Baixe o app para aproveitar ainda mais
Prévia do material em texto
MUNDO CONECTADO AulA 3: Phishing Este material tem função didática. A última atualização ocorreu em Dezembro de 2016. As afirmações e opiniões são de responsabilidade exclusiva do autor e podem não expressar a posição oficial do Tribunal de Contas da União. © Copyright 2016, Tribunal de Contas de União <www.tcu.gov.br> RESPONSABILIDADE PELO CONTEÚDO Tribunal de Contas da União Secretaria Geral da Presidência Instituto Serzedello Corrêa Secretaria de Planejamento, Governança e Gestão/Diretoria de Segurança da Informação e Continuidade de Negócio Serviço de Educação Corporativa de Controle SUPERVISÃO Carolina Beserra Pfeilsticker Walter Fabrício de Castro Telli CONTEUDISTA Gustavo Rodrigues Lima Almeida José Luiz Torres Ferreira Costa Juliana Belmok Bordin Maria Camila de Avila Dourado Pedro Henrique Braz de Souza Rafael Cancellier TRATAMENTO PEDAGÓGICO Marta Eliane Silveira da Costa Bissacot PROJETO GRÁFICO Vanessa Vieira DIAGRAMAÇÃO Vanessa Vieira e Guilherme Resende http://portal.tcu.gov.br/inicio/index.htm Tribunal de Contas da União Sumário Sumário �������������������������������������������������������������������������������������������������������������������������������������������������������������������� 3 Introdução ������������������������������������������������������������������������������������������������������������������������������������������������������������ 5 1� PHISHING �������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 5 2� O QUE É PHISHING ? ���������������������������������������������������������������������������������������������������������������������������������������������������� 6 2.1. Principais tipos �������������������������������������������������������������������������������������������������������������������������������������������������� 6 2.2 Objetivos por trás dos ataques ����������������������������������������������������������������������������������������������������������������� 7 2.3 Como identificar o phishing? ����������������������������������������������������������������������������������������������������������������������� 8 3� DICAS PARA NÃO CAIR EM GOLPES DE PHISHING ������������������������������������������������������������������������������������10 Síntese �������������������������������������������������������������������������������������������������������������������������������������������������������������������11 Bibliografia ��������������������������������������������������������������������������������������������������������������������������������������������������������12 Anexo ����������������������������������������������������������������������������������������������������������������������������������������������������������������������13 Tribunal de Contas da União 5 Phishing Nesta aula, estudaremos o que é phishing, quais são as suas principais modalidades e como podemos nos defender desse ataque cibernético. 1. PHISHING A Intel Security promoveu um teste em 2015 que analisou o conhecimento das pessoas sobre e-mails de phishing. Aproximadamente 20 mil pessoas em 144 países participaram do teste e 97% dos participantes errou a avaliação de, pelo menos, um dos casos apresentados, indicando vulnerabilidade a ataques de phishing. É provável que você já tenha ouvido a seguinte recomendação de segurança: “não clique em links recebidos por e-mail”. Será que isso é suficiente para mantê-lo protegido? E os e-mails que são legítimos? Antes de conhecer mais sobre o que é phishing e como evitá-lo, faça o teste disponível no apli- cativo de ensino à distância para avaliar sua capacidade de identificar corretamente essas ameaças. Ao conhecer mais sobre o assunto você poderá não só se proteger de diversas fraudes, mas também acessar com segurança conteúdos que são do seu interesse. Introdução Curiosidade  A pesquisa da Intel descobriu que o e-mail que mais causou dúvidas na identificação era legítimo. O e-mail pedia que o destinatário reali- zasse uma ação para obter anúncios gratuitamente. Com frequência, as pessoas fazem associação entre a oferta de prêmio ou algo gratuito à ocorrência de phishing ou spam. Essa é a provável razão pela qual um grande número de pessoas não identificou corretamente a natureza desse e-mail. 6 Curso: Mundo Conectado Ph ish in g 2. O QUE É PHISHING ? Phishing é um tipo de fraude na qual o atacante usa mecanismos tecnológicos, geralmente baseados em mensagens, para persuadir as vítimas a prestarem informações pessoais de utilida- de para futuros ataques. Embora seja um golpe muito antigo, os ataques de phishing estão ficando cada vez mais sofisticados. Por isso, é preciso sempre se manter informado sobre o tema e conhecer as novas modalidades que estão sendo aplicadas. 2.1. Principais tipos: • Phishing Tradicional, que seria o equivalente a “pescar com rede”. Nesse caso, um atacante cria uma mensagem ele- trônica com phishing e envia para várias pessoas (ex: 10.000 usuários). Mesmo que só 10% caia na armadilha, a campanha será um sucesso. • Spear Phishing São ataques específicos e direcionados. São gol- pes mais elaborados em que os fraudadores pes- quisam o funcionamento de uma organização para conseguir informações específicas, como por exemplo os responsáveis por pagamentos. Curiosidade  O termo “phishing” tem origem na palavra em inglês “fishing”, que significa pescaria. O uso do ph no lugar do f é porque os primeiros hackers de telefonia eram chamados de “phreaks”. Tem relação com o fato de que o atacante consegue “pescar” dados da vítima, que é enga- nada e “morde o anzol”. Foto: freepik Foto: freepik 7 Tribunal de Contas da União Phishing 2.2 Objetivos por trás dos ataques Os objetivos por trás dos ataques podem ser roubo de dados bancários ou de cartões de crédito, sabotagem (manipulação das máquinas infectadas), extorsão (ex: ransomware), espio- nagem etc. Veja abaixo algumas histórias reais de pessoas que caíram em golpes de phishing e suas consequências. “Eu sempre usei o meu computador doméstico para realizar transações financeiras pelo site do Banco do Brasil. É muito cômodo operar com o banco sem sair de casa, a qualquer hora do dia. Considerava muito segura essa funcionalidade de internet banking. No início desse ano, o meu computador passou a enviar mensagens frequentes solicitando a atualização para Windows 10. Como havia escutado diversos relatos de colegas reclaman- do dessa nova versão do sistema operacional, eu sempre negava permissão para atualização. Porém, um belo dia a minha filha entrou no computador para fazer um trabalho da escola. Com o alerta sobre a necessidade de atualização automática para o Windows 10, ela não teve dúvidas: aceitou o pedido e a versão do sistema operacional foi atualizada. No sábado, precisei usar o computador para fazer uma transferência financeira para a faxineira que havia trabalhado durante todo o dia. Ela estava precisando do dinheiro com urgência, e eu estava também apressado, pois tinha um compromisso com hora marcada em alguns minutos. Qual não foi a minha surpresa ao ver a disposição dos ícones e botões totalmente dife- rente do que eu estava acostumado. A impressora não estava funcionando. O novo browser instalado pela atualização do Windows 10 demorava muito para abrir. O acesso à internet estava extremamente lento. Como tudo era novo, o link para o Banco do Brasil não estava nos meus favoritos, nem aparecia no histórico recente do navegador. Ao procurar por Banco do Brasil no Google, apareceram diversos links como resultado da pesquisa. Ao clicar no primeiro, que parecia ser o oficial, abriu-se uma página que aparentemente era correta. Mas estava extremamente lenta. E percebi que ela chegou a piscar pelo menos duas vezes,indicando que estava sendo recarregada. Ao digitar meus dados, a página informou que não reconhecia o computador e que seria necessário realizar alguns procedimentos de segurança para habilitar o acesso. Como isso ocorre frequentemente no site do Banco do Brasil, achei normal, apesar de extremamente inconveniente para o momento de urgência que estava passando. A página de redirecio- namento solicitou o número da agência, o número da conta, a senha do home banking, a senha do cartão e também o número do celular. Nem percebi que estava sendo “fisgado”. Após informar esses dados, o site do Banco do Brasil carregou normalmente e eu pude fazer a transferência. O domingo passou sem novidades. Segunda-feira também. A minha conta estava com saldo baixo, pois o pagamento estava previsto para ser depositado na terça-feira. Nesse dia, logo pela manhã percebi algo estranho. O meu celular estava completamente fora do ar. Apesar de ligado, não conseguia se conectar à rede da operadora. Tive que ir até a loja Relato de caso real ocorrido com servidor do TCU (continua na próxima página) 8 Curso: Mundo Conectado Ph ish in g Ainda não se tem informação sobre os responsáveis nem o objetivo dos ataques 27/05/2014 - 15h20min “O Itamaraty — sede do Ministério das Relações Exteriores do Brasil, localizada em Brasília — está sofrendo uma onda de ataques de hackers desde o último dia 19. O sis- tema de e-mails e de leitura de documentos do ministério e dos postos diplomáticos no exterior ficou fora do ar nesta segunda-feira e segue assim até o momento, mas uma manutenção geral para evitar novos acessos indevidos está sendo feita e o problema deve ser solucionado ainda nesta terça-feira. De acordo com o Itamaraty, hackers usaram o esquema chamado phishing, em que e-mails aparentemente de pessoas conhecidas são enviadas para colegas e incluem um link malicioso. Ao clicar na página, servidores instalam no sistema, sem querer, os cha- mados cavalos de troia, que recolhem informações sigilosas dos usuários, como senhas e números de documentos.” (continua.) Fonte: http://zh.clicrbs.com.br/rs/noticias/noticia/2014/05/hackers-atacam-sistema-de-e-mails-do-itamaraty-4510963.html Hackers atacam sistema de e-mails do Itamaraty Continuação Relato Caso Real da operadora para reativar o serviço. O atendente não soube explicar o porquê da falha. Se limitou a resolver o incidente. Na quarta-feira tentei acessar o home banking, mas não consegui. A mensagem afirmava que a senha estava expirada. Fui até a agência. O gerente alterou a senha. Ao chegar em casa, consultei o saldo do banco e verifiquei o registro de uma TED no valor de R$ 9.200,00, realizada na terça-feira, para uma conta da agência do Bradesco de Feira de Santana na Bahia. Havia o CPF e o nome do destinatário. Não sei dizer se era um nome falso. Na quinta-feira retornei à minha agência e apresentei o comprovante do TED. Contei toda a história até aquele momento. O gerente percebeu a gravidade da situação. Registrei for- malmente o ocorrido, troquei as minhas senhas do cartão e do home banking. Fui informado que o banco realizaria um procedimento investigatório e, se comprovada a fraude, restituiria o valor transferido indevidamente. O banco devolveu a quantia transferida 20 dias depois. Três meses depois, recebi pelo aviso SMS do Banco que havia o registro de uma compra de passagem aérea pelo cartão de crédito, em empresa da Europa, no valor de aproximadamen- te R$ 5.000,00. Entrei rapidamente em contato com a operadora e informei desconhecer essa transação. A operadora cancelou imediatamente o meu cartão e estornou o lançamen- to. Não tive prejuízos financeiros, mas fiquei alguns dias sem poder usar o cartão de crédito. Não sei se há relação entre os dois casos relatados.” http://zh.clicrbs.com.br/rs/noticias/noticia/2014/05/hackers-atacam-sistema-de-e-mails-do-itamaraty-4510963.html 9 Tribunal de Contas da União Phishing 2.3 Como identificar o phishing? Nos itens do teste apresentado nessa aula, foi possível identificar algumas caracterís- ticas que devem ser observadas ao receber mensagens. Segue um resumo dos principais pontos discutidos: • Analise o endereço do remetente para ver se parece válido. Ex: um endereço eletrônico de um banco não será @gmail.com. • Analise se o conteúdo da mensagem tem alguma relação com eventos recentes. Ex: um amigo te manda um link para fotos de uma festa à qual você não esteve presente. Talvez a mensagem seja mesmo de um amigo, mas ele pode estar com sua conta com- prometida. As mensagens podem ter sido enviadas sem o consentimento dele. • Passe o mouse em cima do link no corpo da mensagem para o qual é solicitado seu clique. Verifique se aponta para um local conhecido (ex: um domínio.gov.br) ou se é um link com nomes estranhos ou sequências aleatórias de caracteres. Fonte: http://www.ufrgs.br/tri/files/exemplo-de-phishing-analise/image_view_fullscreen http://www.ufrgs.br/tri/files/exemplo-de-phishing-analise/image_view_fullscreen 10 Curso: Mundo Conectado Ph ish in g • Observe se a mensagem contém erros de português. É comum que essas mensagens tenham erros bem fáceis de identificar. Veja abaixo a análise de um e-mail real de phishing e passe a observar as mensagens que recebe: 3. Dicas para não cair em golpes de phishing • Antes de acessar uma mensagem eletrônica com promoções, facilidades, brindes, ofer- tas gratuitas ou com desconto exagerado, faça uma pesquisa pela internet, no site ofi- cial da empresa ofertante, para se certificar da sua validade. No anexo I são apresenta- dos alguns temas de mensagem que costumam aparecer nas mensagens de phishing. • Não responda mensagens eletrônicas que solicitam informações financeiras, mesmo que o endereço de origem pareça confiável; • Não abra links em mensagens eletrônicas, mensagens SMS ou interações em salas de bate-papo que pareçam suspeitas; • Não é recomendado que você clique em informações que aparecem em janelas pop- -up. As janelas pop-up são abertas pelo navegador quando o usuário visita uma página web ou acessa um link. O pop-up é utilizada pelos criadores do site para abrir alguma informação extra ou como meio de propaganda. As empresas mais confiáveis não so- licitam informações por meio dessas janelas. • Lembre-se que os golpes de phishing não se restringem a mensagens eletrônicas. Podem ocorrer também por meio de redes sociais ou SMS. Atenção: Se você receber um e-mail suspeito na caixa de mensagens do TCU, informe à equipe de segurança da informação, por meio do seguinte procedimento: - localize a mensagem suspeita na sua caixa de correio eletrônico; - selecione a mensagem, com cuidado para não abri-la; - pressione as teclas <CRTL> <ALT> <F>, simultaneamente - será gerada nova mensagem, com a original anexada; - envie essa nova mensagem para segurancadainformacao@tcu.gov.br. mailto:segurancadainformacao@tcu.gov.br Tribunal de Contas da União 11 Phishing Síntese Nesta aula, aprendemos que Phishing é um tipo de fraude, na qual o ata- cante utiliza-se de mecanismos tecnológicos, geralmente por meio de mensa- gens, para persuadir suas vítimas a prestarem informações pessoais que podem ser úteis em ataques futuros. Também foram apresentadas dicas para identi- ficar um ataque desse tipo e formas de agir para evitar seus efeitos danosos. Curso: Mundo Conectado 12 Ph ish in g Bibliografia http://www.proof.com.br/blog/seguranca-da-informacao/ataques-de-phishing-ficam-mais- sofisticados-cada-dia/ https://cryptoid.com.br/banco-de-noticias/acabe-com-os-ataques-de-phishing/ http://blog.infomach.com.br/problemas-e-mails-de-phishing-intel-security/ http://diariodonordeste.verdesmares.com.br/suplementos/tecno/online/usuarios-brasileiros-de- mobile-banking-sao-alvos-de-ataques-via-sms-1.1590855 http://www.phishing.org/history-of-phishing/ ícones: http://www.freepik.com/dooder http://www.proof.com.br/blog/seguranca-da-informacao/ataques-de-phishing-ficam-mais-sofisticados-cada-dia/http://www.proof.com.br/blog/seguranca-da-informacao/ataques-de-phishing-ficam-mais-sofisticados-cada-dia/ https://cryptoid.com.br/banco-de-noticias/acabe-com-os-ataques-de-phishing/ http://blog.infomach.com.br/problemas-e-mails-de-phishing-intel-security/ http://diariodonordeste.verdesmares.com.br/suplementos/tecno/online/usuarios-brasileiros-de-mobile-banking-sao-alvos-de-ataques-via-sms-1.1590855 http://diariodonordeste.verdesmares.com.br/suplementos/tecno/online/usuarios-brasileiros-de-mobile-banking-sao-alvos-de-ataques-via-sms-1.1590855 http://www.phishing.org/history-of-phishing/ 13 Tribunal de Contas da União A U LA 3 A nexo I Exem plos de tópicos que são abordados em m ensagens de phishing. Curso: Mundo Conectado Anexo I – Exemplos de tópicos que são abordados em mensagens de phishing. Tópico Tema da Mensagem Álbuns de fotos e vídeos Pessoa supostamente conhecida, celebridades, algum fato noticiado em jornais, revistas ou televisão, traição, nudez ou pornografia, serviços de acompanhantes Antivírus Atualização de vacinas, eliminação de vírus, lançamento de nova versão ou de novas funcionalidades Associações assistenciais AACD Teleton, Click Fome, Criança Esperança Avisos judiciais Intimação para participação em audiência, comunicado de protesto, ordem de despejo Cartões de crédito Programa de fidelidade, promoção Cartões visuais UOL, Voxcards, Yahoo, Cartões, O carteiro, Emotioncard Comércio eletrônico Cobrança de débitos, confirmação de compra, atualização de cadastro, devolução de produtos, oferta em site de compras coletivas Companhias aéreas Promoção, programa de milhagem Eleições Título eleitoral cancelado, convocação para mesário Empregos Cadastro e atualização de currículos, processo seletivo em aberto Impostos de renda Nova versão ou correção de programa, consulta de restituição, problema nos dados de declaração Internet Banking Unificação de bancos e contas, suspensão de acesso, atualização de cadastro e de cartão de senhas, lançamento ou atualização de módulo de segurança, comprovante de transferência e depósito, cadastramento de computador Multas e infrações de trânsito Aviso de recebimento, recurso, transferência de pontos Músicas Canção dedicada por amigos Notícias e boatos Fato amplamente noticiado, ataque terrorista, tragédia natural Prêmios Loteria, instituição financeira Programas em geral Lançamento de nova versão ou de novas funcionalidades Promoções Vale-compra, assinatura de jornal, revista, desconto elevado, preço muito reduzido, distribuição gratuita Propagandas Produto, curso, treinamento, concurso Reality Shows Big Brother Brasil, A Fazenda, Ídolos Redes sociais Notificação pendente, convite para participação, aviso sobre foto marcada, permissão para divulgação de foto Serviços de Correios Recebimento de telegrama online Serviços de e-mail Recadastramento, caixa posta lotada, atualização de bancos de dados Serviços de proteção de crédito Regularização de débitos, restrição ou pendência financeira Serviços de proteção de telefonia Recebimento de mensagem, pendência de débitos, bloqueio de serviços, detalhamento de fatura, créditos gratuitos Sites com dicas de segurança Aviso de conta de e-mail sendo usada para envio de spam (Antispam.br), cartilha de segurança (CERT.br, FEBRABAN, Abranet, etc.) Solicitações Orçamento, documento, relatório, cotação de preços, lista de produtos Fonte : Cert.BR, modificada Introdução
Compartilhar