Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo de Brian Krebs sobre o estudo da Phishlabs a respeito do ciber-criminoso nigeriano.
Clique aqui para ler um artigo de Seth Geftic, da RSA sobre o estado da educação em segurança.
Para ler esse artigo, clique no botão abaixo.
A Phishlabs, empresa norte-americana que vende soluções e serviços contra ataques de phishing acaba de publicar um estudo interessante que realizou ao longo de 15 meses em um site sabidamente utilizado por um ciber-criminoso desconhecido para aplicar golpes de phishing.
O phishing, só para relembrar, é aquele golpe aplicado na maioria das vezes via e-mail, em que o bandido se apresenta como sendo o banco da vítima, ou seu provedor de serviços de celular, ou a Receita Federal, e por aí vai. Na mensagem vem sempre o link para o suposto site do banco ou da instituição em questão, um site falsificado, claro, em que os bandidos pedem as credenciais bancárias dos usuários: agência, conta, senha, número do cartão de crédito, data de expiração, código de segurança, e por aí vai. Quem cai no conto do vigário, terá sua conta limpa assim que os bandidos receberem os dados.
Os golpes de phishing são antigos, e bem conhecidos. Um estudo da RSA, uma das mais conceituadas empresas de segurança do mundo, mostra que 75%, isto é, 3 de cada 4 usuários nos EUA sabem a respeito dos golpes, um número que quase dobrou dos 38% que era a marca de dois anos atrás. E ainda assim os golpes continuam. Por que será isso?
O estudo da Phishlabs que mencionei dá uma boa pista sobre o porquê. O site que a empresa conseguiu monitorar por 15 meses proporcionou dados interessantíssimos sobre a atividade do bandido que o utilizava. Em primeiro lugar, o endereço de origem do ataque — em Lagos, na Nigéria — era sempre o mesmo, com apenas uma pessoa utilizando o computador em questão. Ou seja: trata-se nesse caso de uma operação de um homem só (ou mulher, claro). Esse bandido gerou ao longo do período mais de 1.100 sites de phishing, “trabalhando” diariamente por volta de 8 horas em seus ataques. Ou seja: esse é o “emprego” do bandido, que não deve ter tempo para mais nada.
Em uma estimativa conservadora de John LaCoeur, presidente da Phishlabs, se a cada ataque (geralmente direcionado a dezenas ou centenas de milhares de potenciais vítimas) apenas 10 surtirem efeito, e se de cada uma dessas contas violadas o bandido conseguir extrair 500 dólares, no período de um ano ele terá amealhado nada menos que 4 milhões de dólares. E este caso, menciona LaCoeur, é o de um “peixe pequeno” no ramo. Eis aí o incentivo dos bandidos em continuar com um golpe tão velho: dá um dinheirão.
E do lado de nós usuários, a verdade é que aqueles que, por exemplo, são leitores e ouvintes assíduos do 5 Minutos de Segurança são apenas a exceção. Em outras palavras, apenas um percentual desprezível da população sequer conhece os perigos da Internet, e um punhado ainda menor se preocupa com a própria segurança. Cada vez mais gente entra em contato permanente com a Internet — o que, aliás, é um direito de todos — mas sem se preocupar com a segurança. Vocês, claro, já perceberam que essa é a minha ladainha preferida, e por isso vou poupá-los de mais um discurso.
O que fica é que o phishing vai continuar sendo um negócio lucrativo, e cada vez mais sofisticado. Já está quase acabando o tempo dos ataques malfeitos, com erros de grafia e com gráficos pobres, de fácil identificação. Ataques mais sofisticados estão vindo por aí, e aprender a identificá-los será cada vez mais uma questão de sobrevivência.
Até a próxima.
O phishing, só para relembrar, é aquele golpe aplicado na maioria das vezes via e-mail, em que o bandido se apresenta como sendo o banco da vítima, ou seu provedor de serviços de celular, ou a Receita Federal, e por aí vai. Na mensagem vem sempre o link para o suposto site do banco ou da instituição em questão, um site falsificado, claro, em que os bandidos pedem as credenciais bancárias dos usuários: agência, conta, senha, número do cartão de crédito, data de expiração, código de segurança, e por aí vai. Quem cai no conto do vigário, terá sua conta limpa assim que os bandidos receberem os dados.
Os golpes de phishing são antigos, e bem conhecidos. Um estudo da RSA, uma das mais conceituadas empresas de segurança do mundo, mostra que 75%, isto é, 3 de cada 4 usuários nos EUA sabem a respeito dos golpes, um número que quase dobrou dos 38% que era a marca de dois anos atrás. E ainda assim os golpes continuam. Por que será isso?
O estudo da Phishlabs que mencionei dá uma boa pista sobre o porquê. O site que a empresa conseguiu monitorar por 15 meses proporcionou dados interessantíssimos sobre a atividade do bandido que o utilizava. Em primeiro lugar, o endereço de origem do ataque — em Lagos, na Nigéria — era sempre o mesmo, com apenas uma pessoa utilizando o computador em questão. Ou seja: trata-se nesse caso de uma operação de um homem só (ou mulher, claro). Esse bandido gerou ao longo do período mais de 1.100 sites de phishing, “trabalhando” diariamente por volta de 8 horas em seus ataques. Ou seja: esse é o “emprego” do bandido, que não deve ter tempo para mais nada.
Em uma estimativa conservadora de John LaCoeur, presidente da Phishlabs, se a cada ataque (geralmente direcionado a dezenas ou centenas de milhares de potenciais vítimas) apenas 10 surtirem efeito, e se de cada uma dessas contas violadas o bandido conseguir extrair 500 dólares, no período de um ano ele terá amealhado nada menos que 4 milhões de dólares. E este caso, menciona LaCoeur, é o de um “peixe pequeno” no ramo. Eis aí o incentivo dos bandidos em continuar com um golpe tão velho: dá um dinheirão.
E do lado de nós usuários, a verdade é que aqueles que, por exemplo, são leitores e ouvintes assíduos do 5 Minutos de Segurança são apenas a exceção. Em outras palavras, apenas um percentual desprezível da população sequer conhece os perigos da Internet, e um punhado ainda menor se preocupa com a própria segurança. Cada vez mais gente entra em contato permanente com a Internet — o que, aliás, é um direito de todos — mas sem se preocupar com a segurança. Vocês, claro, já perceberam que essa é a minha ladainha preferida, e por isso vou poupá-los de mais um discurso.
O que fica é que o phishing vai continuar sendo um negócio lucrativo, e cada vez mais sofisticado. Já está quase acabando o tempo dos ataques malfeitos, com erros de grafia e com gráficos pobres, de fácil identificação. Ataques mais sofisticados estão vindo por aí, e aprender a identificá-los será cada vez mais uma questão de sobrevivência.
Até a próxima.
Contribuindo com o assunto, vale também lembrar que não é inteligente terceirizar “sua” segurança no mundo cibernético. Digo isso, pois já ouvi pessoas imputarem toda a responsabilidade na segurança das transações bancárias em suas respectivas instituições financeiras.
ResponderExcluirNeste caso o que não foi percebido é que o ponto frágil não é o computador do banco, estes, até que se prove o contrário, são extremamente confiáveis com políticas rígidas de segurança, tanto é verdade que não encontramos na mídia manchetes de fraudes por invasão a bancos.
O ponto frágil é o usuário doméstico. Sim não errei o termo, não é o computador do usuário doméstico, não estou falando na questão tecnológica (firewall, antivirus, antispyware, anti“tudo”, etc), estou abordando o assunto deste artigo, pois mesmo com todos os dispositivos de autenticação disponibilizados pelas instituições financeiras, como senhas, tabela de senhas(jogo da velha), token (chaveirinho), códigos de segurança, data de aniversário, etc, enfim, todas estas aporrinhações que tanto nos atrapalham para acessarmos nossas contas, basta o usuário receber um e-mail intitulado recadastramento de conta, com um bonito logo do banco, que este se abre todo e conta tudo o que o criminoso precisa para limpar sua conta corrente.
O phishing, tem a capacidade de burlar qualquer sistema de segurança, pelo simples fato de não ser um golpe tecnológico e sim um dos golpes mais antigos do mundo, o famoso conto do vigário, logo somente poderemos terceirizar nossa segurança cibernética, quando existir um “antigolpedovigário.exe”, ou seja, nunca.
Em tempo:
Caso você venha a receber um e-mail com um logo bem bonito, intitulado “Livre-se do golpe do vigário” com um arquivo em anexo de nome antigolpedovigário.exe, POR FAVOR não abra. (rsrsrs)
Abraços
Pois é, Oliver, é isso mesmo. Venho dizendo ezatamente isso já há algum tempo, e psolo visto vou ter que continuar repetindo ainda: o ponto de falha geralmente é o usuário.
ResponderExcluirPara ilustrar isso que você disse, recentemente o Banco Itaú ganhou ação movida contra o banco por um cliente que teve sua conta limpa por um ataque de bot. O banco demonstrou que o cliente não havia tomado todas as providências para se livrar do ataque, pois o antivírus estava desatualizado.
A corda sempre vai estourar do nosso lado se não formos muito, mas muito cuidadosos.