Phishing – Já tentaram te “fisgar”!

A imaginação de estelionatários parece não ter limites. São inúmeras as maneiras das quais se utilizam para coletar informações de pessoas “desavisadas” (que o diga a atriz Carolina Dieckmann).

Muitas vezes essas maneiras são tão convincentes que ludibriam até mesmo os mais cuidadosos.

Para evitar esse tipo de ameaça, nada melhor do que conhecer algumas dicas que poderão “salvar sua vida” em relação às tentativas de phishing.

Antes de mais nada, vamos ao significado dessa ameaça:

Phishing, termo em computação oriundo do Inglês fishing, traduzido literalmente para o português, significa pesca. Este tipo de ameaça foi batizado com esse nome pois, como em uma pescaria, utiliza-se uma “isca” convincente para “enganar” internautas e levá-los a fornecer informações pessoais que permitirão que o estelionatário tenha acesso a dados da vítima, como conta bancária, e-mails, mensagens instantâneas, redes sociais, etc.

Entendido o que significa, vamos conhecer esses golpes e as dicas para evitar ser “fisgado”.

Todos os dias são criados novos golpes. Seria impossível listá-los. Por isso, o ideal é familiarizar-se com os sinais que esse tipo de fraude costuma apresentar:

  • Mensagens sensacionalistas com ameaças de encerramento de contas;
  • Promessas de dinheiro fácil;
  • Pedidos de doações para entidades de ajuda ou caridade, logo após algum desastre ser veiculado pela mídia e;
  • PRINCIPALMENTE, erros gramaticas, de ortografia ou concordância.
Exemplo de Phishing

Exemplo de Phishing

Além disso, elas podem parecer que vêm do seu banco ou instituição financeira, de uma empresa com quem você faz negócios ou de um site de rede social .

Elas podem parecer vir de alguém conhecido ou que esteja em seu catálogo de endereços de e-mail.

Elas podem incluir logotipos oficiais e outras informações de identificação retiradas diretamente de sites reais.

Normalmente, esse tipo de mensagem inclui links para sites falsos (com a mesma aparência dos verdadeiros), onde pedem para você inserir seus dados pessoais.

Esses links comumente mostram o nome ou logotipo de uma empresa real que costumam estar mascarados, ou seja, o link que você vê não o levará a esse endereço, mas a algum lugar diferente, seja uma cópia de um site legítimo, ou uma página com código malicioso embutido.

Para saber se a mensagem que está recebendo faz esse tipo de “redirecionamento”, coloque (sem clicar) o ponteiro do mouse sobre o link que será mostrado o endereço real. Se os dados que aparecerem não forem do site da empresa, se formarem uma sentença sem muito sentido ou com muitos números, suspeite, pois é sinal de fraude.

Na dúvida, melhor não clicar. Entre em contato com o suposto remetente, seja um conhecido ou uma instituição, e certifique-se de que foram eles que enviaram o e-mail.

Em julho deste ano foi divulgado pelo CERT.br, órgão responsável pelos estudo e tratamento de incidentes de segurança no Brasil, um crescimento de 184% nas tentativas de phishing, em comparação ao mesmo período de 2011. Portanto, OLHOS BEM ABERTOS, pois o peixe morre pela boca, mas o internauta pelo clique!

Anúncios

Parece que tem “bicho” nessa “maçã”!

É assustador, mas é verdade… 

Como no mundo real, o mundo virtual também tem problemas com pequenos insetos (bugs, em inglês). 

Na semana passada foram divulgadas informações a respeito de uma brecha na segurança da AT&T, empresa que armazena os dados e sites da Apple.
Minha avó sempre diz que, “pior do que encontrar um bicho dentro da maçã, é encontrar somente metade dele…”. E não é que para o mundo virtual essa máxima também é verdadeira? Explico o porque: 

Claro que não preciso dizer que no caso real da coisa, encontrar só meio bichinho vai fazer você cuspir tudo o que tiver na boca… (bom, já disse). Neste caso virtual, o fato é que, normalmente, usuários comuns não “enxergam” meios bichinhos e acabam por “comê-los” inteiros, em duas mordidas. 

Feito o comparativo, vai a explicação do que ocorreu, na forma mais simples possível. Que me desculpem os conhecedores profundos de TI, mas este blog pretende, principalmente, alcançar os leigos nos termos técnicos da informática: 

Uma empresa de hackers (isso mesmo, empresa de hackers, explico mais adiante) encontrou uma falha no sistema por trás do site da Apple que, ao enviarem uma sequência de comandos através da barra de endereços do navegador (o local onde se coloca o http://www…), incluindo o número chamado ICC-ID, ou número de identificação dos usuários do IPAD 3G, da Apple, onde como resultado (pasmem), recebiam o endereço de e-mail do proprietário do equipamento. 

Você deve estar se perguntando, e dai? 

Bom, se você não tem um IPAD, não precisa se preocupar… se tem, acabei de te mostrar a metade do bichinho… (desculpe, pode cuspir). 

O detalhe mais assombroso, na verdade, são dois: 

1. Este site está na Internet (claro, como todos os outros), portanto, acessível a qualquer pessoa no mundo!!!
2. A empresa de Hackers comunicou imediatamente à Apple/AT&T, que mesmo assim não tomou providência efetiva alguma, mantendo a exposição dos dados que deveriam ser confidenciais. 

Parte da lista adquirida através da falha de segurança

 

Um agravante, neste caso, foi que e-mails de diversas celebridades, pessoas do governo dos EUA e muitos servidores do alto escalão do exército vazou. 

Claro que você vai pensar: ema, ema, ema, cada um com seus “pobrema”, não tenho nenhum produto da Apple… mas, imagine quantos bichinhos não estão andando por ai, em sites que deveriam ser os mais rigorosos possível no quesito segurança… 

Para encerrar, explico o porque da “empresa” de hackers: 

Existem realmente empresas que realizam testes em sistemas e sites, afim de procurar por vulnerabilidades de segurança. A empresa que gerencio, por exemplo, realiza esse tipo de trabalho constantemente, que é chamado de EHT (Etical Hacking Test), ou seja, Teste de Vulnerabilidades Ético… nada mais é do que utilizar conhecimentos iguais aos dos Hackers, realizando tentativas de invasão, porém com o consentimento e aval do proprietário. 

Este tipo de teste gera um relatório que é utilizado para corrigirem todas as vulnerabilidades encontradas. 

No caso acima, trata-se realmente de uma empresa, porém, neste caso, não foi solicitado plea Apple ou AT&T que o teste fosse executado. Claro que, com o intuito de prestar serviços que corrigiriam o problema,  a empresa comunicou os proprietários, mas estes não fizeram nada a respeito (nem contratando os serviços dessa empresa, de outra, ou utilizando recursos próprios), o que desencadeou uma série de divulgações à imprensa, por parte da empresa Hacker. 

A propósito, honras ou desméritos à parte, o nome da empresa em questão é Goatse Security. 

Dica: Fiquem atentos às “metades dos bichinhos” nas “frutas” por ai, afinal, muitos deles não podemos realmente “enxergar” à olhos nús, mas existem alguns que já sabemos que “moram” por ai, portanto… CUIDADO!