Spoofing e Phishing PARTE II - Entendendo e nos Precavendo
- Time do TheWebGuardian
- 31 de mar. de 2023
- 5 min de leitura
Atualizado: 10 de dez. de 2024
Na Parte II deste Post, vamos nos concentrar no Phishing e nas suas diversas e mais utilizadas variantes.
Phishing – Jogando uma isca para ver o que se fisga
A palavra Phishing deriva do verbo “fishing”, que significa “pescando”. Isto implica usar de algo atraente e/ou de interesse/necessidade, a fim de “fisgar” uma presa.
Os americanos usam bastante a frase “Seems fishy!” quando querem dizer que algo está “estranho” ou parece “suspeito”, ou como nós costumamos dizer - “Algo está cheirando mal”. Lembre-se sempre desta frase, e se algo lhe parecer “Fishy”, há chances de ser Phishing!
De acordo com recentes estatísticas, 82% dos casos de vazamento de dados são devidos ao Phishing e à perda ou roubo de credenciais. Nomes de empresas reconhecidas, como Microsoft, Amazon, Yahoo, Apple e PayPal geralmente são usadas para atrair a atenção das pessoas, e mascarar a verdadeira identidade do malfeitor.
Antes de um ataque de Phishing, os potenciais alvos são devidamente pesquisados na web, através de informações disponíveis nas redes sociais, bancos de dados e outras fontes públicas de informações online.
Quanto mais informações pessoais compartilhamos na web, mais material de trabalho a pessoa de má-fé coleta sem muito esforço.
Muitas técnicas de Phishing podem ser utilizadas, mas nos concentraremos nas mais comuns - E-Mail e as variantes de Spear e Whaling Phishing, SMishing, Vishing e Pharming.
Tipos mais comuns de Phishing
E-Mail Phishing (+ Spear e Whaling)
Segundo informações publicadas este ano, 91% dos Phishing Emails são enviados através de uma conta do Gmail. Isto porquê é um serviço gratuito muito popular e que ganhou boa reputação no mercado.
O tipo mais usado de E-Mail Phishing tem como alvo a maior quantidade de pessoas que eventualmente clicarão num link malicioso, acessarão um website falso ou darão download em um anexo.
Os criminosos saem enviando uma quantidade absurda de falsos e-mails, sabendo que nem todos cairão no golpe.
Spear Fishing (“pesca com lança”) é a tentativa de obter informações de uma determinada pessoa ou empresa. É uma forma de ataque bem específico, e o malfeitor já possui muitas informações relevantes sobre a vítima.
Whaling Phishing (“pesca de baleias”) se refere ao golpe especificamente voltado a um funcionário de alto escalão, com cargo executivo de muita responsabilidade, geralmente com o objetivo de extorsão de somas altas.
SMiShing
Este termo refere-se às tentativas de golpes que usam o SMS como meio de propagação (isca). Não deixe de ler nosso Post especial sobre esse golpe aqui!
Vishing
Nesta modalidade, a comunicação via telefone é o meio escolhido para tentar coletar as informações. Muitas vezes, os ataques via Vishing são feitos usando chamadas automatizadas, e pedem à vitima que digite seus dados pessoais, alegando confirmação de credenciais.
Pharming
O método usado aqui é o “DNS Cache Poisoning”, em português “Envenenamento do Cache de DNS”. O Pharming é uma técnica conhecida como “Pescando sem Isca”. Isto porquê não existe um elemento atrativo que o faça cair no golpe, nenhuma ação é requerida de você.
Para cair neste golpe, basta que um código malicioso tenha sido instalado no sistema operacional de seu equipamento ou rede (de alguma forma). Este código, sem você se dar conta, o direciona a um website malicioso, sem você precisar ter dado um clique sequer.
O quê isso quer dizer? Que a memória cache de seu equipamento foi manipulada de tal forma que o endereço da URL que você está acessando no browser está lhe direcionando a um IP que não confere com o nome do domínio (Domain Name).
Em poucas palavras, a URL que você deseja acessar está lhe redirecionando a um website fraudulento.
Assuntos que geram mais golpes bem-sucedidos de Phishing
Como salientamos anteriormente, é preciso ter um motivo (isca) para atrair a atenção das potenciais vítimas - um assunto que gere interesse e alguma forma de emoção, de modo a estimular uma ação. Conheça alguns deles abaixo:
Atualizações de software
Atraso na entrega do Amazon
Notificação de Expiração de Senha do Google
Pesquisas de satisfação do cliente
Mensagens de Requisição de Ação, como “Seu pagamento foi reprovado”
Além destes acima, são muito comuns no Brasil os golpes de Phishing com as seguintes “pegadinhas”:
Recadastramento de Token
Cancelamento de CPF
Ofertas de Emprego
Pontos ou Bônus a vencer
Dicas para Prevenção contra Phishing
As dicas que demos na Parte I deste Post especial continuam sendo válidas aqui, bem como em todas as situações que podem oferecer algum tipo de ameaça. Abaixo mais formas de ficarmos atentos:
Geralmente os E-mails de Phishing usam endereços públicos (como Gmail), ao invés de um endereço corporativo
Podem também conter logotipos e outros elementos que identificam visualmente (são associados) à imagem de uma empresa ou marca famosa
Na maioria das vezes os E-mails de Phishing são inesperados – você não pediu nem se cadastrou para recebê-los, muito menos autorizou seu recebimento
As mensagens podem conter erros gramaticais, URLs erradas ou suspeitas, bem como URLs que usam diferentes fontes (tipologias) como meio de enganar os olhos em uma leitura/olhar rápido
Muitas vezes os criminosos transformam os textos que enviam em imagens (renderização de fonte). Isso faz com que softwares de segurança não consigam verificar palavras ou termos suspeitos
Evite fazer logins indiretos (usando outros meios, como redes sociais). Você já deve ter reparado em botões onde está escrito “Login com Google”, ”Login with Facebook” ou com Linkedin... Prefira fazer login direto usando as credenciais que cadastrou para aquele determinado website
Criminosos têm usado links abreviados como forma de esconder o verdadeiro destino do link. Nunca clique no link, e verifique o verdadeiro caminho passando o mouse em cima do link
Desconsidere todas as solicitações de transferência de dinheiro, especialmente via PIX. Leia nosso Post sobre Golpes Via PIX! É muito improvável que um parente próximo vá lhe pedir dinheiro usando mensagem de SMS ou E-mail...
Cilada mesmo é se alguém lhe pedir para transferir dinheiro em troca de algo. Alguns malfeitores se fazem passar por falsas ONGs pedindo doações. A única coisa que você vai ganhar é dor-de-cabeça, e perder seu dinheiro
Nunca esqueça de dar Logout (Sair) em todo website após encerrar a sessão ou uma compra. Parece simplória esta orientação, mas muitas pessoas apenas fecham a janela do browser, achando que saíram do site
Caso não esteja utilizando a internet, desconecte-se. Você provavelmente não precisa do sinal 24h por dia.
Evite utilizar Wi-Fi de locais públicos para realizar comunicações que exigem privacidade ou fazer transações bancárias. Conecte o Bluetooth apenas quando for utilizá-lo
Além de todas as dicas acima, proteja seus aparelhos com bons softwares anti-virus, firewall, anti-spyware, filtro de spam, instale apenas softwares originais e mantenha o sistema atualizado
Spoofing + Phishing – Métodos Interdependentes
Ao final da leitura deste Post especial de duas partes, você deve ter percebido que as dicas de prevenção para um servem para o outro. Isto porquê muitas técnicas de Phishing se utilizam de técnicas de Spoofing, e vice-versa. Elas estão totalmente conectadas e são complementares.
Percebemos que o Pharming está completamente linkado ao Website Spoofing, que o Vishing se refere ao Phone (Caller ID) Spoofing... É então quase certo afirmar que a “isca” utilizada no Phishing é contruída através de uma (ou mais) técnica(s) de Spoofing.
Não deixe de ler nosso post "Saiba como Detectar um Golpe de Phishing"!
NOS VEMOS NOS PRÓXIMOS POSTS!
