Phishing

Golpes comuns, como reconhecê-los e evitá-los

 

O objetivo de um scammer quando usa a técnica de Phishing é induzi-lo a divulgar informações confidenciais ou pessoais. O Phishing é uma maneira que os ladrões de identidade, fraudadores roubam informações. Eles fazem isso normalmente através do uso de engenharia social. O ataque consiste em obter o maior número de informações possíveis, desde o seu nome completo até os seus dados bancários ou informações secretas em sites diversos, principalmente os de pagamento on-line.

Os diferentes tipos de phishing

Embora basicamente o phishing sirva para “pescar” suas informações, ainda assim, existem vários tipos diferentes. O tipo mais comum de phishing é um simples e-mail afirmando ser de alguém que, de forma plausível, precisa de informações de você para realizar algo que seja benéfico para você. Fundos que precisam ser transferidos para sua conta bancária, multas que precisam ser pagas, solicitações de documentos fiscais e financeiros ou qualquer outra informação que seja pertinente para o atacante.

Spear Phishing – neste tipo de ataque, o invasor já possui algumas informações sobre você antes de enviar qualquer coisa. Eles monitoram sua presença na mídia social para ver se você publica algo sobre compras recentes. Eles ficam de olho em qualquer menção aos varejistas on-line em que você fez compras, sites de relacionamento. Desta forma fica mais fácil direcionar uma campanha de seu interesse para tentar obter as informações necessárias.

Tendo conhecimentos diversos sobre seu comportamento online, os agentes maliciosos pode elaborar uma e-mail convincente, onde poderá ser oferecido um produto, solicitação para completar cadastros, falsos alertas de problemas com cartão de crédito solicitando que você preencha mais dados, induzí-lo(a) a instalar aplicativos maliciosos.

Whaling (Caça às baleias) ou CEO Phishing – Essa modalidade de ataque de phishing, consiste em obter dados diretamente de executivos de alto nível como o CEO da sua empresa, pois são usuparios que contém maior autoridade, ou seja, atacando com sucesso um CEO, poderão obter acesso às informações de qualquer funcionário, iniciar transferências eletrônicas fraudulentas ou causar estragos em praticamente qualquer departamento da empresa.

Poucas pessoas irão verificar se o VP de vendas realmente precisa de todos os arquivos de RH de toda a equipe de vendas. Realisticamente, quando foi a última vez que você respondeu a uma diretriz do seu chefe com “É sério? Tem certeza de que precisa disso?” Isso simplesmente não acontece.

W2 Phishing – Uma versão ainda mais direcionada do Whaling (caça às baleias), netes ataque o invasor invasor usa ou falsifica a conta de e-mail de um executivo apenas para obter os W2s dos funcionários ou os W9s dos contratados. A temporada fiscal é o pior momento para esses tipos de ataques, pois a maioria dos departamentos de folha de pagamento da empresa está acostumada a receber esses tipos de solicitações.

Esses pedidos nem precisam vir de um executivo da empresa. Eles podem ser falsificados, os mais eficazes costumam parecer vir de um executivo de alto nível dentro da empresa, entretanto, parecer vir da Receita Federal pode incutir medo suficiente para evitar a desconfiança.

Phishing para entregar ransomware

Em 2016, estima-se que noventa por cento dos e-mails de phishing carregavam alguma forma de ransomware. Enquanto o objetivo do phishing é obter acesso a informações, os invasores começam a empacotar um pacote de ransomware para aumentar sua receita com esses ataques.

A parte verdadeiramente insidiosa aqui é a crença entre esses atacantes de que qualquer um que seja crédulo o suficiente para ser vítima de phishing provavelmente também pagará o resgate quando seus arquivos e fotos forem bloqueados. Infelizmente, as estatísticas no final deste artigo apóiam essa crença.

Vishing – O ataque conhecido como Vishing é realizado como auxílio da tecnologia VoIP. Um servidor VoIP pode ser configurado para imitar praticamente qualquer entidade, sendo assim um phisher pode imitar um banco, uma operadora de celular, ou qualquer outro que use a tecnologia.

SmiShing – Neste golpe o scammer utiliza mensagens SMS como um vetor de ataque. Assim como qualquer outra campanha de phishing, o scammer envia uma mensagem de texto em massa para centenas ou até milhares de números de telefone com os mais diversos tipos de fraudes, sejam link’s maliciosos como falsos perfis em redes sociais, anúncio de prêmios, números para falsas promoções, etc.

 

 

Quais são as táticas mais comuns para ataques de phishing?

As táticas mais comuns empregadas são entregues via e-mail, com os e-mails fingindo ser dos grandes bancos, polícia, órgãos governamentais. Os e-mails conterão todos os logotipos com aparência oficial da entidade sendo representada, normalmente são mito bem elaborados de forma que fiquem bem realistas.

Algumas características importantes para identificar uma mensagem de phishing:

  • Haverá um forte senso de urgência exigindo que você tome medidas imediatamente para evitar que algo terrível aconteça com você, como confisco de bens, bloqueio de conta ou até mesmo prisão
  • Eles terão um arquivo anexado que você precisa preencher ou um link para um site com campos de informações pessoais para você preencher.

Tenha em mente que o objetivo de um phisher é coletar informações que você não entregaria a ninguém. Para fazer isso, eles precisam que você pense que está lidando com alguém com autoridade e que ele tem um motivo válido para coletar essas informações.

Exemplos:

O PayPal enviou um e-mail informando que eles detectaram atividades suspeitas em sua conta. Como cortesia, eles bloquearam sua conta até que você forneça informações suficientes para provar que você é o legítimo proprietário da conta em questão. A maneira como você faz isso é preenchendo o formulário anexado e clicando no botão “Enviar” ou respondendo ao e-mail com respostas a uma lista de perguntas, como “qual é o nome de solteira da sua mãe?” E “que banco você usa para sua verificação pessoal? ”e até mesmo“ quais são os números da sua conta bancária para todas as suas contas atuais?”.

O banco (Bradesco, Banco do Brasil, Itaú, Caixa Econômica Federal, Banrisul, etc …) notou alguma atividade suspeita com seu cartão de crédito e bloqueou sua conta. Para desbloquear, você precisará preencher o documento em anexo e enviá-lo de volta por e-mail usando o link fornecido no documento.

A Polícia Federal ou FBI rastreou atividades ilegais para o endereço IP do seu computador. Se você não preencher o formulário em anexo e remeter a fiança (geralmente um bitcoin), um mandado será emitido para sua agência de aplicação da lei local para prendê-lo até o seu julgamento.

Você ganhou uma loteria, sendo que nunca comprou um bilhete.

Os sites de phishing também são uma maneira eficaz de fazer com que os usuários desavisados ​​enviem informações que normalmente não divulgariam. Estas podem ser páginas de login falsas projetadas para se parecer exatamente com uma empresa popular ou comum. De acordo com a Symantec, os usuários de um popular serviço de armazenamento em nuvem, o Dropbox, receberam uma falsa página de login hospedada pelo mesmo serviço de armazenamento em nuvem.

Uma versão realmente complexa dessa tática é usada para obter as credenciais de login do usuário, que são registradas pela página de login falsa em texto simples para o invasor usar posteriormente. O navegador do usuário é redirecionado para a página de login do site real com as credenciais enviadas. O efeito geral é que o usuário está logado sem qualquer sinal de que suas informações acabaram de ser roubadas.

O invasor pode, assim que puder, fazer login na conta do usuário e seguir seu caminho com ela. Eles também podem testar essas mesmas credenciais em relação a outros serviços on-line para ver se o usuário em questão usou a mesma combinação de nome de usuário e senha em qualquer outro lugar, como Gmail, Yahoo !, eBay, Mercado Livre, Amazon ou todos os principais sites bancários on-line.

A internet não é o único meio para phishing. Com o aumento da popularidade dos smartphones, o uso de mensagens SMS e telefonemas para números móveis com pedidos de informação também aumentou. É possível que um invasor altere o identificador de chamadas para apresentar informações falsas ou até mesmo usar um número de telefone VoIP com um código de área local para a vítima em potencial.

Eles podem então alegar ser um banco, seu processador de cartão de crédito ou até mesmo um órgão de aplicação da lei local. Como eles estão no negócio de enganar as pessoas, nenhuma alegação é muito escandalosa, desde que funcione.

 

 

Como evitar ser enganado

Primeiro, não entre em pânico. Não importa o que esse e-mail, telefonema ou site diz, nunca é tão ruim assim. Se estivesse, você não receberia aviso por meio de mensagem pré-gravada em uma ligação telefônica, e-mail ou de um anúncio pop-up enquanto estiver on-line.

Quando o banco vê atividades suspeitas em sua conta, normalmente sua política é recusar a transação suspeita e fazer com que sua equipe de prevenção a fraudes ligue para você, por telefone, para descobrir se é uma compra legítima.

PayPal ocasionalmente congela contas quando há problemas, mas eles nunca lhe enviarão um anexo para preencher e retornar a eles. Eles também nunca lhe pedirão detalhes como o nome de solteira de sua mãe, exceto talvez como uma pergunta secreta para quando você esquecer sua senha.

O FBI tem a reputação de fechar sites ilegais e substituir sua home page por uma página de aviso própria. No entanto, visitar um desses sites não é uma atividade ilegal, portanto você não pode ser multado por visitar um site.

Se o email contiver um link, ele será direcionado para a página inicial principal ou talvez para uma página de login. Para verificar o link, basta colocar a seta do mouse sobre o link, mas não clique nele. Quando a seta do mouse “passa” sobre um link, um pequeno pop-up aparece na parte inferior da janela, mostrando para onde esse link vai.

Só porque você vê o PayPal em letras azuis com um sublinhado no corpo do e-mail, isso não significa que o site que será aberto será do PayPal. Pode ser “Bob’s Famous Rip Offs e Scams, Inc.”

Os links indicados apontam para o URL na parte inferior

Em dispositivos móveis, durante a leitura do e-mail, você pode pressionar e manter um link dentro do e-mail para ver aonde vai. Você terá a opção de copiar o URL, abri-lo no navegador padrão do seu dispositivo ou cancelar a seleção.

https://cdn.comparitech.com/wp-content/uploads/2017/04/Screenshot_2017-04-18_Android-300x169.jpg

Às vezes, a URL será ofuscado usando sites como o bit.ly . Sites como esse são destinados a encurtar URLs para se ajustarem a tweets ou postagens de microblog, em que você tem uma quantidade limitada de caracteres para sua postagem. Não há motivos para ocultar o URL de destino de uma correspondência legítima enviada por email.

Para sites fraudulentos, as principais coisas a verificar são o endereço real do site, a existência de um certificado de segurança e a validade de tal certificado.

https://cdn.comparitech.com/wp-content/uploads/2017/04/https.jpg

O ícone de cadeado verde no exemplo acima mostra que a URL exibida na barra de endereço corresponde à URL que está incorporada no certificado de segurança e que o certificado de segurança vem de um emissor de certificado respeitável.

Entretanto, é muito importante relatar que, com a disponibilidade de serviços como o Let’s Encrypt, já é possível adicionar um certificado válido em um site ou url utilizada para ataques de phishing. Petter Lopes

No caso de e-mails especificamente, é importante analisar detalhes do cabeçalho do e-mail, especialmente em qualquer e-mail que solicite uma ação imediata. Até as coisas do seu chefe devem ser checadas duas vezes, só para estar no lado seguro.

Você ficaria surpreso com o quão fácil é para um phisher “falsificar” um endereço de e-mail que pertence a alguém que você conhece e confia.

Se o e-mail contiver um link que pareça legítimo, você ainda desejará evitar clicar nele ou abrir anexos. Grandes empresas como o PayPal e grandes bancos não enviam e-mails com anexos. Em vez disso, todos os documentos importantes são enviados via correio tradicional ou anexados à sua conta online. Seus e-mails simplesmente informam que há uma mensagem e incentivam você a fazer login na sua conta para descobrir o conteúdo dessa mensagem.

Além disso, anote a quem o e-mail está endereçado. Se é legitimamente do seu banco ou alguém com quem você realmente tem uma conta, ele será endereçado a você. Não para “Caro cliente estimado” ou “Caro senhor ou senhora” ou mesmo “Caro titular da conta“.

Embora seja verdade que houve grandes vazamentos de dados, a maioria dos phishers e scammers não se preocupou em comprar esses bancos de dados. Eles confiam em métodos antigos ​​porque, o triste fato é que ainda funcionam.

A exceção a isso é no caso de spear phishing. Esses e-mails serão endereçados a você porque o spear phisher segmentou você especificamente. Não fique muito paranóico com isso. Eles provavelmente estão monitorando várias centenas de pessoas apenas esperando por eles para postar algo, em algum lugar que pode ser usado como isca.

Mesmo que obtenham apenas um retorno de um por cento, ainda são centenas de identidades ou mesmo cartões de crédito roubados que agora podem ser vendidos na deep web e dark net , usados ​​para abrir linhas de crédito, acusações absurdas em linhas de crédito existentes ou mesmo apenas direcioná-los para outros golpes como o agora infame nigeriano 419.

 

 

Sinais de alerta/sinais de perigo

  • Um dos mais comuns sinais de alerta que pode indicar um possível ataque de phishing é uma palavra incorreta ou uma gramática ruim. Todas as entidades que esses scammers imitam empregam redatores e editores profissionais para garantir que sua correspondência e presença na Web sejam livres de erros de digitação e gramaticalmente corretas. Se você conseguir identificar um erro, é muito provável que o e-mail não tenha vindo da empresa da qual ele alega ser ou de que o site não represente realmente a empresa listada. Se você não consegue identificar erros de digitação ou erros gramaticais, isso não significa necessariamente que a informação pode ser confiável.
  • Qualquer empresa que tenha você em seu banco de dados também irá endereçar quaisquer e-mails diretamente para você e não para um destinatário genérico ou vago. Se você tiver uma conta do PayPal, qualquer e-mail que você receber do PayPal começará com uma saudação contendo seu nome. Se estiver escrito “Dear Sir or Madam”, “Prezado titular da conta do PayPal” ou mesmo “A quem possa interessar”, você pode ter certeza de que ele não veio do PayPal. No entanto, no caso de spear phishing, só porque tem o seu nome na saudação, isso não significa que seja legítimo.
  • Se o e-mail tiver um anexo, exclua-o e passe para outras coisas. Bancos, PayPal, PF e o FBI sabem que não devem incluir um anexo em nenhuma correspondência oficial. Não abra, não responda ao e-mail e definitivamente não clique em nenhum link no e-mail. É uma farsa e pode ser excluído. As únicas exceções a essa regra são as assinaturas digitais, que às vezes podem conter anexos.
  • Os cabeçalhos de e-mail são um registro de onde um e-mail veio, para onde foram enviados e qual endereço usar para respostas. Há muito mais informações armazenadas no cabeçalho, mas essas três são as mais importantes para identificar um possível golpe. Na verdade, é muito fácil fazer um e-mail parecer que veio do PayPal ou do Bank of America, mas é muito mais difícil esconder o endereço de e-mail real de onde ele veio. No Hotmail, quando um e-mail é sinalizado pela Microsoft como lixo eletrônico, o endereço de e-mail completo do remetente é exibido automaticamente na parte superior do e-mail quando ele é aberto. Se o e-mail não tiver sido sinalizado como lixo eletrônico, você poderá verificar o endereço de e-mail abrindo-o e colocando a seta do mouse sobre o nome do remetente. https://cdn.comparitech.com/wp-content/uploads/2017/04/Phishing3-300x145.jpeg Uma pequena caixa será exibida contendo o endereço de e-mail completo do remetente. Se, na verdade, é da empresa que alega ser, você deve ver o nome da empresa após o símbolo ‘@’.
  • O mesmo se aplica a todos os links dentro de um e-mail. Se você colocar a seta do mouse sobre o link (mas não clique nele), verá uma pequena linha na parte inferior da janela do navegador com o URL de destino do link. Se esse URL não contiver o nome da empresa da qual o e-mail afirma, não clique nele. Feche esse e-mail, abra seu navegador da Web e digite o endereço da empresa na web.
  • Qualquer alegação de que você tenha recebido dinheiro de alguém de fora do seu país de origem é quase 100% garantido como fraudulento. Ninguém é pago para verificar arquivos antigos para encontrar destinatários de dinheiro. Nenhum banqueiro ou funcionário do governo de qualquer tipo tentará obter dinheiro de seu país entrando em contato com um indivíduo aleatório pela internet e fechando um acordo. Nenhum banco com o qual você tenha negociado terá uma conta em seu nome esperando que você se aposse.
  • Um site que afirma ter encontrado vírus no seu computador. Não há sites que tenham a capacidade de verificar o seu computador em busca de vírus. Os vírus de computador são coisas mais complexas e elaboradas, que normalmente exigem acesso muito maior ao seu computador, algo bem além do que uma simples página da Web pode gerenciar. Um programa real de anti-vírus não apenas pesquisa os arquivos em seu disco rígido em busca de sinais de infecção, mas também pesquisa programas em execução, serviços ativos, utilitários ocultos e qualquer outra área em que esses bugs sejam suspeitos de estarem ocultos. Para verificar todas essas áreas, é preciso tempo e recursos, como poder de processamento. Não é algo que pode ser feito em um site.
  • Um pop-up do FBI está multando você por atividades ilegais online. O FBI não usa pop-ups para multar criminosos online. Eles desligarão sites que comercializam ou disponibilizam mercadorias ilegais ou estão envolvidos em pirataria, mas não podem multar pessoas por visitarem esses sites. Apenas um juiz tem autoridade para emitir uma multa contra um criminoso suspeito. O FBI pode coletar provas, construir um caso, buscar um mandado de prisão para um suspeito e conduzir a prisão quando um mandado for assinado por um juiz. Eles não têm autoridade para cobrar multas contra ninguém.
  • Um site que você visita regularmente aparece e solicita um login. Sua aposta mais segura para essas páginas é fechar a página, abrir uma nova guia e digitar a URL real. Alternativamente, você pode passar por sua lista de favoritos ou favoritos e clicar no link que você salvou lá.
  • Subdomínios falsos. Esta é uma tática inteligente em que o scammer cria um site que se parece exatamente com a página inicial da empresa ou agência que eles desejam representar. Infelizmente, o URL para essa entidade já foi usado. Por exemplo, eles não podem registrar o nome de domínio paypal.com porque o PayPal já tem esse domínio bloqueado. Mas, vamos supor que o phisher-to-be já tenha o iamascammer.com registrado como seu domínio pessoal. Ele pode então tentar registrar o subdomínio de paypal.iamascammer.com. Em seguida, criam uma página da Web para esse subdomínio que se parece exatamente com o PayPal, mas com um toque adicional. Sempre que um usuário digita suas informações de login, ele é apresentado a uma página que solicita a confirmação de sua identidade. O golpista pode literalmente pedir qualquer informação que ele queira e uma quantidade suficiente de pessoas cairão no truque para justificar o esforço. Depois que eles inseriram suas informações, o site falsificado redireciona para o site real do PayPal.

 

 

Onde denunciar e-mails de phishing

A maioria das pessoas que recebem e-mails de phishing simplesmente as excluem, e tudo bem. Mas se alguém passar pelo seu filtro de spam e parecer particularmente eficaz ou perigoso, ou se você estiver cansado e quiser ter uma função mais proativa em interromper o phishing, poderá denunciar e-mails de phishing para as autoridades.

Nos EUA, você tem alguns lugares para denunciar phishing. Encaminhe o email para:

A FTC observa que é útil incluir o cabeçalho de e-mail completo, que inclui os nomes de exibição e os endereços de e-mail do remetente e do destinatário, a data e o assunto. Algumas dessas informações estão ocultas por padrão em alguns clientes de e-mail, portanto, talvez seja necessário pesquisar como exibir essas informações.

Residentes do Reino Unido podem denunciar golpes de phishing no site da Action Fraud . Os usuários só precisam responder algumas perguntas sobre a tentativa de phishing e quem ela representou para obter o endereço de e-mail apropriado para encaminhá-la.

 

 

Reparando o dano depois de ser afetado

Se você foi fisgado por algum phishing inteligente, então você precisará controlar os danos. Comece tratando isso como um caso de roubo de identidade , principalmente porque é isso que poderá acontecer se você não agir.

Se você acha que uma infecção por ransomware é provável, peça ajuda profissional. Se o PC for um computador de trabalho, informe sua equipe de TI imediatamente. Nunca hesite em fazer isso, uma infecção desse tipo pode se espalhar rapidamente para os servidores da empresa e para os armazenamentos de dados da rede, causando maiores estragos.

Se for um computador pessoal, você ainda precisará de ajuda. Procure um especialista em Segurança da Informação, Pentester, Perito em Computação Forense.

A segunda ação precisa ser imediata, com seu Smartphone ou outro computador, altere todas as suas senhas. Comece com seu banco on-line e passe por todos os sites que têm algo a ver com suas finanças. Quando suas finanças estiverem seguras, passe para suas contas de e-mail, serviços de armazenamento de arquivos, contas de mídia social e quaisquer outros sites que exijam um login. Se não conseguir lembrar de todos os sites que exigem um login, não ligue o computador novamente para verificar, até que ele tenha sido substituído por um técnico competente.

Você também vai precisará entrar em contato com as principais agências de crédito e colocar um alerta de fraude em sua conta de crédito como uma possível vítima de roubo de identidade. Isso não impede que um ladrão de identidade faça uso de sua identidade, mas facilita a limpeza do dano em seu crédito após o fato. Você também vai precisar monitorar seu crédito constantemente nos próximos anos. Quanto mais rápido você reage a um caso de roubo de identidade, mais fácil é recuperar o controle de sua identidade quando as coisas dão errado.

Se você forneceu suas informações de cartão de crédito ou débito, ligue para seu banco e denuncie esse cartão como roubado. Você também deverá monitorar cuidadosamente a conta à qual o cartão foi anexado. Se o número da conta em si foi dado ao invasor, o banco deve fechar essa conta e abrir um novo, transferindo seus fundos para a nova conta no processo. Fique de olho nos extratos de sua conta, atentos a compras suspeitas ou não autorizadas.

Se o seu login do PayPal ou qualquer outro de pagamento on-line estiver em risco, tente fazer login na sua conta. Se você conseguir, altere sua senha e todas as questões de segurança. A configuração da autenticação de dois fatores é altamente recomendada para qualquer conta que permita isso, pois ajuda a reduzir o risco de um invasor ser capaz de sequestrar sua conta, mesmo que tenha as credenciais de login.

Se você não conseguir mais fazer login na sua conta, precisará entrar em contato com a empresa e informar imediatamente o ocorrido.

Lembre-se, quanto mais você esperar para agir, mais danos poderão ser causados.

 

 

Estatísticas

O problema de phishing e fraudes on-line ficou tão comum e grave, que várias empresas estão atualmente empregadas para coletar e relatar os fatos relacionados a esses tipos de ataques. De acordo com um relatório recente, aproximadamente 30% dos e-mails de phishing são abertos. Essa é uma estimativa conservadora baseada na amostragem de dados de uma empresa. Há outros que afirmam que esse número pode chegar a 50%, mas faltam números para fazer backup de sua reivindicação. Em outro relatório , houve um grande aumento de e-mails de phishing sendo enviados em 2016.

O JPMorgan Chase fez um teste em 2015 para ver quantos de seus funcionários seriam levados por uma tentativa de phishing. 20% abriram o e-mail de phishing. Essa é uma taxa de sucesso impressionante. Mais do que suficiente para justificar a elaboração de um único e-mail e bombeá-lo através de um programa de e-mail em massa para uma lista de centenas de milhares de endereços de e-mail.

Anti Phishing Working Group identificou 123.555 sites de phishing exclusivos no início de 2016. No último trimestre de 2016, eles relataram que 95.555 campanhas exclusivas de phishing por email foram recebidas apenas por seus clientes. Esse relatório também constata que as empresas do setor de serviços financeiros foram as metas preferenciais, 19,6% do tempo nessas campanhas.

Não é preciso muita matemática para chegar à conclusão de que uma grande entidade bancária, como o JPMorgan, pode potencialmente ser vítima de pouco menos de 4.000 dessas campanhas. Isso é potencialmente um pouco menos de 4.000 campanhas de phishing bem- sucedidas em apenas um banco.

 

 

Referências

Este artigo é uma tradução adaptada de: Common phishing scams and how to recognise and avoid them, originalmente publicado por Dave Albaugh em 29 de maio de 2018 in Information Security.

Se preferir, copie e cole no browser: https://www.comparitech.com/blog/information-security/common-phishing-scams-how-to-avoid/

 

Veja também:

Phishing – Promoção de Galaxy S8 por R$9,00

Phishing SCAM – Subject: FROM THE OFFICE OF MRS MELANIA TRUMP, FIRST_LADY USA.

CIBERCRIME – Promoção falsa no Facebook.