A evolução dos ataques pela internet é uma resposta à evolução que as ferramentas para detecção de ataques e a crescente conscientização e preocupação das pessoas com segurança da informação. Os ataques mais bem sucedidos são aqueles que ludibriam suas vítimas, fazendo-as acreditar que estão se utilizando de um serviço legítimo.
Um exemplo de ataque que tem evoluído com o passar do tempo é o Phishing. A palavra se origina do termo em inglês “fishing” ou pescaria em português.
O termo remete ao ato em si, jogar um anzol na água com uma isca e esperar um peixe desatento ser fisgado pela tentação da refeição fácil realmente se assemelha muito à técnica do Phishing. Nessa modalidade de pesca online centenas de milhares de emails SPAM são disparados com iscas para tentar roubar ou sequestrar dados de pessoas desatentas que tenham caído na tentação de clicar nos links contidos no e-mail malicioso, os e-mails normalmente são impessoais e são enviados em forma de “loteria” onde um e-mail com dados do Itaú por exemplo pode ser enviado para pessoas que não tenham conta no banco.
Spear Phishing é o nome da nova “versão” do ataque. A tradução para o português deste termo seria algo como pesca com lança. Para pescar um peixe com uma lança é necessário que primeiramente se escolha o alvo, ver como o peixe se move na água, aprender o seu comportamento, aguardar o melhor momento para efetuar o disparo e ainda prever onde o peixe estará frações de segundo no futuro para arrematar a caça. Este passo-a-passo também serve para o modo online, o Hacker primeiramente escolhe sua vítima e projeta um e-mail SPAM conforme os hábitos de seu alvo, utiliza características de negócio, termos técnicos, remetentes (sender spoofing) que remetam possíveis clientes ou parceiros, isso torna muito mais difícil sua identificação, tanto pelo analista humano quanto por ferramentas antispam. O atacante vai pesquisar sobre você ou sua empresa antes de efetuar o ataque, vai conhecer seu nome, telefone, seus hábitos online e até os serviços que utiliza.
“O atacante vai pesquisar sobre você ou sua empresa antes de efetuar o ataque, vai conhecer seu nome, telefone, seus hábitos online e até os serviços que utiliza.
Esta modalidade dá muito mais trabalho para os atacantes justamente por necessitar de um projeto diferente para cada vítima, porém a probabilidade de infectar seu alvo é muito maior.
Ainda assim existem formas de identificar o Spear Phishing e vamos listar aqui, o e-mail acima foi enviado para o setor de reservas de um Hotel, vamos utilizá-lo para ajudar a identificar a farsa:
1 – Remetente
O endereço do remetente contém um erro de ortografia e utiliza um domínio genérico(gmail.com), um descuido que não acontece sempre mas deve ser o primeiro filtro em todas as avaliações.
2 – Nome na assinatura
Pesquisar o nome do remetente no google não retorna nenhum resultado, algo incomum, praticamente impossível nos dias de hoje, pesquisas em redes sociais como Facebook também não retornam resultados.
3 – Dados de contato
Ninguém atende no telefone indicado. Este também não é o telefone que aparece no site do suposto remetente (grupo Fafá de belém). É importante ressaltar que não se deve clicar de maneira nenhuma em links contidos em e-mails suspeitos.
“É importante ressaltar que não se deve clicar de maneira nenhuma em links contidos em e-mails suspeitos.
4 – Endereço físico
Este endereço não aparece em nenhum lugar do site indicado no mesmo e-mail, indicando que foi colocado ali apenas para dar mais credibilidade à mensagem.
5 – Diagramação e anexos
Este tipo de diagramação é incomum em e-mails legítimos, causa estranheza no meio da mensagem haver um trecho excessivamente formatado, todo em letras maiúsculas, em negrito e ainda entre aspas. O mesmo texto chama atenção para o anexo do e-mail que é exatamente o vetor de infecção que este e-mail carrega (através de uma macro do word por exemplo). Antes de concluir a mensagem o atacante ainda repete, mais uma vez em texto excessivamente formatado, alterando até a cor da mensagem, fazendo referência a dados que se encontram apenas no anexo. Tentativa clara de fazer a vítima abri-lo.
Estes pontos servem especificamente para este caso, porém muitos são comuns às mensagens mal intencionadas. Como regra geral qualquer elemento na mensagem que cause estranheza ao leitor deve ser considerado, e em caso de dúvida para que não haja riscos, basta entrar em contato com o remetente através de um canal independente (ex: entrar no site do remetente pesquisando através do google e utilizar os dados de contato encontrados lá)
“Como regra geral qualquer elemento na mensagem que cause estranheza ao leitor deve ser considerado, e em caso de dúvida para que não haja riscos, basta entrar em contato com o remetente através de um canal independente
Além disso você também pode seguir alguns passos que vão melhorar sua segurança e mitigar a possibilidade de infecção mesmo que abra arquivos infectados por engano:
Como desativar o Windows Script Host
Como desativar o SMBv1 do Windows