O que é phishing?

O que é phishing?

O que é phishing?
Um ataque de phishing consiste em alguém enviar um email a fazer-se passar por outrem, com o objectivo de tentar obter acesso a informação privada. O termo phishing deriva da palavra inglesa fishing, que significa pescar. Os ataques de phishing costumam ser realizados em grande escala: o atacante envia o mesmo email para milhares de utilizadores, esperando que alguém morda o isco, daí a associação com o ato de pescar que deu origem ao termo.

O típico email de phishing aparenta ter sido enviado por uma entidade legítima, como uma empresa ou uma instituição financeira. A mensagem indica que existe um problema com a conta (por exemplo, do site ou do banco), e pede ao utilizador para clicar num link para o resolver. Ao clicar no link, o utilizador é levado para um site que aparenta ser o da entidade legítima, mas que na verdade é controlado pelo atacante. Quando o utilizador insere o seu nome de utilizador e a sua password ou o número de cartão de crédito para resolver o suposto problema, estes dados são enviados directamente para o atacante, e o utilizador não se apercebe de nada. O atacante irá depois utilizar estes dados para aceder à conta do utilizador. Noutros casos, o objectivo de um email de phishing é instalar malware no computador do utilizador, com o intuito de obter acesso à sua informação privada ou com outros intuitos. O link do email de phishing irá levar o utilizador para um site que instala malware no seu computador. Ao invés de enviar um link, o atacante poderá enviar um anexo que, quando aberto, instala malware no seu computador. Um tema comum deste tipo de emails de phishing é uma suposta encomenda: o atacante envia-lhe um email a dizer que fez uma encomenda, com um anexo ou um link para ver a factura.

Quando um ataque de phishing é direccionado a um indivíduo específico, designa-se por ataque de spear phishing. O termo spear phishing deriva da palavra inglesa spearfishing, que significa pescar com arpão. A pesca com arpão é mais direccionada do que a pesca tradicional, pois o pescador não fica à espera que qualquer peixe morda o isco, e vai tentar caçar um peixe específico, daí a associação com o ato de pescar com arpão que deu origem ao termo. Num ataque de spear phishing, o atacante obtém informação sobre o alvo e utiliza esta informação para criar mensagens que são pessoais e relevantes. Conhecendo os gostos, as crenças ou os hábitos do alvo, o atacante consegue criar uma mensagem mais credível, aumentando as probabilidades de o alvo acreditar que a mensagem é legítima. Por exemplo, se o atacante souber que o alvo recebe frequentemente relatórios em PDF de um colega de trabalho, poderá enviar-lhe um email com um anexo malicioso fazendo-se passar pelo colega de trabalho. A principal diferença entre um ataque de phishing e um ataque de spear phishing é que neste último o atacante envia um email personalizado para tentar “pescar” um único utilizador, enquanto num ataque de phishing o atacante envia um email genérico para milhares de utilizadores indiscriminadamente sem saber quem os irá receber, na esperança de que alguém responda. Devido à personalização dos emails, os ataques de spear phishing são mais eficazes. Eis um exemplo real de um ataque de spear phishing: em 2009, um executivo da Coca-Cola recebeu um email que supostamente tinha sido enviado por outro executivo da empresa, no entanto, quando clicou no link presente no email, foi instalado malware no seu computador. Atacantes chineses conseguiram assim obter acesso ao computador do executivo e instalar um keylogger para registar todas as teclas em que ele carregou (o que permite roubar passwords). Os atacantes instalaram também outros programas que permitiram aceder à rede da Coca-Cola e utilizar o computador do executivo para armazenar e fazer o download de dados retirados de outros computadores na rede da empresa. Este ataque ocorreu na altura em que a empresa pretendia adquirir a empresa China Huiyuan Juice Group. Um mês após o computador do executivo da Coca-Cola ter sido comprometido, o Ministério do Comércio da China rejeitou a aquisição alegando motivos anti-monopólio. Caso se tivesse concretizado, teria sido a maior aquisição estrangeira de uma empresa chinesa. Eis um outro exemplo real de um ataque de spear phishing: um roubo de dados à empresa de segurança RSA resultou de dois emails de spear phishing diferentes que foram enviados para dois pequenos grupos de funcionários da empresa com um ficheiro Excel malicioso anexado. Quando um dos funcionários que recebeu um destes emails abriu o anexo, foi instalado malware no seu computador. Apesar deste funcionário não ser um alvo de elevador valor, com acesso ao seu computador e por conseguinte à rede da RSA, os atacantes conseguiram realizar escalagem de privilégios para obter acesso a alvos de maior valor.

Para aumentar a credibilidade do email de phishing, o atacante poderá ligar para o alvo após o envio do email, o que é conhecido por vishing (voice phishing). Por exemplo, em Abril de 2013, a assistente administrativa do vice-presidente de uma empresa multinacional sediada em França recebeu um email que mencionava uma fatura alojada num site de partilha de ficheiros. Alguns minutos depois, a assistente recebeu uma chamada telefónica de outro vice-presidente da empresa, que ordenou que ela analisasse e tratasse da factura. O vice-presidente falou com autoridade e utilizou um francês perfeito, no entanto a factura era falsa e o vice-presidente que fez a chamada era um atacante. A suposta factura era na verdade um Remote Access Trojan (RAT), que permitiu ao atacante controlar o computador da assistente administrativa. Com esta capacidade, o atacante registou as teclas em que ela carregou (o que permite roubar passwords) e roubou ficheiros.

Os emails de phishing podem ser muito enganadores a ponto de enganarem utilizadores experientes. Apesar de alguns emails de phishing poderem ser evitados por filtros de email, não é possível evitar todos eles. A melhor forma de proteger os utilizadores contra o phishing é sensibilizá-los para esta ameaça. Nesse sentido, eis algumas recomendações:

  • Suspeitar de emails enviados por pessoas ou entidades que não conhece: Regra geral, se não conhece a pessoa ou a entidade que enviou o email, deve suspeitar.
  • Suspeitar de emails que não estava à espera de receber: Mesmo que o email aparente ter sido enviado por alguém que conhece, se o email não fizer sentido ou ou se não estivesse à espera de receber o email, deve suspeitar.
  • Não abrir anexos que não estava à espera de receber
  • Verificar os links antes de clicar: Os links podem ser enganadores. O texto do link pode dizer o endereço do site verdadeiro, e levar o utilizador para outro site. Por exemplo, o texto do link pode dizer www.paypal.com mas, quando o utilizador clica, é levado para www.paypa1.com. À primeira vista, este endereço pode parecer o verdadeiro, no entanto o “l” (letra l) foi substituído por um “1” (número 1). O site existente em www.paypal.com é o site verdadeiro. No entanto, o site existente em www.paypa1.com poderia ser uma cópia do site verdadeiro criada pelo atacante para roubar os seus dados. Para verificar se um link aponta para o site verdadeiro, basta passar o rato por cima do link (sem clicar): o destino do link irá aparecer no canto inferior esquerdo do browser. Em caso de dúvida, ao invés de clicar no link presente no email, deverá aceder ao site directamente, escrevendo o URL no seu browser.