Pensando a Segurança da Informação
Sexta, Maio 24, 2013

Ambiente Corporativo: O foco do Phishing 2.0

Detalhes
Publicado: Quarta, 22 Maio 2013 15:11

Houve uma época em que os ataques de phishing pareciam estar relegados ao status de um problema menor, restritos apenas aos usuários menos precavidos e inexperientes; ocorre que uma nova modalidade, conhecida como phishing 2.0 surgiu, potencializando assim novas possibilidades aos cibercriminosos.

 

O Phishing 2.0 é especialmente preocupante para as empresas pois:

 

1. São principalmente voltados a explorar vulnerabilidades em ambientes corporativos (incluindo médias e pequenas empresas); diferentemente das modalidades mais antigas de phishing, que visavam prioritariamente aos consumidores (ou usuários) finais;

 

2. São capazes de burlar as técnicas mais tradicionais de detecção implementadas pela maioria dos produtos de antivirus e anti-phishing;

 

3. Podem enganar, inclusive, usuários de computadores mais avançados por meio da coleta da informações pessoais em redes sociais e outras fontes na web;

 

4. São geralmente direcionados aos usuários que detém o acesso a informações sensíveis dentro da empresa como, por exemplo, contas bancárias, listas de clientes e propriedade intelectual;

 

A maioria dos usuários de computador já se depararam com ataques tradicionais de phishing os quais difundem milhares, ou mesmo milhões, de mensagens eletrônicas através da internet com a única intenção de usurpar dados pessoais e outras informações sensíveis (como por exemplo, senhas, números de CPF, cartões de crédito, etc). Basicamente, os atacantes procuram forjar mensagens a fim de que as mesmas pareçam advir de bancos, sites de comércio eletrônico, redes sociais ou outras fontes amplamente conhecidas e idôneas; com isso muitos usuários inadvertidos acabam por ser induzidos a clicar em links que redirecionam para páginas, desenvolvidas pelos criminosos, as quais, geralmente, solicitam o preenchimento de algum tipo de formulário, ou que levam a efetuar download de arquivos contendo cavalos de tróia, keyloggers ou qualquer outro tipo de código malicioso.

 

Nos últimos anos, várias ações de combate a este tipo de crime, impetradas de forma coordenada em diversos países, acabaram por desmantelar muitos dos servidores que disseminavam mensagens de phishing, além disso, as companhias desenvolvedoras de produtos de segurança evoluiram no sentido de prover mecanismos capazes de barrar mensagens potencialmente danosas, através de análise lexical de emails (reconhecimento de frases comuns utilizadas em phishing), análise de reputação e blacklisting de servidores, detecção de malwares (por meio do reconhecimento de sua assinatura), etc.

 

O decréscimo na efetividade dos ataques de phishing tradicionais contra usuários comuns levaram os cibercriminosos a dedicar seus esforços para o mercado corporativo e, infelizmente, parece que os dados corroboram o êxito de tais ações. De acordo com a agência RCA de segurança da informação, o impacto global de fraudes relacionadas a phishing aumentou 22% entre 2011 e 2012, causando um prejuízo de 1.5 bilhões de dólares na economia. Quando o foco são as pequenas e médias empresas, uma pesquisa recente da Webroot , tanto nos EUA como na Inglaterra, constatou que 55% dos empreendimentos já sofreram ataques de phishing.

 

A pergunta que se faz é:

 

Como os cibercriminosos estão conseguindo ser bem sucedidos em ataques de phishing, dentro da perspectiva de que as empresas estariam melhor protegidas do que os usuários finais?

 

A resposta reside basicamente no processo evolutivo do phishing ao longo dos anos; à primeira vista, a estrutura básica de um ataque de phishing 2.0 pode ser dividida em 5 fases:

 

Fase 1: Escolha do alvo.

 

A primeira fase de um ataque de phishing envolve a escolha de um grupo de vítimas em potencial. Por exemplo, um atacante poderia escolher como alvo desde um grupo amplo de indivíduos (como vendedores de pacotes de viagens, executivos de finanças, engenheiros, etc) a determinadas pessoas em específico (ex: o CFO - Chief Financial Officer - de uma companhia em particular).

 

Fase 2: Reconhecimento.

 

Para ataques que envolvem uma categoria de indivíduos, a simples obtenção de uma lista de endereços de e-mails já consistiria num bom ponto de partida; no caso da prospecção de informações pessoais de uma vítima em específico, o atacante poderia também obter nomes de conhecidos e familiares, hobbies, determinados fatos sobre a vida daquele indivíduo, etc.

 

Hoje em dia, com a consolidação das redes sociais, tais tipos de dados não são muito complicados de ser obtidos; além disso, blogs pessoais, sites das companhias, comentários em fóruns de discussão, podem também conter informações relevantes ao propósito do hacker.

 

Fase 3: Criação das mensagens de phishing

 

Se o cibercriminoso está tentando atacar uma determinada categoria de indivíduos, este poderia buscar por termos e assuntos que envolvem o dia a dia daquele grupo, por exemplo, um e-mail relativo a uma nova política financeira poderia ser enviado aos responsáveis pelas finanças de uma determinada companhia.

 

No caso do alvo ser um determinado indivíduo, o e-mail poderia conter informações obtidas em redes sociais (como já foi ressaltado na fase de reconhecimento), incluindo nomes de amigos, familiares, dados profissionais, viagens recentes, etc. O atacante poderia ainda se fazer passar por um amigo, ou conhecido.

 

Fase 4: Instalação de código malicioso no computador da vítima

 

Nas formas mais triviais e básicas de phishing o hacker tenta induzir o usuário a preencher um formulário com dados pessoais da vítima; hoje em dia, o procedimento mais comum consiste na instalação de algum código malicioso, geralmente contido em algum anexo de e-mail, ou link para página web infectada1.

 

Fase 5: Explorar as vulnerabilidades do computador da vítima

 

Após a instalação do malware, o atacante estará apto a realizar ações que vão desde a captura do que é digitado pelo usuário (keyloggers) ao roubo de arquivos e informações capazes de colocar em risco tanto a pessoa como a empresa para qual ela trabalha (por exemplo, o hacker poderia ter acesso à rede da empresa após roubar as credenciais de acesso diretamente do computador pessoal da vítima).

 

Ataques de Phishing 2.0 diferenciam-se da versão anterior da seguinte forma:

 

1. criação de emails com conteúdos de textos personalidados, ou direcionados;

 

Esta técnica é capaz de burlar muitas soluções de anti-span e anti-phishing que se baseiam na detecção de frases e     palavras comuns

 

2. utilização de “domínios descartáveis” (throw-away domains)

 

Esta técnica utiliza como vetores de ataque domínios de curta duração, em contraponto aos domínios de longa duração, utilizados na variante de phishing 1.0; dessa forma o hacker evita que o servidor seja incluido em alguma blacklisting ou banco de dados de reputação (reputation database). Basicamente, os cibercriminosos dispõem de mecanismos capazes de gerar milhares de domínios, os quais são utilizados numa única ofensiva de phishing.

 

3. emprego de anexos mutantes ou metamorfoseáveis (morphing attachments)

 

Os cibercriminosos criam centenas ou milhares de malwares com variações suficientes para não serem detectados pelos mecanismos de defesa existentes. Além disso, hackers, passaram a empregar encriptação de anexos no intuito de prevenir que fossem escaneados pelos antivirus.

 

Algumas formas de se tentar mitigar ameaças de phishing 2.0 consistem em:

 

1. Restringir o acesso a assuntos não relativos aos negócios da empresa no ambiente de trabalho;

 

Isto pode ser feito através da utilização de filtros de conteúdo.

 

2. Utilização de ferramentas antiphishing capazes de realizar análise em tempo real;

 

Isto permitirá detectar domínios descartáveis.

 

3. Utilização de ferramentas capazes de detectar códigos maliciosos metamorfoseáveis através de múltiplos filtros heurísticos de hora zero (multiple zero-hour heuristic filters);



1 Esta página pode estar tanto num servidor preparado pelo hacker como em sites idôneos invadidos e utilizados para o propósito de se disseminar códigos maliciosos.

 

Referências Bibliográficas:

 

 

Why phishing is back as the No. 1 web threat, and how web security can protect your company. Extraído em: Maio/2013. http://www.bitpipe.com/data/demandEngage.action?resId=1368094867_160

 


Use conexão segura ao acessar seus e-mails via navegadores Web, para evitar que eles sejam interceptados. #dicacertbr

Retweetado 14 horas atrás • 2 retweets

Alerta aos titulares de Certificados Digitais. Se você tem um, leia! lnkd.in/jUsGj4

Retweetado 16 horas atrás • 1 retweet

Twitter implementa verificação de login após ataques a contas - tecnologia.terra.com.br/,ce1d8baa07cce… via @TerraNoticiasBR

Retweetado 17 horas atrás • 1 retweet

Ambiente #Corporativo: O foco do #Phishing 2.0 tinyurl.com/qy6tuy3 #segurança

1 dia atrás

Estudo mostra como o governo brasileiro acessa dados virtuais privados (@folha_com) --- www1.folha.uol.com.br/tec/2013/05/12… / @observatorio

Retweetado 3 dias atrás • 1 retweet

Seja cuidadoso ao divulgar informações pois elas podem ser usadas para atentar contra a sua segurança física. #dicacertbr

Retweetado 3 dias atrás • 7 retweets

 

Sobre o Autor

Jerryson Costa é especialista em segurança de redes e MBA em tecnologia da informação.