Phishing – Já tentaram te “fisgar”!

A imaginação de estelionatários parece não ter limites. São inúmeras as maneiras das quais se utilizam para coletar informações de pessoas “desavisadas” (que o diga a atriz Carolina Dieckmann).

Muitas vezes essas maneiras são tão convincentes que ludibriam até mesmo os mais cuidadosos.

Para evitar esse tipo de ameaça, nada melhor do que conhecer algumas dicas que poderão “salvar sua vida” em relação às tentativas de phishing.

Antes de mais nada, vamos ao significado dessa ameaça:

Phishing, termo em computação oriundo do Inglês fishing, traduzido literalmente para o português, significa pesca. Este tipo de ameaça foi batizado com esse nome pois, como em uma pescaria, utiliza-se uma “isca” convincente para “enganar” internautas e levá-los a fornecer informações pessoais que permitirão que o estelionatário tenha acesso a dados da vítima, como conta bancária, e-mails, mensagens instantâneas, redes sociais, etc.

Entendido o que significa, vamos conhecer esses golpes e as dicas para evitar ser “fisgado”.

Todos os dias são criados novos golpes. Seria impossível listá-los. Por isso, o ideal é familiarizar-se com os sinais que esse tipo de fraude costuma apresentar:

  • Mensagens sensacionalistas com ameaças de encerramento de contas;
  • Promessas de dinheiro fácil;
  • Pedidos de doações para entidades de ajuda ou caridade, logo após algum desastre ser veiculado pela mídia e;
  • PRINCIPALMENTE, erros gramaticas, de ortografia ou concordância.
Exemplo de Phishing

Exemplo de Phishing

Além disso, elas podem parecer que vêm do seu banco ou instituição financeira, de uma empresa com quem você faz negócios ou de um site de rede social .

Elas podem parecer vir de alguém conhecido ou que esteja em seu catálogo de endereços de e-mail.

Elas podem incluir logotipos oficiais e outras informações de identificação retiradas diretamente de sites reais.

Normalmente, esse tipo de mensagem inclui links para sites falsos (com a mesma aparência dos verdadeiros), onde pedem para você inserir seus dados pessoais.

Esses links comumente mostram o nome ou logotipo de uma empresa real que costumam estar mascarados, ou seja, o link que você vê não o levará a esse endereço, mas a algum lugar diferente, seja uma cópia de um site legítimo, ou uma página com código malicioso embutido.

Para saber se a mensagem que está recebendo faz esse tipo de “redirecionamento”, coloque (sem clicar) o ponteiro do mouse sobre o link que será mostrado o endereço real. Se os dados que aparecerem não forem do site da empresa, se formarem uma sentença sem muito sentido ou com muitos números, suspeite, pois é sinal de fraude.

Na dúvida, melhor não clicar. Entre em contato com o suposto remetente, seja um conhecido ou uma instituição, e certifique-se de que foram eles que enviaram o e-mail.

Em julho deste ano foi divulgado pelo CERT.br, órgão responsável pelos estudo e tratamento de incidentes de segurança no Brasil, um crescimento de 184% nas tentativas de phishing, em comparação ao mesmo período de 2011. Portanto, OLHOS BEM ABERTOS, pois o peixe morre pela boca, mas o internauta pelo clique!

Anúncios

Parece que tem “bicho” nessa “maçã”!

É assustador, mas é verdade… 

Como no mundo real, o mundo virtual também tem problemas com pequenos insetos (bugs, em inglês). 

Na semana passada foram divulgadas informações a respeito de uma brecha na segurança da AT&T, empresa que armazena os dados e sites da Apple.
Minha avó sempre diz que, “pior do que encontrar um bicho dentro da maçã, é encontrar somente metade dele…”. E não é que para o mundo virtual essa máxima também é verdadeira? Explico o porque: 

Claro que não preciso dizer que no caso real da coisa, encontrar só meio bichinho vai fazer você cuspir tudo o que tiver na boca… (bom, já disse). Neste caso virtual, o fato é que, normalmente, usuários comuns não “enxergam” meios bichinhos e acabam por “comê-los” inteiros, em duas mordidas. 

Feito o comparativo, vai a explicação do que ocorreu, na forma mais simples possível. Que me desculpem os conhecedores profundos de TI, mas este blog pretende, principalmente, alcançar os leigos nos termos técnicos da informática: 

Uma empresa de hackers (isso mesmo, empresa de hackers, explico mais adiante) encontrou uma falha no sistema por trás do site da Apple que, ao enviarem uma sequência de comandos através da barra de endereços do navegador (o local onde se coloca o http://www…), incluindo o número chamado ICC-ID, ou número de identificação dos usuários do IPAD 3G, da Apple, onde como resultado (pasmem), recebiam o endereço de e-mail do proprietário do equipamento. 

Você deve estar se perguntando, e dai? 

Bom, se você não tem um IPAD, não precisa se preocupar… se tem, acabei de te mostrar a metade do bichinho… (desculpe, pode cuspir). 

O detalhe mais assombroso, na verdade, são dois: 

1. Este site está na Internet (claro, como todos os outros), portanto, acessível a qualquer pessoa no mundo!!!
2. A empresa de Hackers comunicou imediatamente à Apple/AT&T, que mesmo assim não tomou providência efetiva alguma, mantendo a exposição dos dados que deveriam ser confidenciais. 

Parte da lista adquirida através da falha de segurança

 

Um agravante, neste caso, foi que e-mails de diversas celebridades, pessoas do governo dos EUA e muitos servidores do alto escalão do exército vazou. 

Claro que você vai pensar: ema, ema, ema, cada um com seus “pobrema”, não tenho nenhum produto da Apple… mas, imagine quantos bichinhos não estão andando por ai, em sites que deveriam ser os mais rigorosos possível no quesito segurança… 

Para encerrar, explico o porque da “empresa” de hackers: 

Existem realmente empresas que realizam testes em sistemas e sites, afim de procurar por vulnerabilidades de segurança. A empresa que gerencio, por exemplo, realiza esse tipo de trabalho constantemente, que é chamado de EHT (Etical Hacking Test), ou seja, Teste de Vulnerabilidades Ético… nada mais é do que utilizar conhecimentos iguais aos dos Hackers, realizando tentativas de invasão, porém com o consentimento e aval do proprietário. 

Este tipo de teste gera um relatório que é utilizado para corrigirem todas as vulnerabilidades encontradas. 

No caso acima, trata-se realmente de uma empresa, porém, neste caso, não foi solicitado plea Apple ou AT&T que o teste fosse executado. Claro que, com o intuito de prestar serviços que corrigiriam o problema,  a empresa comunicou os proprietários, mas estes não fizeram nada a respeito (nem contratando os serviços dessa empresa, de outra, ou utilizando recursos próprios), o que desencadeou uma série de divulgações à imprensa, por parte da empresa Hacker. 

A propósito, honras ou desméritos à parte, o nome da empresa em questão é Goatse Security. 

Dica: Fiquem atentos às “metades dos bichinhos” nas “frutas” por ai, afinal, muitos deles não podemos realmente “enxergar” à olhos nús, mas existem alguns que já sabemos que “moram” por ai, portanto… CUIDADO!

SPAM, a praga da Internet

Muitos são os meios de se conseguir listas de endereços de e-mails, desde (pasmem) comprá-las em “banquinhas” na Santa Ifigênia, até através de robôs que varrem a Internet em busca desses endereços em páginas de sites.

Seja como for, estas práticas tem um único intuito… enviar e-mails em massa, para uma infinidade de usuários, com propagandas de produtos e serviços que não nos interessa ou informações aparentemente interessantes, mas que contém links que nos levam à sites que, por sua vez, instalam Malwares em nossos computadores pessoais.

Vamos nos aprofundar nesta segunda modalidade de disseminação de e-mails que, por consequência, acaba sendo a forma mais prática, rápida e barata de se “engordar” as listas de endereços dos mal-intencionados, as quais servirão para novos SPAMs e assim por diante, num ciclo vicioso infinito.

Para acabarmos com esse ciclo, seguem algumas dicas básicas:

  • não acredite em tudo que recebe, mesmo que aparente vir de uma pessoa conhecida;
  • os e-mails falsos, apesar de parecerem bem convincentes (as vezes até mesmo com logotipos reais, etc), contém muitos erros de português. Desconfie deles;
  • frases como “aconteceu com um amigo do meu irmão”, “essa matéria saiu na revista …” ou “recebi essa mensagem de um delegado de polícia” são muito comuns para tentar fazer você acreditar que são mensagens confiáveis;
  • e-mails com mensagens bonitas (normalmente em Power Point) são criados com o intuito único de convencer o destinatário a repassá-los para todos de sua lista, com frases do tipo “caso repasse para mais de 15 pessoas, seus desejos se realizarão em poucos dias” ou “se não repassar, algo ruim poderá te acontecer”. Não acredite nisso, o remetente só quer que você ajude na propagação dessa forma de adquirir mais e mais endereços de e-mail.

Agora, o mais importante nisso tudo é não repassar mensagens desse tipo.

Caso ainda assim queira compartilhar com seus contatos, faça-o de forma oculta. Como? Encaminhe a mensagem, porém, não coloque nenhum endereço de e-mail no campo “Para” ou “Cc”. Coloque todos os endereços para quem você deseja enviar no campo “Cco” (Cópia Oculta). Isto fará com que a mensagem seja entregue a todas as pessoas que você escolheu, porém, nenhuma delas receberá o endereço de e-mail dos demais.

Não se esqueça também de retirar do corpo da mensagem todos os endereços de e-mails de outras pessoas, que podem ter vindo de envios anteriores da mensagem em questão.

Em um próximo post irei descrever como crackers e estelionatários se utilizam de mensagens de e-mail para coletar informações pessoais de seu computador.

Enquanto isso, não cliquem em nenhum link de mensagens desse tipo!

Se desejar esclarecer suas dúvidas, postem um comentário neste artigo que retornarei.

Glossário:

Robôs = Programas automatizados (que se executam sem a necessidade de intervenção humana).
Link = Atalho (para um site, por exemplo).
Malware = Programa que se instala no computador de modo “invisível”e coleta dados pessoais do usuário como senhas.
SPAM = e-mail enviado em massa, sem solicitação ou autorização do destinatário.
Post = Inserção de informações e/ou tópicos.