Segurança na internet: Phishing

  • Home
  • Segurança na internet: Phishing
Segurança na internet: Phishing

No seguimento do anterior artigo, vamo-nos debruçar sobre os crimes mais comuns, com alguns pormenores técnicos, exemplos, dicas para evitar e o que fazer, depois de ser vítima de cada um deles.

Esta semana, debruçamo-nos sobre Phishing, uma técnica cujo nome parte dum pequeno jogo de palavras, com a palavra “fishing”, que significa “pesca”, e que, praticamente, se parece com uma “pesca” de dados, ou de vítimas, através das mais diversas formas.

Phishing:

O termo phishing, como referido, vem da palavras “fishing”, ou pesca, à qual foi substituída a letra “f” pelas letras “ph”, numa alusão e uma técnica que surgiu, nos inícios dos anos 1900, que se denominava de “phreaking de telephone”, uma práctica sem tradução directa, mas que se resuma a um grupo de pessoas (vulgo phreaks), que faziam testes e experiências em redes de telecomunicações, com o intuito de descobrir como as mesmas operavam, e quais os limites de operação (o que levava, muitas vezes, à queda de comunicações).

Esta técnica nasceu em meados de 1996-1997, com roubos sucessivos a contas da AOL (America Online), um portal de telecomunicações americano, onde os hackers ou piratas informáticos, roubavam as senhas dos utilizadores com o intuito de obter acesso a contas de outrem, para os mais diversos objectivos.

Hoje, o phishing é uma das maiores ameaças ao internauta, e às empresas, pois já não é algo associado, somente, a uma entidade específica, mas sim uma práctica global, que afecta milhares de serviços e milhões de utilizadores.

Tipos de Phshing:

 O phishing diverge do modo de funcionamento, consoante o tipo de ataque. Cada tipo terá, também, uma abrangência e uma urgência diferente:

  • E-mail phishing: o método mais comum de todos. Por norma, o utilizador recebe um email duma entidade oficial, conhecida ou até mesmo dum amigo ou colaborador, com um ligação que leva a sites maliciosos, falsos, onde serão pedidos dados pessoais e/ou bancários. Posteriormente, o utilizador pode ver-se barrado de aceder a contas de email, a serviços homebanking (acesso ao banco, etc). Mais à frente, vamos falar sobre alguns tipos de emails, nos exemplos que temos para apresentar;
  • Site phishing: aqui, os piratas recorrem a sites falsificados, que levam os utilizadores a introduzir dados pessoais ou bancários, com o intuito de poderem usar as contas reais, ou clonar cartões de crédito;
  • Vishing: ultimamente, temos vindo a assistir, em território nacional, a um aumento exacerbado deste tipo de ataques. Trata-se de phishing por voz, ou seja, por telefone. O pirata faz-se passar por técnico duma empresa oficial, seja bancária seja tecnológica, e tem convencer a vítima a ceder dados pessoais, bancários ou acesso ao seu computador ou telefone, não só com o intuito de roubar credenciais, mas, muitas vezes, criar a ideia de que o nosso equipamento está comprometido, e que temos que pagar uma quantia (avultada), para conseguirmos solucionar o problema;
  • Smishing: aquela mensagem dos CTT ou dos serviços de transporte, ou aviso dum pagamento em falta dum prestador de serviços eléctricos, bancários ou tecnológicos, isso é o smishing, ou seja, phishing por SMS, um ataque que segue dentro dos moldes dos anteriores, ou seja, garantir acesso a equipamento, ou o pagamento de alguma quantia, associada a uma falsa multa ou pagamento em atraso;
  • Phishing Social: este tipo de ataques está relacionado com ataques através das redes sociais, principalmente, serviços de mensagens, como o Messenger ou o WhatsApp. Resume-se ao envio de mensagens para utilizadores, dos mais diversos tipos, desde produtos extremamente baratos, a mensagens de cariz sexual, e, quando o utilizador acede, sem se aperceber, está a entrar em sites maliciosos, ou a permitir a instalação, escondida, claro, de aplicações maliciosas, que vão tentar explorar possíveis falhas dos seus equipamentos.

Dentro destes ataques, poderemos, ainda, subdividir, duma forma mais detalhada, cada um deles (tais como spear phishing – consiste em ataques directos a alvos específicos, nomeadamente, alunos ou membros de uma determinada empresa, faculdade, etc , clone phishing – falsificação de sites e emails oficiais, cujo endereço de envio é estranho , whaling – orientado para chefias de empresas médias/grandes, etc), no então, o funcionamento é, no seu todo, muito semelhantes entre eles.

Duma forma geral, o phishing precisa, sempre, da autorização ou validação do utilizador. Seja através de email, mensagem, chamada telefónica, ou acesso e introdução de dados pessoais e privados em sites falsificados, o utilizador é SEMPRE o maior obstáculo ao piratas.

Exemplo de ataques, na primeira pessoa:

“Já trabalho com computadores desde miúdo, e nunca tive problemas, até ao ano de 2017. Recebi um email do meu banco – ou assim pensei – no qual me foi dito que havia uma actualização das normas de segurança, e eu teria de seguir um link para entrar e recriar as minhas credenciais de acesso.
Quando lá entrei, deparei-me com uma página, em tudo, idêntica à oficial do banco, e segui os passos que me foram dados. Além dos meus códigos pessoais, foi-me pedido uma fotocópia do meu cartão de coordenadas, que entreguei, sem desconfiar.

A meio dessa mesma tarde, recebo uma chamada do meu gestor de contas, sobre consecutivos levantamentos e pagamentos da minha conta, num valor total que já ultrapassava os 12 mil euros.

Todas as minhas credenciais de acesso foram eliminadas e recriadas, e as autoridades foram, devidamente informadas. Posteriormente, o banco ressarciu-me das quantias gastas, com excepção de alguns valores mais pequenos, que não eram cobertos pelo seguro bancário. Aprendi bem a lição” – D. R. P. empresário em nome individual, vítima de e-mail phishing

“Numa altura em desespero monetário, recebi uma mensagem de alguém que se fazia passar por meu familiar, com uma proposta que parecia aliciante. Havia uma quantia, de um outro familiar, retida num banco no estrangeiro, para ser entregue ao familiar mais próximo. Esse familiar que me contactou, disse que trataria de tudo, eu, apenas teria de dar a “cara” e alguns dados, e com isso, levantaria o dinheiro, sendo o mesmo dividido 45-55%.
Feito estúpido, e em desespero, lá acedi. A meio do percurso, lá descobri que se tratava duma fraude, na qual os meus dados seriam usados para um pagamento, via WESTERN UNION, para um determinado apartado, num país de terceiro mundo, e com os meus dados, o mesmo pagamento seria minha responsabilidade – ou seja, o outro interveniente receberia a parte dele, enquanto que eu, não só não receberia nenhum, como ainda seria responsável por restituir todo o montante à WESTERN UNION. Por acaso, tive sorte, mas ainda me vi obrigado a prestar declarações telefónicas, à polícia do país em causa. Nunca mais” –
C. M. operador de C.N.C., vítima de 419 Scam, uma forma de phishing criada por estudantes da Nigéria aquando a crise petrolífera nos anos 80, que visava obter fundos para operações ilegais. Este tipo de actividades, actualmente, é feita por autênticos grupos criminosos, normalmente associados a crime violento.

Estes dois exemplos são alguns dos mais comuns, no entanto, em território europeu, temos vindo a ser acometidos por uma imensa vaga de vishing, ou seja, phishing por telefone.

Segue-se um exemplo, em primeira pessoa, de um ataque recente, a um reformado português, com pouco conhecimento informático.

“Recebi uma chamada dum indivíduo que começou por perguntar se eu falava inglês, e que se apresentou como sendo do suporte técnico da Microsoft, e que foram detectados vários indícios de actividades ilegais, sendo feitas apartir do meu computador e do meu telefone.

Pediu-me para instalar uma aplicação, para que pudesse, não só mostrar os erros em causa, como aceder ao meu computador para solucionar a situação. Acedi, e segui as instruções que me foram dadas. Mal partilhei a chave de acesso, e o operador acedeu ao meu computador, fiquei, de imediato, sem imagem. O operador disse que era um sinal óbvio de hacking informático, mas que iria resolver rapidamente.

A imagem voltou alguns minutos depois, e o operador pediu para eu abrir qualquer programa que eu quisesse. Assim o fiz, e não consegui entrar em nenhum, sempre com o aviso que não tinha sido encontrado… O operador, apresentou-me, então, uma solução: pagava 1500 euros, e ele resolvia, em poucos minutos, a situação. Eu aceitei, fiz o devido pagamento, por cartão bancário, e em poucos minutos, ficou tudo resolvido, ou pelo menos, normal.

Poucos dias depois, volto a ter problemas no funcionamento do computador, e sou contactado por um novo operador. O meu neto, que estava perto, disse-me para desligar, porque era fraude. Pelo que ele me disse, eles ligavam um número aleatório, e assim que atendêssemos, tentavam convencer-nos a dar-lhe acesso ao nosso computador. De seguida, desligavam o nosso monitor e alteravam algumas pastas ou ficheiros de local, com vista a que os nossos programas não funcionassem. De seguida, voltavam a ligar o nosso monitor, e pediam-nos que entrássemos num programa, que, iria dar erro. Quando fizéssemos o pagamento da quantia em causa, eles desligariam o monitor, novamente, poriam os ficheiros no local, e assim ganhavam quantias avultadas, com uma burla.
Como tinha caído uma vez, o meu neto optou por me formatar o computador, e nunca mais voltei a ter problemas
. Quando algo estranho acontece, peço ao meu neto ou a alguém para me ajudar. Fiquei sem 1500 euros, mas com uma boa lição.” – R. M L, reformado, vítima de vishing.

Este último caso, tem vindo a ser bastante usual, pelo menos, em solo europeu, pois com a pandemia, o número de ataques via telefone, tem vindo a aumentar, devido, principalmente, ao teletrabalho e ao medo dos utilizadores, principalmente por via profissional, de equipamento informático.

Como proceder em caso de ser vítima deste tipo de crimes?

A primeira coisa a fazer, quando há desconfiança sobre se houve ou não algum descuido, passa por alertar as autoridades e as entidades envolvidas. Em caso de se tratar de algum operador de serviços associados, eles tratarão de fazer auditorias internas, e de recriar o perfil de utilizador, com uma “folha limpa”, para que não sejam aplicadas taxas de serviço extra, recriando todos os acessos.

Em caso de dados bancários, ao alertar o seu banco, o mesmo cancelará todos os acessos à sua conta, assim como os cartões que tenham sido facultados, entretanto. Serão recriados novos dados de acesso e novos cartões, e será feita uma análise da situação, com vista a encontrar uma solução que permita devolver, se não a totalidade, pelo menos, uma grande parte do valor que possa ter sido desviado.

Deverá, o utilizador, também mudar todas as palavras-chave dos seus serviços e sites, e optar por chaves grandes, com números, letras maiúsculas e minúsculas e símbolos à mistura. Pode e deve guardar as mesmas, de preferência num local fora do seu computador, num bloco algo similar, e não as deverá guardar no seu browser, para evitar possíveis riscos de segurança.

Uma ferramenta que pode ser útil para verificar se houve alguma fuga de informação é o site Have I Been Pwned, um projecto criado por Troy Hunt, especialista em segurança online, que analisa as suas palavras-chave e os seus emails, comparando-os com uma base de dados, de informação retirada de ataques, procurando os possíveis riscos de segurança. Em caso do seu email ou da sua palavra-chave ser afectada, o que terá que fazer, será alterar a mesma, para uma palavra-chave mais resistente. Deve evitar repetir palavras-chave.

Como evitar cair neste tipo de ataques?

Os ataques de phishing,  na sua maioria, são fáceis de evitar. Assim sendo, o utilizador deve:

  • Evitar emails que comecem com: “Urgente” “Negócio vantajoso”, “Alerta”, “Evite multa”, “Processo aberto em (seu nome aqui)”, “Reclame a sua recompensa”, “Ganhou um prémio”. Normalmente, esse tipo de emails, servem para espicaçar interesse e curiosidade. Ainda que abrir não lhes faça dano, não deve, de forma alguma, enviar dados, abrir anexos ou seguir links que venham nesse email;
  • Analisar o texto do email. Normalmente, os emails de pishing são redigidos numa forma pouco cuidada, com erros gramaticais ou de sintaxe. Isso é um dos primeiros sinais de alerta;
  • Endereço do remetente estranho, com erros ou, no caso duma entidade oficial, com um servidor de email público, como Gmail, ou Hotmail. Normalmente, este tipo de emails, quando de entidades oficiais, usam servidores de email em nome próprio, ou privados, e não servidores públicos;
  • Estes emails exigem uma acção imediata, um sentido de urgência. Isso, também, é um sinal de alerta;
  • Em caso de dúvida, pode, sempre, contactar o remetente, pelos canais oficiais ou algum meio alternativo, com vista a ter uma certeza de que se trata dum email válido.

Em termos empresariais, este tipo de ataques, também fazem os seus danos. Existem inclusive, um ataque com o objectivo de afectar membros de empresas ou grupos económicos, chamado whaling (trocadilho com baleia, cuja palavra é “whale”), que funciona da mesma forma que os outros, mas vocacionado para empresários ou CEOs de empresas. Tais ataques podem levar, por exemplo, a um corte de comunicações entre os vários ramos da empresa, porque um dos elementos de administração se vê impossibilitado de aceder às suas contas internas.

Alguns números a reter:

Segundo a empresa de segurança norte-americana SANS, 95% dos ataques a empresas, resultam de spear-phishing que foi bem sucedido.

Segundo os dados de 2018, da empresa Verizon, 30% dos emails de phishing são abertos pelo público-alvo e 12% desse público clica em ligações associadas.

De 2017 a 2022 houve um aumento de 14% dos ataques de phishing (de 72 para 86%) só para os mercados ingleses, sendo que no resto do mundo, os números acompanham esse crescimento.

Só em 2019, nos Estados Unidos, as empresas e indivíduos atingidos por este tipo de ataques, viram-se com uma perda total na casa dos 3.5 biliões de dólares, sendo que, além dos emails, as redes sociais, também passaram a ter uma carga acrescida deste tipo de situações (mais 176% só no Facebook).

De uma forma generalizada, 83% de todos os ataques a empresas, a nível mundial, começaram com um pequeno ataque de phishing, normalmente, através duma campanha de email, com links maliciosos.

Cerca de 32 a 47% das empresas mundiais viram-se alvo de ataques de phishing generalizado (isto em cenário pré-pandémico).

Neste último ano, cerca de 69% das empresas foram alvos de ataques phishing, sendo que cerca de 12 a 15% foram bem sucedidos.

Estes valores são um pouco generalistas, e possuem algumas limitações, no entanto, figurativamente, mostram o quão perigoso é, não se tomar das devidas precauções, numa situação destas.

Como proteger o seu negócio e os internautas que o visitem?

 

Na #UNNE Design, primamos pela atenção à segurança dos nossos clientes. Os nossos sites levam, configuradas, ferramentas de vigilância activa, para o caso de scripts maliciosos (excerto de códigos), e, em caso de registo de dados pessoais, todos os nossos #websites possuem a capacidade de dupla verificação de segurança, ou Two-Factor Authentication, que permite, ao utilizador, ter dois meios se autenticação de dados, impossibilitando entradas forçadas na sua conta.

De igual modo, toda a comunicação entre o cliente e a nossa empresa, é feita através de canais oficiais, sem alterações e devidamente identificados, e toda a correspondência é, previamente, analisada, para a eventual possibilidade de quebra de segurança.

Fale connosco. Na #UNNE Design, preocupamo-nos consigo e com o seu negócio.

UNNE Design | Create Curiosity
#websitescomqualidade só na #UNNEdesign