INFORME OFICIAL:
PHISHING
Informe oficial
Phishing — As táticas mais
recentes e o impacto potencial
nos negócios
Phishing — As táticas mais recentes e o impacto potencial nos negócios
Phishing — As táticas mais recentes e o impacto potencial nos
negócios
Conteúdo
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
O phishing não conhece limites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
As atividades de hackers em servidores virtuais compartilhados explodem . 3
Os spammers continuam a se aproveitar de feriados e eventos globais . . . . 4
O phishing que explora os temores econômicos . . . . . . . . . . . . . . . . . . . . . . . . 4
Ameaças combinadas de phishing/malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Stripping de SSL com man-in-the-middle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Fraudes de phishing para telefones celulares e SMS . . . . . . . . . . . . . . . . . . . . 5
Spam e phishing migram para a mídia social . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Como o phishing pode afetar seus negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Protegendo seus negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Educação de consumidores e funcionários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Phishers: adversários cibernéticos resistentes e mutantes . . . . . . . . . . . . . . . . . 7
Glossário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2
Phishing — As táticas mais recentes e o impacto potencial nos negócios
Introdução
Como uma das principais táticas dos crimes cibernéticos que afetam consumidores
e empresas, o phishing continua a ser uma ameaça consistentemente potente há
muitos anos. Na verdade, houve uma média de mais de 37.000 ataques de phishing
por mês em 20121.
Não é mais preciso ser um hacker sofisticado para perpetrar fraudes na Internet.
Qualquer pessoa motivada pode fazer isso, graças aos kits de phishing prontos
para uso fornecidos por um crescente ecossistema de crimes cibernéticos. Os
criminosos cibernéticos estão, até mesmo, migrando para um novo modelo de
negócios conhecido como “malware como serviço” (MaaS), no qual os autores de
kits de explorações oferecem serviços extras aos clientes, além do próprio kit de
explorações2.
O impacto sobre uma empresa pode ser bastante grave. Em seu relatório de
fraudes de fevereiro de 2013, a RSA estimou que as perdas mundiais chegaram
a um bilhão e meio de dólares em 2012 e que poderiam ter ultrapassado dois
bilhões de dólares se o tempo de atividade médio dos ataques de phishing tivesse
permanecido idêntico ao de 20113.Não importa a ameaça — se funcionários ou
clientes foram atacados ou se o site da empresa foi comprometido — o phishing
é algo a ser levado muito a sério. As organizações precisam se manter informadas
sobre os métodos mais recentes utilizados pelos criminosos cibernéticos e seguir
medidas proativas para se protegerem de fraudes.
Este documento destaca o crescimento atual e as tendências dos esquemas de
phishing de hoje em dia, o impacto potencial nas empresas e as percepções de
como a tecnologia pode ser usada nos negócios para a sua própria proteção e a de
seus clientes.
O phishing não conhece limites
O phishing — o ato de enganar pessoas inocentes para que forneçam informações
confidenciais, como nomes de usuário, senhas e dados de cartão de crédito por
meio de comunicações eletrônicas aparentemente confiáveis — é uma séria
ameaça a consumidores e empresas. Na década que se passou desde o surgimento
do phishing, esse método de fraude tem crescido rapidamente, com uma estimati­
va de que ocorram aproximadamente oito milhões de tentativas de phishing todos
os dias, em todo o mundo4. Em 2012, um em cada 414 e-mails transmitidos pela
Web estava relacionado a phishing5.
No segundo semestre de 2012, o Anti-Phishing Working Group (APWG) relatou
123.486 ataques de phishing individuais que envolveram 89.748 nomes de
domínio individuais, registrando um aumento de 32% no número de ataques em
relação ao primeiro semestre de 20126. Embora represente um número maior do
que os 115.472 ataques observados pelo APWG no primeiro semestre de 2011,
esse resultado ficou um pouco abaixo do recorde de 126.697 observado no segun­
do semestre de 2009, quando o botnet Avalanche estava à solta.
“RSA: February Fraud Report”, RSA, fevereiro de 2013.
“Verisign iDefense 2012 Cyber Threats and Trends”, Verisign, 2012.
“RSA: February Fraud Report”, RSA, fevereiro de 2013.
4
“Counterfeiting & Spear Phishing – Growth Scams of 2009”, Trade Me, Infonews.co.nz, 2 de março de 2009.
5
“Symantec 2013 Internet Threat Report”, Symantec.com/threatreport.
6
“Global Phishing Survey 2H2012: Trends and Domain Name Use”, Anti-Phishing Working Group.
1
2
3
3
Phishing — As táticas mais recentes e o impacto potencial nos negócios
As atividades de hackers em servidores virtuais compartilhados explodem
Embora os hackers estejam sempre desenvolvendo novos esquemas de phishing,
existe um tipo realmente antigo (embora pouco conhecido) que tem ressurgido
com sucesso. Nesse ataque, um phisher invade um servidor Web que hospeda
um grande número de domínios e coloca o conteúdo do site de phishing em todos
eles, de forma que cada site desse servidor exiba as páginas de phishing. Dessa
forma, os phishers podem infectar milhares de sites ao mesmo tempo. O APWG
identificou 42.448 ataques individuais que usaram essa estratégia, um número que
representa 37% de todos os ataques de phishing globalmente7.
Os spammers continuam a se aproveitar de feriados e eventos globais
Todos os anos, logo antes do Natal, spammers falsificam diversos varejistas
legítimos, oferecendo ‘promoções’ de Natal para uma grande variedade de
produtos. Houve um grande número de campanhas de phishing relacionadas ao
terremoto do Japão, ao movimento da ‘primavera árabe’ e a outros importantes
acontecimentos globais. Após o rotineiro ataque do Dia dos Namorados,
especialistas antiphishing esperam ver fraudes semelhantes em eventos populares
futuros8. Os ataques extremamente específicos de spear phishing, embora
estejam menos presentes nos noticiários do que em anos anteriores, aumentam
consideravelmente em épocas de feriados, quando as operações de segurança
das empresas tendem a estar com menos funcionários do que o necessário. Dessa
forma, as operações dos criminosos cibernéticos têm maior oportunidade de
sucesso. No entanto, isso parece ocorrer menos entre os feriados de Natal e AnoNovo. Uma explicação possível é que, embora as equipes de segurança possam
estar com poucos funcionários, também há menos funcioná­rios trabalhando, o
que diminui o número de oportunidades de que usuários-alvo abram anexos malintencionados.
O phishing que explora os temores econômicos
A agitação econômica dos dias de hoje fornece oportunidades incomparáveis para
que os criminosos explorem suas vítimas. Por exemplo, fraudes populares incluem
e-mails de phishing que parecem vir de uma instituição financeira que adquiriu
recentemente o banco da vítima pretendida, incluindo serviços de poupança,
empréstimo e hipoteca9. A grande quantidade de fusões e aquisições que ocorrem
atualmente cria uma atmosfera de confusão para os consumidores, o que é exacer­
bado pela carência de comunicações consistentes com os clientes. Os phishers
prosperam nesse tipo de situação.
Ameaças combinadas de phishing/malware
Para aumentar as taxas de sucesso, alguns ataques utilizam phishing e malware
em um modelo combinado. Por exemplo, uma vítima potencial recebe um e-card
de phishing em um e-mail que parece ser legítimo. Ao clicar no link do e-mail para
receber o cartão, a pessoa é levada para um site falsificado que faz o download de
um Cavalo de Troia no computador da vítima. Uma alternativa é a vítima ver uma
mensagem que solicita o download de software atualizado necessário para exibir o
cartão. Quando a vítima faz o download, o software é, na verdade, um keylogger.
Keyloggers baseados em phishing possuem componentes de rastreamento que
tentam monitorar ações específicas (e organizações específicas, como instituições
financeiras, varejistas online e comerciantes de e-commerce) para obter informa­
ções confidenciais, como números de conta, identificações de usuários e senhas.
7
8
9
Ibid.
“Symantec Intelligence Report”, Symantec, janeiro de 2012.
“FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-erman’s Special”, www.ftc.gov.
4
Phishing — As táticas mais recentes e o impacto potencial nos negócios
Outro tipo de Cavalo de Troia que capacita phishers a obterem informações
confidenciais é o redirecionador. Um redirecionador roteia o tráfego de rede dos
usuários finais para um local aonde não deveria ir.
Stripping de SSL com man-in-the-middle
Em 2008, foi lançado um novo tipo de malware que permitia que os criminosos
cibernéticos falsificassem uma sessão criptografada. Ele era uma variante do
ataque man-in-the-middle (MITM) comum, que os criminosos usam para acessar
senhas ou informações confidenciais que passem desprotegidas pela rede.
Fraudes de phishing para telefones celulares e SMS
Passando-se por uma instituição financeira real, os phishers utilizam o SMS como
uma alternativa ao e-mail para tentar obter acesso a informações de conta confi­
denciais. Conhecida como “smishing”, essa fraude típica informa o usuário do
telefone celular de que a sua conta bancária foi comprometida ou que um cartão
de crédito ou de caixa eletrônico foi desativado. A vítima potencial é instruída a
ligar para um número ou visitar um site falsificado a fim de reativar o cartão. Já no
site, ou por um sistema telefônico automatizado, a vítima potencial é solicitada a
fornecer seus números de conta e cartão e as senhas associadas.
Spam e phishing migram para a mídia social
Nos últimos anos, temos visto um aumento significativo na ocorrência de spam
e phishing nos sites de mídia social. Os criminosos seguem os usuários até sites
conhecidos. Além de o Facebook e o Twitter terem crescido em popularidade, eles
também têm atraído mais atividades criminosas. Porém, no último ano, os crimino­
sos online também começaram a visar sites mais novos que crescem rapidamente,
como Instagram, Pinterest e Tumblr. As ameaças típicas incluem vales-presentes
falsos e pesquisas fraudulentas. Esses tipos de ofertas falsas são responsáveis por
mais da metade (56%) de todos os ataques em mídias sociais.
Como o phishing pode afetar seus negócios
Enquanto o spam apresentou um leve declínio em 2012, os ataques de phishing
aumentaram. Os phishers estão usando sites falsos muito sofisticados — em
alguns casos, réplicas perfeitas de sites reais — para enganar as vítimas, fazendo
com que passem informações pessoais, senhas, informações de cartão de crédito
e credenciais bancárias. No passado, eles usavam mais e-mails falsos, mas agora,
além deles, usam também links semelhantes postados em sites de mídia social
para atrair as vítimas a esses sites de phishing mais avançados. Entre os sites
falsos típicos estão os de bancos e companhias de cartão de crédito, como é de se
esperar, mas também há sites de mídia social. O número de sites de phishing que
falsificaram sites de redes sociais aumentou em 123% em 2012. Se os criminosos
puderem capturar seus detalhes de login de mídias sociais, poderão usar sua conta
para enviar e-mails de phishing a todos os seus amigos. Uma mensagem vinda de
um amigo parece muito mais confiável. Outro modo de usar uma conta de mídia
social invadida é enviar uma mensagem falsa aos amigos de uma pessoa sobre
algum tipo de urgência.
Em uma tentativa de burlar softwares de filtragem e segurança, os criminosos
usam endereços de sites complexos e serviços aninhados de encurtamento de
URLs. Também usam engenharia social para motivar as vítimas a clicar em links.
No último ano, os temas principais das mensagens foram celebridades, filmes,
personalidades do esporte e gadgets atraentes, como smartphones e tablets.
5
Phishing — As táticas mais recentes e o impacto potencial nos negócios
Ataques de phishing cujo objetivo seja falsificar o site oficial de uma empresa
diminuem o poder da marca online dessa empresa e impedem os clientes de usar
o site verdadeiro por receio de se tornarem vítimas de fraude. Além dos custos
diretos das perdas por fraude, as empresas cujos clientes se tornam vítimas de
uma fraude de phishing também se sujeitam a:
• Queda nas receitas e/ou na utilização online, devido à menor confiança do
cliente
• Possíveis multas de não conformidade, caso os dados dos clientes sejam
comprometidos
Mesmo as fraudes de phishing voltadas para outras marcas podem afetar uma
empresa. O temor causado pelo phishing pode fazer com que os consumidores
parem de fazer transações com empresas nas quais não confiem.
Protegendo seus negócios
Embora não haja uma solução mágica, existem tecnologias que podem ajudar a
proteger você e seus clientes. Muitas das técnicas de phishing atuais dependem
de levar os clientes até sites falsificados que capturam informações pessoais.
Tecnologias como Secure Sockets Layer (SSL) e Extended Validation (EV) SSL são
críticas na luta contra o phishing e outras formas de crimes cibernéticos, porque
criptografam informações confidenciais e ajudam os clientes a autenticarem o seu
site.
As melhores práticas de segurança exigem implementar os níveis mais altos possí­
veis de criptografia e autenticação contra fraudes cibernéticas e criar a confiança
do cliente na marca. A tecnologia SSL, o padrão mundial de segurança na Web,
é usada para criptografar e proteger informações transmitidas pela Web com o
onipresente protocolo HTTPS. O SSL protege dados em movimento, que podem
ser interceptados e violados se enviados sem criptografia. O suporte para SSL
está integrado a todos os principais sistemas operacionais, navegadores da Web,
aplicativos para Internet e hardware de servidor.
Para ajudar a impedir que ataques de phishing sejam bem-sucedidos e a desenvol­
ver a confiança do cliente, as empresas também precisam ter uma forma de indicar
aos clientes que elas fazem negócios legítimos. Os certificados Extended Validation
(EV) SSL são a resposta, oferecendo o nível de autenticação mais alto disponível
com um certificado SSL e fornecendo uma prova tangível para os usuários online
de que o site é realmente legítimo.
Figura 1. Barra de endereço verde acionada por um certificado EV SSL
6
Phishing — As táticas mais recentes e o impacto potencial nos negócios
O EV SSL fornece aos visitantes do site uma maneira fácil e confiável de estabele­
cer confiança online, fazendo com que navegadores da Web de alta segurança
exibam uma barra de endereço verde com o nome da organização proprietária do
certificado SSL e o nome da autoridade de certificação que o emitiu. A Figura 1
mostra a barra de endereço verde no Internet Explorer.
A barra verde mostra aos visitantes do site que a transação está criptografada e
que a organização foi autenticada de acordo com o padrão mais rigoroso do setor.
Os phishers não podem mais ganhar dinheiro fazendo os visitantes pensar que
estão em uma sessão SSL real.
Embora os criminosos cibernéticos estejam se tornando hábeis em imitar sites
legítimos, sem o certificado EV SSL da empresa não existe forma de exibir seu
nome na barra de endereço, porque as informações mostradas ali estão além do
controle dos criminosos. E eles não podem obter os certificados EV SSL legítimos
da empresa devido ao rígido processo de autenticação.
Educação de consumidores e funcionários
Além de implementarem a tecnologia EV SSL, as empresas devem continuar a
educar seus clientes e funcionários sobre práticas de Internet seguras e sobre
como evitar fraudes cibernéticas. Eles devem ser ensinados a reconhecer os sinais
de uma tentativa de phishing, incluindo:
• Erros de ortografia (menos comuns à medida que os phishers se tornam mais
sofisticados)
• Saudações genéricas em vez de chamadas à ação personalizadas e urgentes
• Ameaças sobre o status de contas
• Solicitação de informações pessoais
• Nomes de domínio/links falsos
Além disso, ensine estas táticas a seus clientes e funcionários para que
reconheçam um site seguro e válido antes de fornecer quaisquer informações
pessoais ou confidenciais:
• Procurar a barra verde
• Certificar-se de que a URL seja HTTPS
• Clicar no cadeado para comparar as informações do certificado com o site que
desejam visitar
• Procurar um selo de confiança, como o Norton Secured Seal
A educação é um componente do desenvolvimento da confiança necessária para
superar os temores do phishing. Ao ajudar seus clientes a entenderem como
confirmar que estão seguros em seu site, você pode aumentar receitas, diferenciar
a sua oferta e/ou beneficiar-se da economia operacional com o crescimento das
transações online.
Phishers: adversários cibernéticos resistentes e mutantes
O phishing continuará a evoluir para novas formas, tentando ao mesmo tempo
aproveitar-se de comportamentos humanos como compaixão, confiança ou curio­
sidade. Proteger a sua marca e a sua empresa contra o phishing requer cuidados
constantes, mas as recompensas estão muito além de reduzir as perdas por fraude.
7
Phishing — As táticas mais recentes e o impacto potencial nos negócios
Ao educar e proteger seus clientes com os níveis mais altos de proteção fornecidos
por certificados EV SSL, sua empresa pode ajudar a garantir que os clientes te­
nham maior confiança em seus serviços online. Ao demonstrar liderança na segu­
rança online, você pode ampliar seu apelo de mercado e, com isso, gerar novos
fluxos de receita.
Para obter as informações mais recentes sobre as tendências globais de phishing,
leia o Symantec Monthly Intelligence Report (Relatório de inteligência mensal da
Symantec).
Glossário
Autoridade de certificação (CA) — Uma autoridade de certificação é uma organi­
zação confiável de terceiros que emite certificados digitais (como os certificados
Secure Sockets Layer (SSL)) após verificar as informações incluídas nos certifica­
dos.
Criptografia — A criptografia é o processo de embaralhar uma mensagem para
que apenas o destinatário desejado tenha acesso às informações. A tecnologia
Secure Sockets Layer (SSL) estabelece um canal de comunicação privado no qual
os dados podem ser criptografados durante a transmissão online, protegendo
informações confidenciais contra a escuta eletrônica online.
Certificado Extended Validation (EV) SSL — Requer um alto padrão de verifica­
ção de certificados Secure Sockets (SSL), ditado por um terceiro, o CA/Browser
Forum. No Microsoft® Internet Explorer 7 e em outros navegadores de alta seguran­
ça conhecidos, sites protegidos com certificados Extended Validation SSL fazem
com que a barra de endereço de URL fique verde.
HTTPS — Páginas da Web iniciando por “https” em vez de “http” habilitam a trans­
missão segura de informações por meio do protocolo http seguro. “Https” é uma
medida de segurança que deve ser verificada no envio ou compartilhamento de
informações confidenciais, como números de cartão de crédito, registros de dados
pessoais ou dados de parceiros comerciais.
Tecnologia Secure Sockets Layer (SSL) — O SSL e seu sucessor, a segurança
de camada de transporte (Transport Layer Security, TLS), usam criptografia para
fornecer segurança às transações online. O SSL usa duas chaves para criptografar
e descriptografar dados — uma chave pública conhecida de todos e uma chave pri­
vada ou secreta conhecida apenas pelo destinatário da mensagem.
Certificado SSL — Um certificado Secure Sockets Layer (SSL) incorpora uma assi­
natura digital para vincular uma chave pública a uma identidade. Os certificados
SSL habilitam a criptografia de informações confidenciais durante transações
online e, no caso de certificados validados para a organização, também funcionam
como um atestado da identidade do proprietário do certificado.
8
Phishing — As táticas mais recentes e o impacto potencial nos negócios
Sobre a Symantec
A Symantec é líder global no fornecimento de soluções de gerenciamento de
segurança, armazenamento e sistemas que ajudam consumidores e organizações
a gerenciar seu mundo orientado por informações. Nossos softwares e serviços
oferecem proteção contra mais riscos em mais locais, de forma mais completa e
eficaz, aumentando a confiança sempre que informações são usadas ou armazenadas.
© 2014 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo circular com a marca de verificação e o logotipo do Norton Secured são marcas
comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas comerciais de seus respectivos proprietários.
8/2012 21263454