novembro 16, 2015

[Segurança] Phishing

Phishing é uma das técnicas de fraude mais antigas e, até hoje, mais eficientes, que atinge clientes de bancos no Brasil e em todo o mundo.

No México, por exemplo, o Phishing é considerado a principal ameaça online para os bancos do país, pois a principal ação dos ciber criminosos locais é realizada através de mensagens ou sites de Phishing, que são usados para obter informações de acesso (usuário e senha) dos clientes.

O problema principal é que a grande maioria dos usuários clica em tudo o que vê, e não tem discernimento para perceber quando a mensagem é falsa, ou quando leva ele para um site falso. Veja o exemplo abaixo: não precisa ser expert para imaginar que uma mensagem de aviso do WhatsApp jamais seria enviado a partir do endereço de e-mail "gishjewellersn@rogers.com".



Além do mais, ataques de phishing são fáceis de fazer: basta ao fraudador ter criatividade para criar uma mensagem que convença o usuário a clicar num link, que serve para levar a vítima até um site falso ou que vai causar o download de um código malicioso.

Mas essa é uma visão muito simplista. Mesmo porque, hoje em dia existem quadrilhas especializadas em fazer mensagens e sites de phishing bem feitas, que parecem reais e podem, eventualmente, enganar até mesmo um especialista.



E diariamente somos bombardeados por dezenas destas mensagens.



Tudo isso existe com um único objetivo: capturar qualquer informação das vítimas que possam ser utilizadas para cometer fraude, desde as credenciais de login em sites de Internet Banking e dados de cartões de crédito, até mesmo login em serviços de e-mail ou em sites de milhagem de companias aéreas (assim, os criminosos podem vender passagens obtidas com as milhas das vítimas). Outro golpe muito conhecido que se aproveita das mensagens de phishing para espalhar são as fraudes de boleto, que fazem com que a vítima baixe e instale o malware especializado em fraudar pagamentos de boletos bancários.

Desde 2008, o pessoal do CAIS, o Centro de Atendimento a Incidentes de Segurança da RNP, mantém o Catalogo de Fraudes que lista exemplos de mensagens de phishing recebidas por eles. É uma ótima referência sobre o assunto.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.