Phishing As táticas mais recentes e o impacto potencial nos negócios

Transcrição

1 INFORME OFICIAL: PHISHING Informe oficial Phishing As táticas mais recentes e o impacto potencial nos negócios

2 Phishing As táticas mais recentes e o impacto potencial nos negócios Conteúdo Introdução... 3 O phishing não conhece limites... 3 As atividades de hackers em servidores virtuais compartilhados explodem 3 Os spammers continuam a se aproveitar de feriados e eventos globais 4 O phishing que explora os temores econômicos 4 Ameaças combinadas de phishing/malware Stripping de SSL com man-in-the-middle 5 Fraudes de phishing para telefones celulares e SMS 5 Spam e phishing migram para a mídia social 5 Como o phishing pode afetar seus negócios 5 Protegendo seus negócios 6 Educação de consumidores e funcionários 7 Phishers: adversários cibernéticos resistentes e mutantes... 7 Glossário

3 Introdução Como uma das principais táticas dos crimes cibernéticos que afetam consumidores e empresas, o phishing continua a ser uma ameaça consistentemente potente há muitos anos. Na verdade, houve uma média de mais de ataques de phishing por mês em Não é mais preciso ser um hacker sofisticado para perpetrar fraudes na Internet. Qualquer pessoa motivada pode fazer isso, graças aos kits de phishing prontos para uso fornecidos por um crescente ecossistema de crimes cibernéticos. Os criminosos cibernéticos estão, até mesmo, migrando para um novo modelo de negócios conhecido como malware como serviço (MaaS), no qual os autores de kits de explorações oferecem serviços extras aos clientes, além do próprio kit de explorações 2. O impacto sobre uma empresa pode ser bastante grave. Em seu relatório de fraudes de fevereiro de 2013, a RSA estimou que as perdas mundiais chegaram a um bilhão e meio de dólares em 2012 e que poderiam ter ultrapassado dois bilhões de dólares se o tempo de atividade médio dos ataques de phishing tivesse permanecido idêntico ao de Não importa a ameaça se funcionários ou clientes foram atacados ou se o site da empresa foi comprometido o phishing é algo a ser levado muito a sério. As organizações precisam se manter informadas sobre os métodos mais recentes utilizados pelos criminosos cibernéticos e seguir medidas proativas para se protegerem de fraudes. Este documento destaca o crescimento atual e as tendências dos esquemas de phishing de hoje em dia, o impacto potencial nas empresas e as percepções de como a tecnologia pode ser usada nos negócios para a sua própria proteção e a de seus clientes. O phishing não conhece limites O phishing o ato de enganar pessoas inocentes para que forneçam informações confidenciais, como nomes de usuário, senhas e dados de cartão de crédito por meio de comunicações eletrônicas aparentemente confiáveis é uma séria ameaça a consumidores e empresas. Na década que se passou desde o surgimento do phishing, esse método de fraude tem crescido rapidamente, com uma estimativa de que ocorram aproximadamente oito milhões de tentativas de phishing todos os dias, em todo o mundo 4. Em 2012, um em cada 414 s transmitidos pela Web estava relacionado a phishing 5. No segundo semestre de 2012, o Anti-Phishing Working Group (APWG) relatou ataques de phishing individuais que envolveram nomes de domínio individuais, registrando um aumento de 32% no número de ataques em relação ao primeiro semestre de Embora represente um número maior do que os ataques observados pelo APWG no primeiro semestre de 2011, esse resultado ficou um pouco abaixo do recorde de observado no segundo semestre de 2009, quando o botnet Avalanche estava à solta. 1 RSA: February Fraud Report, RSA, fevereiro de Verisign idefense 2012 Cyber Threats and Trends, Verisign, RSA: February Fraud Report, RSA, fevereiro de Counterfeiting & Spear Phishing Growth Scams of 2009, Trade Me, Infonews.co.nz, 2 de março de Symantec 2013 Internet Threat Report, Symantec.com/threatreport. 6 Global Phishing Survey 2H2012: Trends and Domain Name Use, Anti-Phishing Working Group. 3

4 As atividades de hackers em servidores virtuais compartilhados explodem Embora os hackers estejam sempre desenvolvendo novos esquemas de phishing, existe um tipo realmente antigo (embora pouco conhecido) que tem ressurgido com sucesso. Nesse ataque, um phisher invade um servidor Web que hospeda um grande número de domínios e coloca o conteúdo do site de phishing em todos eles, de forma que cada site desse servidor exiba as páginas de phishing. Dessa forma, os phishers podem infectar milhares de sites ao mesmo tempo. O APWG identificou ataques individuais que usaram essa estratégia, um número que representa 37% de todos os ataques de phishing globalmente 7. Os spammers continuam a se aproveitar de feriados e eventos globais Todos os anos, logo antes do Natal, spammers falsificam diversos varejistas legítimos, oferecendo promoções de Natal para uma grande variedade de produtos. Houve um grande número de campanhas de phishing relacionadas ao terremoto do Japão, ao movimento da primavera árabe e a outros importantes acontecimentos globais. Após o rotineiro ataque do Dia dos Namorados, especialistas antiphishing esperam ver fraudes semelhantes em eventos populares futuros 8. Os ataques extremamente específicos de spear phishing, embora estejam menos presentes nos noticiários do que em anos anteriores, aumentam consideravelmente em épocas de feriados, quando as operações de segurança das empresas tendem a estar com menos funcionários do que o necessário. Dessa forma, as operações dos criminosos cibernéticos têm maior oportunidade de sucesso. No entanto, isso parece ocorrer menos entre os feriados de Natal e Ano- Novo. Uma explicação possível é que, embora as equipes de segurança possam estar com poucos funcionários, também há menos funcioná rios trabalhando, o que diminui o número de oportunidades de que usuários-alvo abram anexos malintencionados. O phishing que explora os temores econômicos A agitação econômica dos dias de hoje fornece oportunidades incomparáveis para que os criminosos explorem suas vítimas. Por exemplo, fraudes populares incluem s de phishing que parecem vir de uma instituição financeira que adquiriu recentemente o banco da vítima pretendida, incluindo serviços de poupança, empréstimo e hipoteca 9. A grande quantidade de fusões e aquisições que ocorrem atualmente cria uma atmosfera de confusão para os consumidores, o que é exacerbado pela carência de comunicações consistentes com os clientes. Os phishers prosperam nesse tipo de situação. Ameaças combinadas de phishing/malware Para aumentar as taxas de sucesso, alguns ataques utilizam phishing e malware em um modelo combinado. Por exemplo, uma vítima potencial recebe um e-card de phishing em um que parece ser legítimo. Ao clicar no link do para receber o cartão, a pessoa é levada para um site falsificado que faz o download de um Cavalo de Troia no computador da vítima. Uma alternativa é a vítima ver uma mensagem que solicita o download de software atualizado necessário para exibir o cartão. Quando a vítima faz o download, o software é, na verdade, um keylogger. Keyloggers baseados em phishing possuem componentes de rastreamento que tentam monitorar ações específicas (e organizações específicas, como instituições financeiras, varejistas online e comerciantes de e-commerce) para obter informações confidenciais, como números de conta, identificações de usuários e senhas. 7 Ibid. 8 Symantec Intelligence Report, Symantec, janeiro de FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-erman s Special, 4

5 Outro tipo de Cavalo de Troia que capacita phishers a obterem informações confidenciais é o redirecionador. Um redirecionador roteia o tráfego de rede dos usuários finais para um local aonde não deveria ir. Stripping de SSL com man-in-the-middle Em 2008, foi lançado um novo tipo de malware que permitia que os criminosos cibernéticos falsificassem uma sessão criptografada. Ele era uma variante do ataque man-in-the-middle (MITM) comum, que os criminosos usam para acessar senhas ou informações confidenciais que passem desprotegidas pela rede. Fraudes de phishing para telefones celulares e SMS Passando-se por uma instituição financeira real, os phishers utilizam o SMS como uma alternativa ao para tentar obter acesso a informações de conta confidenciais. Conhecida como smishing, essa fraude típica informa o usuário do telefone celular de que a sua conta bancária foi comprometida ou que um cartão de crédito ou de caixa eletrônico foi desativado. A vítima potencial é instruída a ligar para um número ou visitar um site falsificado a fim de reativar o cartão. Já no site, ou por um sistema telefônico automatizado, a vítima potencial é solicitada a fornecer seus números de conta e cartão e as senhas associadas. Spam e phishing migram para a mídia social Nos últimos anos, temos visto um aumento significativo na ocorrência de spam e phishing nos sites de mídia social. Os criminosos seguem os usuários até sites conhecidos. Além de o Facebook e o Twitter terem crescido em popularidade, eles também têm atraído mais atividades criminosas. Porém, no último ano, os criminosos online também começaram a visar sites mais novos que crescem rapidamente, como Instagram, Pinterest e Tumblr. As ameaças típicas incluem vales-presentes falsos e pesquisas fraudulentas. Esses tipos de ofertas falsas são responsáveis por mais da metade (56%) de todos os ataques em mídias sociais. Como o phishing pode afetar seus negócios Enquanto o spam apresentou um leve declínio em 2012, os ataques de phishing aumentaram. Os phishers estão usando sites falsos muito sofisticados em alguns casos, réplicas perfeitas de sites reais para enganar as vítimas, fazendo com que passem informações pessoais, senhas, informações de cartão de crédito e credenciais bancárias. No passado, eles usavam mais s falsos, mas agora, além deles, usam também links semelhantes postados em sites de mídia social para atrair as vítimas a esses sites de phishing mais avançados. Entre os sites falsos típicos estão os de bancos e companhias de cartão de crédito, como é de se esperar, mas também há sites de mídia social. O número de sites de phishing que falsificaram sites de redes sociais aumentou em 123% em Se os criminosos puderem capturar seus detalhes de login de mídias sociais, poderão usar sua conta para enviar s de phishing a todos os seus amigos. Uma mensagem vinda de um amigo parece muito mais confiável. Outro modo de usar uma conta de mídia social invadida é enviar uma mensagem falsa aos amigos de uma pessoa sobre algum tipo de urgência. Em uma tentativa de burlar softwares de filtragem e segurança, os criminosos usam endereços de sites complexos e serviços aninhados de encurtamento de URLs. Também usam engenharia social para motivar as vítimas a clicar em links. No último ano, os temas principais das mensagens foram celebridades, filmes, personalidades do esporte e gadgets atraentes, como smartphones e tablets. 5

6 Ataques de phishing cujo objetivo seja falsificar o site oficial de uma empresa diminuem o poder da marca online dessa empresa e impedem os clientes de usar o site verdadeiro por receio de se tornarem vítimas de fraude. Além dos custos diretos das perdas por fraude, as empresas cujos clientes se tornam vítimas de uma fraude de phishing também se sujeitam a: Queda nas receitas e/ou na utilização online, devido à menor confiança do cliente Possíveis multas de não conformidade, caso os dados dos clientes sejam comprometidos Mesmo as fraudes de phishing voltadas para outras marcas podem afetar uma empresa. O temor causado pelo phishing pode fazer com que os consumidores parem de fazer transações com empresas nas quais não confiem. Protegendo seus negócios Embora não haja uma solução mágica, existem tecnologias que podem ajudar a proteger você e seus clientes. Muitas das técnicas de phishing atuais dependem de levar os clientes até sites falsificados que capturam informações pessoais. Tecnologias como Secure Sockets Layer (SSL) e Extended Validation (EV) SSL são críticas na luta contra o phishing e outras formas de crimes cibernéticos, porque criptografam informações confidenciais e ajudam os clientes a autenticarem o seu site. As melhores práticas de segurança exigem implementar os níveis mais altos possíveis de criptografia e autenticação contra fraudes cibernéticas e criar a confiança do cliente na marca. A tecnologia SSL, o padrão mundial de segurança na Web, é usada para criptografar e proteger informações transmitidas pela Web com o onipresente protocolo HTTPS. O SSL protege dados em movimento, que podem ser interceptados e violados se enviados sem criptografia. O suporte para SSL está integrado a todos os principais sistemas operacionais, navegadores da Web, aplicativos para Internet e hardware de servidor. Para ajudar a impedir que ataques de phishing sejam bem-sucedidos e a desenvolver a confiança do cliente, as empresas também precisam ter uma forma de indicar aos clientes que elas fazem negócios legítimos. Os certificados Extended Validation (EV) SSL são a resposta, oferecendo o nível de autenticação mais alto disponível com um certificado SSL e fornecendo uma prova tangível para os usuários online de que o site é realmente legítimo. Figura 1. Barra de endereço verde acionada por um certificado EV SSL 6

7 O EV SSL fornece aos visitantes do site uma maneira fácil e confiável de estabelecer confiança online, fazendo com que navegadores da Web de alta segurança exibam uma barra de endereço verde com o nome da organização proprietária do certificado SSL e o nome da autoridade de certificação que o emitiu. A Figura 1 mostra a barra de endereço verde no Internet Explorer. A barra verde mostra aos visitantes do site que a transação está criptografada e que a organização foi autenticada de acordo com o padrão mais rigoroso do setor. Os phishers não podem mais ganhar dinheiro fazendo os visitantes pensar que estão em uma sessão SSL real. Embora os criminosos cibernéticos estejam se tornando hábeis em imitar sites legítimos, sem o certificado EV SSL da empresa não existe forma de exibir seu nome na barra de endereço, porque as informações mostradas ali estão além do controle dos criminosos. E eles não podem obter os certificados EV SSL legítimos da empresa devido ao rígido processo de autenticação. Educação de consumidores e funcionários Além de implementarem a tecnologia EV SSL, as empresas devem continuar a educar seus clientes e funcionários sobre práticas de Internet seguras e sobre como evitar fraudes cibernéticas. Eles devem ser ensinados a reconhecer os sinais de uma tentativa de phishing, incluindo: Erros de ortografia (menos comuns à medida que os phishers se tornam mais sofisticados) Saudações genéricas em vez de chamadas à ação personalizadas e urgentes Ameaças sobre o status de contas Solicitação de informações pessoais Nomes de domínio/links falsos Além disso, ensine estas táticas a seus clientes e funcionários para que reconheçam um site seguro e válido antes de fornecer quaisquer informações pessoais ou confidenciais: Procurar a barra verde Certificar-se de que a URL seja HTTPS Clicar no cadeado para comparar as informações do certificado com o site que desejam visitar Procurar um selo de confiança, como o Norton Secured Seal A educação é um componente do desenvolvimento da confiança necessária para superar os temores do phishing. Ao ajudar seus clientes a entenderem como confirmar que estão seguros em seu site, você pode aumentar receitas, diferenciar a sua oferta e/ou beneficiar-se da economia operacional com o crescimento das transações online. Phishers: adversários cibernéticos resistentes e mutantes O phishing continuará a evoluir para novas formas, tentando ao mesmo tempo aproveitar-se de comportamentos humanos como compaixão, confiança ou curiosidade. Proteger a sua marca e a sua empresa contra o phishing requer cuidados constantes, mas as recompensas estão muito além de reduzir as perdas por fraude. 7

8 Ao educar e proteger seus clientes com os níveis mais altos de proteção fornecidos por certificados EV SSL, sua empresa pode ajudar a garantir que os clientes tenham maior confiança em seus serviços online. Ao demonstrar liderança na segurança online, você pode ampliar seu apelo de mercado e, com isso, gerar novos fluxos de receita. Para obter as informações mais recentes sobre as tendências globais de phishing, leia o Symantec Monthly Intelligence Report (Relatório de inteligência mensal da Symantec). Glossário Autoridade de certificação (CA) Uma autoridade de certificação é uma organização confiável de terceiros que emite certificados digitais (como os certificados Secure Sockets Layer (SSL)) após verificar as informações incluídas nos certificados. Criptografia A criptografia é o processo de embaralhar uma mensagem para que apenas o destinatário desejado tenha acesso às informações. A tecnologia Secure Sockets Layer (SSL) estabelece um canal de comunicação privado no qual os dados podem ser criptografados durante a transmissão online, protegendo informações confidenciais contra a escuta eletrônica online. Certificado Extended Validation (EV) SSL Requer um alto padrão de verificação de certificados Secure Sockets (SSL), ditado por um terceiro, o CA/Browser Forum. No Microsoft Internet Explorer 7 e em outros navegadores de alta segurança conhecidos, sites protegidos com certificados Extended Validation SSL fazem com que a barra de endereço de URL fique verde. HTTPS Páginas da Web iniciando por https em vez de http habilitam a transmissão segura de informações por meio do protocolo http seguro. Https é uma medida de segurança que deve ser verificada no envio ou compartilhamento de informações confidenciais, como números de cartão de crédito, registros de dados pessoais ou dados de parceiros comerciais. Tecnologia Secure Sockets Layer (SSL) O SSL e seu sucessor, a segurança de camada de transporte (Transport Layer Security, TLS), usam criptografia para fornecer segurança às transações online. O SSL usa duas chaves para criptografar e descriptografar dados uma chave pública conhecida de todos e uma chave privada ou secreta conhecida apenas pelo destinatário da mensagem. Certificado SSL Um certificado Secure Sockets Layer (SSL) incorpora uma assinatura digital para vincular uma chave pública a uma identidade. Os certificados SSL habilitam a criptografia de informações confidenciais durante transações online e, no caso de certificados validados para a organização, também funcionam como um atestado da identidade do proprietário do certificado. 8

9 Sobre a Symantec A Symantec é líder global no fornecimento de soluções de gerenciamento de segurança, armazenamento e sistemas que ajudam consumidores e organizações a gerenciar seu mundo orientado por informações. Nossos softwares e serviços oferecem proteção contra mais riscos em mais locais, de forma mais completa e eficaz, aumentando a confiança sempre que informações são usadas ou armazenadas Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo circular com a marca de verificação e o logotipo do Norton Secured são marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas comerciais de seus respectivos proprietários. 8/