsão (ex: ransomware), espio-
nagem etc. Veja abaixo algumas histórias reais de pessoas que caíram em golpes de phishing e 
suas consequências. 
 
“Eu sempre usei o meu computador doméstico para realizar transações financeiras pelo 
site do Banco do Brasil. É muito cômodo operar com o banco sem sair de casa, a qualquer 
hora do dia. Considerava muito segura essa funcionalidade de internet banking.
No início desse ano, o meu computador passou a enviar mensagens frequentes solicitando 
a atualização para Windows 10. Como havia escutado diversos relatos de colegas reclaman-
do dessa nova versão do sistema operacional, eu sempre negava permissão para atualização.
Porém, um belo dia a minha filha entrou no computador para fazer um trabalho da escola. 
Com o alerta sobre a necessidade de atualização automática para o Windows 10, ela não 
teve dúvidas: aceitou o pedido e a versão do sistema operacional foi atualizada.
No sábado, precisei usar o computador para fazer uma transferência financeira para a 
faxineira que havia trabalhado durante todo o dia. Ela estava precisando do dinheiro com 
urgência, e eu estava também apressado, pois tinha um compromisso com hora marcada 
em alguns minutos.
Qual não foi a minha surpresa ao ver a disposição dos ícones e botões totalmente dife-
rente do que eu estava acostumado. A impressora não estava funcionando. O novo browser 
instalado pela atualização do Windows 10 demorava muito para abrir. O acesso à internet 
estava extremamente lento.
Como tudo era novo, o link para o Banco do Brasil não estava nos meus favoritos, nem 
aparecia no histórico recente do navegador. Ao procurar por Banco do Brasil no Google, 
apareceram diversos links como resultado da pesquisa. Ao clicar no primeiro, que parecia 
ser o oficial, abriu-se uma página que aparentemente era correta. Mas estava extremamente 
lenta. E percebi que ela chegou a piscar pelo menos duas vezes,indicando que estava sendo 
recarregada.
Ao digitar meus dados, a página informou que não reconhecia o computador e que seria 
necessário realizar alguns procedimentos de segurança para habilitar o acesso. Como isso 
ocorre frequentemente no site do Banco do Brasil, achei normal, apesar de extremamente 
inconveniente para o momento de urgência que estava passando. A página de redirecio-
namento solicitou o número da agência, o número da conta, a senha do home banking, a 
senha do cartão e também o número do celular. Nem percebi que estava sendo “fisgado”. 
Após informar esses dados, o site do Banco do Brasil carregou normalmente e eu pude fazer 
a transferência.
O domingo passou sem novidades. Segunda-feira também. A minha conta estava com 
saldo baixo, pois o pagamento estava previsto para ser depositado na terça-feira. Nesse 
dia, logo pela manhã percebi algo estranho. O meu celular estava completamente fora do 
ar. Apesar de ligado, não conseguia se conectar à rede da operadora. Tive que ir até a loja 
Relato de caso real ocorrido com servidor do TCU
(continua na próxima página)
8
Curso: Mundo Conectado
Ph
ish
in
g
Ainda não se tem informação sobre os responsáveis nem o objetivo dos ataques
27/05/2014 - 15h20min
“O Itamaraty — sede do Ministério das Relações Exteriores do Brasil, localizada em 
Brasília — está sofrendo uma onda de ataques de hackers desde o último dia 19. O sis-
tema de e-mails e de leitura de documentos do ministério e dos postos diplomáticos no 
exterior ficou fora do ar nesta segunda-feira e segue assim até o momento, mas uma 
manutenção geral para evitar novos acessos indevidos está sendo feita e o problema 
deve ser solucionado ainda nesta terça-feira.
De acordo com o Itamaraty, hackers usaram o esquema chamado phishing, em que 
e-mails aparentemente de pessoas conhecidas são enviadas para colegas e incluem um 
link malicioso. Ao clicar na página, servidores instalam no sistema, sem querer, os cha-
mados cavalos de troia, que recolhem informações sigilosas dos usuários, como senhas 
e números de documentos.” (continua.)
Fonte: 
http://zh.clicrbs.com.br/rs/noticias/noticia/2014/05/hackers-atacam-sistema-de-e-mails-do-itamaraty-4510963.html
Hackers atacam sistema de e-mails do Itamaraty
Continuação Relato Caso Real 
da operadora para reativar o serviço. O atendente não soube explicar o porquê da falha. Se 
limitou a resolver o incidente. 
Na quarta-feira tentei acessar o home banking, mas não consegui. A mensagem afirmava 
que a senha estava expirada. Fui até a agência. O gerente alterou a senha. Ao chegar em 
casa, consultei o saldo do banco e verifiquei o registro de uma TED no valor de R$ 9.200,00, 
realizada na terça-feira, para uma conta da agência do Bradesco de Feira de Santana na 
Bahia. Havia o CPF e o nome do destinatário. Não sei dizer se era um nome falso.
Na quinta-feira retornei à minha agência e apresentei o comprovante do TED. Contei toda 
a história até aquele momento. O gerente percebeu a gravidade da situação. Registrei for-
malmente o ocorrido, troquei as minhas senhas do cartão e do home banking. Fui informado 
que o banco realizaria um procedimento investigatório e, se comprovada a fraude, restituiria 
o valor transferido indevidamente. O banco devolveu a quantia transferida 20 dias depois.
Três meses depois, recebi pelo aviso SMS do Banco que havia o registro de uma compra de 
passagem aérea pelo cartão de crédito, em empresa da Europa, no valor de aproximadamen-
te R$ 5.000,00. Entrei rapidamente em contato com a operadora e informei desconhecer 
essa transação. A operadora cancelou imediatamente o meu cartão e estornou o lançamen-
to. Não tive prejuízos financeiros, mas fiquei alguns dias sem poder usar o cartão de crédito. 
Não sei se há relação entre os dois casos relatados.”
http://zh.clicrbs.com.br/rs/noticias/noticia/2014/05/hackers-atacam-sistema-de-e-mails-do-itamaraty-4510963.html
9
Tribunal de Contas da União
Phishing
2.3 Como identificar o phishing?
Nos itens do teste apresentado nessa aula, foi possível identificar algumas caracterís-
ticas que devem ser observadas ao receber mensagens. Segue um resumo dos principais 
pontos discutidos: 
• Analise o endereço do remetente para ver se parece válido. Ex: um endereço eletrônico 
de um banco não será @gmail.com.
• Analise se o conteúdo da mensagem tem alguma relação com eventos recentes. Ex: 
um amigo te manda um link para fotos de uma festa à qual você não esteve presente. 
Talvez a mensagem seja mesmo de um amigo, mas ele pode estar com sua conta com-
prometida. As mensagens podem ter sido enviadas sem o consentimento dele. 
• Passe o mouse em cima do link no corpo da mensagem para o qual é solicitado seu 
clique. Verifique se aponta para um local conhecido (ex: um domínio.gov.br) ou se é 
um link com nomes estranhos ou sequências aleatórias de caracteres.
Fonte: http://www.ufrgs.br/tri/files/exemplo-de-phishing-analise/image_view_fullscreen
http://www.ufrgs.br/tri/files/exemplo-de-phishing-analise/image_view_fullscreen
10
Curso: Mundo Conectado
Ph
ish
in
g
• Observe se a mensagem contém erros de português. É comum que essas mensagens 
tenham erros bem fáceis de identificar.
Veja abaixo a análise de um e-mail real de phishing e passe a observar as mensagens 
que recebe:
3. Dicas para não cair em golpes de phishing
• Antes de acessar uma mensagem eletrônica com promoções, facilidades, brindes, ofer-
tas gratuitas ou com desconto exagerado, faça uma pesquisa pela internet, no site ofi-
cial da empresa ofertante, para se certificar da sua validade. No anexo I são apresenta-
dos alguns temas de mensagem que costumam aparecer nas mensagens de phishing.
• Não responda mensagens eletrônicas que solicitam informações financeiras, mesmo 
que o endereço de origem pareça confiável;
• Não abra links em mensagens eletrônicas, mensagens SMS ou interações em salas de 
bate-papo que pareçam suspeitas;
• Não é recomendado que você clique em informações que aparecem em janelas pop-
-up. As janelas pop-up são abertas pelo navegador quando o usuário visita uma página 
web ou acessa um link.  O pop-up é utilizada pelos criadores do site para abrir alguma 
informação extra ou como meio de propaganda. As empresas mais confiáveis não so-
licitam informações por meio dessas janelas.
• Lembre-se que os golpes de phishing não se restringem a mensagens eletrônicas. 
Podem ocorrer também por meio de redes sociais ou SMS. 
Atenção: 
Se você receber um e-mail suspeito na caixa de mensagens do TCU, informe 
à equipe de segurança da informação, por meio do seguinte procedimento:
- localize a mensagem suspeita na sua caixa de correio eletrônico;
- selecione a mensagem, com cuidado para não abri-la;
- pressione as teclas <CRTL> <ALT> <F>, simultaneamente - será gerada 
nova mensagem, com a original anexada;
- envie essa nova mensagem para segurancadainformacao@tcu.gov.br.
mailto:segurancadainformacao@tcu.gov.br
Tribunal de Contas da União
11
Phishing
Síntese
Nesta aula, aprendemos que Phishing é um tipo de fraude, na qual o ata-
cante utiliza-se de mecanismos tecnológicos, geralmente por meio de mensa-
gens, para persuadir suas vítimas a prestarem informações pessoais que podem 
ser úteis em ataques futuros. Também foram apresentadas dicas para identi-
ficar um ataque desse tipo e formas de agir para evitar seus efeitos danosos.
Curso: Mundo Conectado
12
Ph
ish
in
g
Bibliografia
http://www.proof.com.br/blog/seguranca-da-informacao/ataques-de-phishing-ficam-mais-
sofisticados-cada-dia/
https://cryptoid.com.br/banco-de-noticias/acabe-com-os-ataques-de-phishing/
http://blog.infomach.com.br/problemas-e-mails-de-phishing-intel-security/
http://diariodonordeste.verdesmares.com.br/suplementos/tecno/online/usuarios-brasileiros-de-
mobile-banking-sao-alvos-de-ataques-via-sms-1.1590855
http://www.phishing.org/history-of-phishing/
ícones: http://www.freepik.com/dooder
http://www.proof.com.br/blog/seguranca-da-informacao/ataques-de-phishing-ficam-mais-sofisticados-cada-dia/http://www.proof.com.br/blog/seguranca-da-informacao/ataques-de-phishing-ficam-mais-sofisticados-cada-dia/
https://cryptoid.com.br/banco-de-noticias/acabe-com-os-ataques-de-phishing/
http://blog.infomach.com.br/problemas-e-mails-de-phishing-intel-security/
http://diariodonordeste.verdesmares.com.br/suplementos/tecno/online/usuarios-brasileiros-de-mobile-banking-sao-alvos-de-ataques-via-sms-1.1590855
http://diariodonordeste.verdesmares.com.br/suplementos/tecno/online/usuarios-brasileiros-de-mobile-banking-sao-alvos-de-ataques-via-sms-1.1590855
http://www.phishing.org/history-of-phishing/
13
Tribunal de Contas da União
A
U
LA
 3
A
nexo I 
Exem
plos de tópicos que são abordados em
 m
ensagens de phishing.
Curso: Mundo Conectado
Anexo I – Exemplos de tópicos que são abordados em 
mensagens de phishing.
Tópico Tema da Mensagem
Álbuns de fotos e vídeos
Pessoa supostamente conhecida, celebridades, algum fato noticiado em jornais, revistas ou 
televisão, traição, nudez ou pornografia, serviços de acompanhantes
Antivírus Atualização de vacinas, eliminação de vírus, lançamento de nova versão ou de novas funcionalidades
Associações assistenciais AACD Teleton, Click Fome, Criança Esperança
Avisos judiciais Intimação para participação em audiência, comunicado de protesto, ordem de despejo
Cartões de crédito Programa de fidelidade, promoção
Cartões visuais UOL, Voxcards, Yahoo, Cartões, O carteiro, Emotioncard
Comércio eletrônico
Cobrança de débitos, confirmação de compra, atualização de cadastro, devolução de produtos, 
oferta em site de compras coletivas
Companhias aéreas Promoção, programa de milhagem
Eleições Título eleitoral cancelado, convocação para mesário
Empregos Cadastro e atualização de currículos, processo seletivo em aberto
Impostos de renda Nova versão ou correção de programa, consulta de restituição, problema nos dados de declaração
Internet Banking
Unificação de bancos e contas, suspensão de acesso, atualização de cadastro e de cartão de 
senhas, lançamento ou atualização de módulo de segurança, comprovante de transferência e 
depósito, cadastramento de computador
Multas e infrações de trânsito Aviso de recebimento, recurso, transferência de pontos
Músicas Canção dedicada por amigos
Notícias e boatos Fato amplamente noticiado, ataque terrorista, tragédia natural
Prêmios Loteria, instituição financeira
Programas em geral Lançamento de nova versão ou de novas funcionalidades
Promoções
Vale-compra, assinatura de jornal, revista, desconto elevado, preço muito reduzido, 
distribuição gratuita
Propagandas Produto, curso, treinamento, concurso
Reality Shows Big Brother Brasil, A Fazenda, Ídolos
Redes sociais
Notificação pendente, convite para participação, aviso sobre foto marcada, permissão para 
divulgação de foto
Serviços de Correios Recebimento de telegrama online
Serviços de e-mail Recadastramento, caixa posta lotada, atualização de bancos de dados
Serviços de proteção de crédito Regularização de débitos, restrição ou pendência financeira
Serviços de proteção 
de telefonia
Recebimento de mensagem, pendência de débitos, bloqueio de serviços, detalhamento de 
fatura, créditos gratuitos
Sites com dicas de segurança
Aviso de conta de e-mail sendo usada para envio de spam (Antispam.br), cartilha de 
segurança (CERT.br, FEBRABAN, Abranet, etc.)
Solicitações Orçamento, documento, relatório, cotação de preços, lista de produtos
Fonte : Cert.BR, modificada
	Introdução