top of page
Buscar

Spoofing e Phishing PARTE I - Entendendo e nos Precavendo

Atualizado: 28 de mar.


Spoofing – Aquilo que parece, mas não é
Tente encontrar as oito diferenças nas imagens!

Antes de elucidarmos o que são esses termos, vale dizer que ambos são usados em ataques cibernéticos, e que podem fazer uso de várias técnicas da Engenharia Social. Aliás, esta atividade está explicada em um de nossos Posts – não deixe de ler!


Na Parte I deste Post, vamos nos ater ao Spoofing e sua influência no universo da manipulação de dados e dos golpes e crimes cibernéticos.


Spoofing – Aquilo que parece, mas não é

A palavra “spoof” é derivada do nome de um jogo (chamado “spouf”) inventado por um comediante britânico em 1884, e significa “farsa”, “enganar”, “ludibriar” – algo que parece uma paródia (imitação).


Você já deve ter se divertido com aquelas revistas de passatempo e o “Jogo dos 7 Erros”, onde duas ilustrações quase idênticas estão lado a lado, e você é desafiado a encontrar as diferenças. Isso faz lembrar muito do assunto que está em pauta neste Post especial – a tentativa de enganar alguém, mesmo quando existe a possibilidade de detectar diferenças/problemas através da observação.


No âmbito da CyberSegurança, o Spoofing compreende diversos meios (e seus métodos) usados para se fazer passar por outra pessoa ou empresa, com o intuito final de adquirir algo de valia (informações/dados, acesso a sistemas/redes, dinheiro/resgate, disseminar malwares), dentre outros.


Em poucas palavras, o Spoofing acontece quando o criminoso disfarça a identidade – imitando uma pessoa, uma empresa ou até mesmo um computador ou device, objetivando enganar ou ganhar a confiança de alguém, de maneira que esta lhe forneça aquilo que está buscando.


Tipos mais comuns de Spoofing

Os Spoofing via e-mail, websites e telefonemas são os mais usados, bem como são aqueles que mais podem se beneficiar de artimanhas de Engenharia Social, pois os meios utilizados para ataque são largamente utilizados pelas “vítimas”.


Em próximos Posts, teremos a oportunidade de conhecer outros tipos de Spoofing além destes que estamos listando.


E-Mail e Text Message (SMS) Spoofing

Este tipo de Spoofing é o mais utilizado mundialmente. Para que esta técnica seja efetivada, bastam dois elementos – uma solicitação mascarada com seu devido pretexto (o “spoof” em si) e o fornecimento do meio pelo qual a pessoa (vítima) pode fornecer o que foi solicitado (link, click-on, anexos).


Exemplo: Você recebe um e-mail de um colega de trabalho do seu departamento, pedindo para que lhe envie uma planilha de budget devido à uma reunião de última hora (o “spoof”: alguém fazendo se passar por seu colega, pedindo algo com dados sensíveis por razão de urgência). Este é um exemplo bastante simples, que parece até óbvio.


Mas os golpes via e-mail podem ser muito melhor estruturados e convincentes, especialmente quando utilizam-se de nomes de empresas de conhecido respaldo, fazendo uso de suas identidades visuais (elementos padronizados de design) e do nome da marca para fins de reconhecimento visual.


Nos SMS falsos, geralmente é deixado um link de direcionamento para uma página montada e pronta para prosseguimento do potencial golpe, ou então um número de telefone para o qual se pede que você ligue, a fim de solucionar um problema, responder uma pesquisa ou dar prosseguimento ao contato.


Conheça mais sobre os golpes aplicados via SMS lendo nosso Post sobre SmiShing!


Website Spoofing

Aqui a ideia é fazer com que as pessoas acessem um website “modificado”, e eventualmente deixarem dados de interesse para o criminoso. Isto pode ser conseguido de duas maneiras: Criando um website com aparência quase idêntica ao site original, ou então criando um website cuja URL é quase idêntica ao do website original (ou “mascarando” a URL verdadeira).


Em muitos cursos de Desenvolvimento Web, aprendemos a “replicar” uma página de algum website conhecido, como forma de treinamento e aquisição de conhecimentos. Um web developer consegue montar uma página do zero, com a mesma aparência e funcionalidades do website original – basta saber usar as ferramentas e softwares adequados.


De acordo com informações coletadas em 2022, foram detectados mais de 416 mil websites construídos com o propósito de obter credenciais e detalhes de pagamento de usuários... Muitos desses sites usam a certificação digital (cadeado e HTTPs://) para legitimizar suas URLs. Saiba mais sobre isso em nosso Post relacionado - Clique aqui!.


Phone (Caller ID) Spoofing

Através da falsificação das informações que você recebe no seu identificador de chamadas, o criminoso se faz passar por um funcionário de uma empresa que você conhece (e que talvez até esteja nos Seus Contatos).


Desta forma, você acaba reconhecendo o número e atendendo a chamada. Geralmente o número de quem está iniciando a chamada é local (parece ser de um DDD conhecido).


A pessoa então assumirá o papel de um funcionário da empresa, e usará de todos os métodos para assegurar a legitimidade e credibilidade do motivo do contato.


Os Spoofings feitos através de chamadas usam o VoIP (Voice over Internet Protocol), em português “voz sobre protocolo de internet”, o que permite aos malfeitores criarem/escolherem qualquer número de telefone e ID.


As chamadas feitas usando VoIP são feitas usando a internet, ao invés de utilizar os serviços de uma companhia telefônica (cabeamento). Esse método de Spoofing também é conhecido como “Spam Call”.


IP Spoofing

IP é a sigla para “Internet Protocol”. Trata-se de um número que identifica cada dispositivo que se conecta à uma rede ou à internet. Cada dispositivo (celular, notebook, desktop, etc) tem um IP único, o qual representa seu endereço, e que guarda suas informações de localização.


Em um E-mail, o endereço IP da pessoa que o envia (remetente) pode ser visto no “header” da mensagem – isto chama-se “endereço da fonte”, em inglês “source address”.


Pelo ato de “falsificar” este IP, o criminoso pode alterar o “header” de um e-mail, fazendo parecer que é o verdadeiro remetente. Há duas formas de ataques feitos com o IP Spoofing:

  • Man in the Middle: a comunicação entre o verdadeiro remetente e o destinatário é interceptada. O criminoso altera o conteúdo da mensagem, conforme seu objetivo

  • Ataques DoS e DDoS: Estas siglas significam “Denial of Service”, em português “Recusa de Serviço”. Aqui, as mensagens do remetente e do destinatário são interceptadas, e o endereço da fonte é falsificado. Desta forma qualquer tentativa de comunicação entre as partes ficará comprometida, pois o sistema entrará em colapso tentando encontrar o IP fornecido (que foi adulterado). Isto pode causar pane geral em redes de computadores, comprometendo severamente empresas, sistemas e servidores.

Dicas para Prevenção contra Spoofing

Como vimos, a intenção do Spoofing é enganar e fazer as pessoas acreditarem em algo que aparenta ser verdadeiro e legítimo. Como podemos estar mais atentos às nossas vulnerabilidades neste caso?

  • Nunca acredite que uma pessoa é quem ela diz ser, desconfie

  • Geralmente, as pessoas engajadas em golpes são assertivas, convincentes, confiantes, calmas e ponderadas ao falar, conhecem bem o assunto do qual tratam, passam uma sensação de simpatia, boa-intenção e iniciativa, sabem usar o poder da chamada “lábia” e da persuasão

  • Não atenda ligações de números desconhecidos e nunca pressione qualquer botão

  • Não se altere com chamadas nem mensagens que tem um caráter emergencial ou emocional

  • Caso receba telefonema de alguém dizendo ser de alguma empresa, banco, loja ou prestadora de serviços, desligue. Depois, para verificar, acesse o website oficial e tente contato direto

  • Se receber mensagens SMS que não contenham seu nome, desconsidere-as

  • Se fizer uso de conta de Voice Mail, proteja-a com uma senha forte, ou fortaleça suas senhas - Leia nossos Posts!

  • Os cabeçalhos de e-mails contém muitos dados importantes, que, se verificados corretamente, podem revelar uma possível ameaça. No entanto, só é possível verificá-lo em desktops e notebooks (não no celular). Além disso, há maneiras diferentes de visualizar estes dados, dependendo do provedor de serviço de E-mail. Faça sua pesquisa e descubra como verificar os cabeçalhos de e-mails

  • Fique sempre atento e leia mais de uma vez qualquer comunicado que receber. Faça todas as verificações possíveis antes de clicar em links e anexos

  • Se o nome do remetente do E-mail não corresponder ao endereço “From”, cuidado. Se o endereço para responder (“Reply-to”) for diferente do endereço do remetente, cuidado

  • Quando quiser acessar algum website, prefira digitar a URL na barra de endereços do browser, ao invés de usar links de redirecionamento

  • Prefira acessar a internet através de VPN (Virtual Private Network) e prefira acessar sites que utilizam criptografia (HTTPs), leia nosso Post aqui

NOS VEMOS NOS PRÓXIMOS POSTS!

2023 - Criado e Desenvolvido por TheWebGuardian - Blog Informativo sem fins lucrativos.

bottom of page