RELATÓRIO SOBRE AMEAÇAS DE SEGURANÇA DE SITES EM 2013 PARTE 2

RELATÓRIO SOBRE AMEAÇAS DE SEGURANÇA DE SITES EM 2013 PARTE 2

BEM-VINDO Bem-vindo ao Relatório da Symantec sobre ameaças de segurança de sites em 2013. A cada ano, publicamos um Relatório sobre ameaças de segurança na Internet ainda maior; este é um subconjunto desse documento que foca nas ameaças que afetam seu site e seus negócios online. Analisando o ano civil passado, ele fornece uma boa visão do estado do mundo online. É importante saber como manter e ampliar a confiança online, onde a reputação e o sucesso do seu negócio muitas vezes são medidos pela confiança dos clientes na segurança do seu site. Com essa finalidade, a certificação SSL/TLS tem sido o segredo para a confiança na Internet por mais de uma década, e continuará sendo no que se refere ao fornecimento dos mais altos níveis de proteção contra o aumento de ameaças à segurança cibernética. E, ainda que a tecnologia realmente seja sofisticada e de ponta, a meta é simples: tornar a Internet mais segura para a realização de transações comerciais para você, seus clientes e todos aqueles com quem você interage online. Use este documento como referência para entender o panorama de ameaças e como você pode proteger a sua empresa e a sua infraestrutura. E, para obter mais informações, entre em contato conosco pelo telefone +1 650-436-3400 ou visite o site Symantec-wss.com. 2

VULNERABILIDADES, EXPLORAÇÕES E TOOLKITS

VULNERABILIDADES, EXPLORAÇÕES E TOOLKITS Introdução Pesquisas recentes feitas pelo Instituto Ponemon sugerem que os custos resultantes dos crimes cibernéticos aumentaram 6% em 2012, com um crescimento de 42% no número de ataques cibernéticos. Esse valor é significativo, gerando para as empresas um custo médio de US$ 591.780 1. Devido à maior quantidade de vulnerabilidades e explorações, não é de surpreender que os criminosos cibernéticos tenham aprimorado sua capacidade de lucrar. São necessárias diversas habilidades para descobrir vulnerabilidades, criar maneiras de explorá-las e, então, realizar ataques com elas. Felizmente, para os criminosos cibernéticos, existe um mercado negro em que essas habilidades podem ser compradas como toolkits. Os hackers descobrem, exploram e vendem as vulnerabilidades. Os criadores dos toolkits descobrem ou compram códigos de exploração, incorporando-os a seus produtos. Os criminosos cibernéticos, por sua vez, compram ou roubam as últimas versões dos toolkits, o que permite a eles realizar ataques sem a preocupação de aprender as habilidades necessárias para colocar em prática toda a operação. Visão geral O uso de vulnerabilidades de dia zero subiu de 8 para 14 em 2012. Existe um mercado negro cada vez mais sofisticado por trás da indústria multibilionária de crimes online. Mais tarde, essas vulnerabilidades são comercializadas e adicionadas aos toolkits de ataques na Web, normalmente depois de se tornarem públicas. Em 2012, ataques drive-by na Web tiveram um terço de aumento, provavelmente impulsionado por malvertising. Cerca de 600.000 Macs foram infectados com o malware Flashback este ano. O toolkit Sakura, que teve pouco impacto em 2011, agora é responsável por aproximadamente 22% dos ataques de toolkit na Web, ultrapassando o Blackhole em alguns períodos do ano. Dados Vulnerabilidades de navegador 2010-2012 Fonte: Symantec Vulnerabilidades de plug-in 2010-2012 Fonte: Symantec 50% 45 40 Apple Safari Google Chrome Mozilla Firefox Microsoft Internet Explorer Opera 50% 45 40 Adobe Flash Player Oracle Sun Java Adobe Acrobat Reader Apple QuickTime 35 35 30 30 25 25 20 20 15 15 10 10 5 5 2010 2011 2012 2010 2011 2012 4

VULNERABILIDADES, EXPLORAÇÕES E TOOLKITS Vulnerabilidades totais Fonte: Symantec 600 500 400 300 200 100 0 JAN 527 422 FEB FEV MAR ABR APR MAY MAI JUN Vulnerabilidades de dia zero JUL 544 350 AGO AUG SEP SET 517 OUT OCT NOV 292 DEC DEZ Houve 5.291 vulnerabilidades relatadas em 2012, em comparação a 4.989 em 2011. As vulnerabilidades relatadas por mês em 2012 flutuaram entre 300 e 500 ao mês, aproximadamente. Em 2012, houve 85 vulnerabilidades públicas de SCADA (Sistemas de supervisão e aquisição de dados), uma enorme diminuição com relação às 129 vulnerabilidades de 2011. Houve 415 vulnerabilidades de dispositivos móveis identificadas em 2012, em comparação a 315 em 2011. Fonte: Symantec 3 2 1 A vulnerabilidade de dia zero é explorada em campo antes de se tornar pública e antes de um patch estar publicamente disponível. Houve 14 vulnerabilidades de dia zero relatadas em 2012. Houve até três vulnerabilidades de dia zero relatadas em cada mês. JAN FEV MAR ABR MAI JUN JUL AGO SET OUT NOV DEZ 5

VULNERABILIDADES, EXPLORAÇÕES E TOOLKITS Análise O aumento de ataques na Web O número de ataques na Web teve aumento de quase um terço. Esses ataques infectam empresas e consumidores de maneira silenciosa, enquanto eles visitam um site comprometido. Em outras palavras, você pode ser infectado simplesmente ao visitar um site legítimo. Normalmente, os invasores infiltram-se no site para instalar seus toolkits de ataque e cargas de malware, sem o conhecimento do proprietário do site ou das vítimas potenciais. Muitas vezes, a carga de malware liberada pelos toolkits de ataque na Web é polimórfica do lado do servidor ou gerada dinamicamente, impedindo que as empresas que tenham a proteção de um antivírus baseado em assinatura se protejam contra esses ataques silenciosos. Uma parte oculta do JavaScript ou algumas linhas de código que direcionam a outro site podem instalar um malware muito difícil de ser detectado. Depois, esse malware procura vulnerabilidades no navegador ou no sistema operacional de cada visitante, até encontrar alguma que poderá ser usada, instalando, com ela, o malware no computador do visitante. Esses ataques são bem sucedidos porque os sistemas das empresas e dos consumidores não estão atualizados com os últimos patches dos plug-ins dos navegadores, como o Adobe Flash Player e Acrobat Reader, e a plataforma Java, da Oracle. Ao mesmo tempo em que a falta de atenção faz com que os consumidores não se atualizem, nas grandes empresas versões antigas desses plug-ins são necessárias para executar sistemas empresariais críticos, dificultando a atualização para as últimas versões. Essas dificuldades de gerenciamento de patches, junto com as vagarosas taxas de implantação, tornam as empresas especialmente vulneráveis a ataques na Web. É importante lembrar que o volume de vulnerabilidades não está relacionado aos níveis de risco elevados. Uma única vulnerabilidade em um aplicativo pode apresentar um risco crítico a uma organização, se explorada com êxito. A análise de risco de vulnerabilidades exploradas em toolkits de ataques na Web é uma área em que a Symantec trabalhará mais em 2013. Na verdade, não é a vulnerabilidade de dia zero mais recente a responsável pelo grande êxito dos ataques na Web. O número de ataques provenientes de sites comprometidos aumentou 30%, ao passo que as descobertas de vulnerabilidades aumentaram apenas 6%. Basicamente, são as vulnerabilidades antigas e sem patches que comprometem a maioria dos sistemas. A corrida armamentista para explorar novas vulnerabilidades Este ano, vimos aumentar as vulnerabilidades de dia zero. Em 2012, houve 14 vulnerabilidades não relatadas usadas primeiramente em campo. Em 2011, foram 8. No geral, as vulnerabilidades relatadas subiram um pouco em 2012, de 4.989 em 2011 para 5.291 em 2012. As vulnerabilidades em dispositivos móveis também aumentaram: de 315 em 2011 para 415 relatadas em 2012. Grupos organizados, como a equipe por trás dos ataques Elderwood, têm trabalhado para descobrir novos pontos fracos em softwares de uso cotidiano, como navegadores da Web e plug-ins de navegadores. Quando uma vulnerabilidade se torna pública, eles conseguem implantar uma nova rapidamente, o que demonstra a sofisticação dos grupos que criam as vulnerabilidades. Existe uma corrida armamentista entre os criminosos da Internet e os desenvolvedores de softwares legítimos. A habilidade dos criminosos em descobrir e implantar rapidamente novas vulnerabilidades não é proporcional à habilidade dos fornecedores de softwares em achar soluções e lançar patches. Algumas empresas de software lançam patches apenas uma vez a cada trimestre; outras tardam a tomar conhecimento das vulnerabilidades. Mesmo que façam boas atualizações, as empresas muitas vezes demoram a implantá-las. Ao passo que as vulnerabilidades de dia zero apresentam uma séria ameaça à segurança, as vulnerabilidades conhecidas (e até mesmo com patches) são perigosas se ignoradas. Muitas empresas e consumidores deixam de fazer as atualizações a tempo. Para os criminosos, os toolkits que visam a vulnerabilidades bem conhecidas facilitam atacar milhões de computadores e encontrar os que estão passíveis de ser infectados. Na verdade, as vulnerabilidades mais exploradas não são as mais atuais. 6

VULNERABILIDADES, EXPLORAÇÕES E TOOLKITS Malvertising e ataques a sites Como um hacker adiciona código a um site legítimo? Existem toolkits disponíveis que facilitam esse trabalho. Por exemplo, em maio de 2012, o toolkit LizaMoon usou uma técnica de injeção de SQL para afetar pelo menos um milhão de sites 2. Outras abordagens são: Explorar uma vulnerabilidade conhecida na hospedagem do site ou no software de gerenciamento de conteúdo Usar phishing, spyware ou engenharia social para conseguir a senha do webmaster Invadir a infraestrutura de back-end do servidor Web, como painéis de controle ou bancos de dados Pagar para hospedar um anúncio que contenha a infecção. A última técnica, conhecida como malvertising (do inglês malicious advertising, ou propaganda mal-intencionada), significa que os sites legítimos podem sofrer impacto sem nem mesmo estarem comprometidos. Esse tipo de ataque parece ser bastante comum. Usando um software experimental de verificação, a Symantec descobriu que metade dos sites testados foi infectada por malvertising. O malvertising abre uma trilha de ataque que os hackers podem usar para comprometer um site, sem precisar invadir o site propriamente dito. O uso desses anúncios mal-intencionados permite que infectem os usuários de maneira silenciosa, muitas vezes instalando malwares criados dinamicamente, os quais o antivírus sozinho não é capaz de detectar. Anúncio online de um toolkit de malware. Uma prova da seriedade do problema é que o Google e outros mecanismos de busca fazem uma verificação à procura de malwares e de sites que contenham malware e estejam inseridos na lista negra. Houve ocasiões em que grandes redes de anúncios foram atacadas por malvertising, causando impacto em alguns dos maiores nomes da mídia online 3. Situações como essa podem ter um grande impacto em sites cujos resultados muitas vezes dependem de receita, diminuindo inclusive sua credibilidade aos olhos dos leitores. Com dezenas de redes e constante rotatividade de anúncios, rastrear e prevenir-se contra o malvertising é um grande desafio. 7

VULNERABILIDADES, EXPLORAÇÕES E TOOLKITS Toolkits de ataque na Web Uma coisa é descobrir novas vulnerabilidades. Outra é implementar um modo de explorá-las. Empreendedores criminosos as transformam em toolkits que usuários menos sofisticados podem comprar e usar. Assim como os softwares comerciais, eles têm até suporte e garantias. Os autores aceitam pagamentos feitos por meio de serviços online com contas numeradas anônimas. Os principais toolkits de ataque na Web em porcentagem Fonte: Symantec Sakura 22% 10% Phoenix 7% Redkit Os toolkits de ataque servem para criar uma variedade de malwares e atacar sites. O famoso toolkit Blackhole é um exemplo notório. Essa estratégia de atualização sugere que há uma espécie de fidelidade à marca e que os autores estão prosperando com ela do mesmo modo que os fornecedores de softwares legítimos prosperam com suas atualizações e novas edições. Blackhole 41% Outros 20% O Blackhole continuou a marcar presença em 2012, sendo responsável por 41% de todos os ataques na Web. Em setembro, uma versão atualizada do toolkit também foi lançada, chamada Blackhole 2.0. No entanto, o domínio do Blackhole pode estar começando a cair, uma vez que outro toolkit de ataque na Web o ultrapassou durante alguns meses na última metade de 2012. O Sakura, um novo concorrente no mercado, respondeu, em seu pico, por 60% da atividade de toolkits, e por 22% do total de uso de toolkits em 2012. Aproximadamente 41% dos ataques de toolkit na Web estavam relacionados ao Blackhole em 2012, em comparação a 44% em 2011. O toolkit Sakura não esteve entre os dez principais em 2011, mas agora é responsável por 22% dos ataques de toolkits na Web, ultrapassando o Blackhole em alguns períodos do ano. Toolkits de ataque na Web ao longo do tempo Fonte: Symantec 90% Outros 80 70 Blackhole 60 50 Sakura 40 Nuclear 30 20 Redkit 10 Phoenix JAN FEV MAR ABR MAI JUN JUL AGO SET OUT NOV DEZ 8

VULNERABILIDADES, EXPLORAÇÕES E TOOLKITS Verificação de malware e avaliação de vulnerabilidade em sites Em 2012, a tecnologia Website Security Solutions (anteriormente VeriSign) da Symantec verificou mais de 1,5 milhão de sites como parte de seus serviços de verificação de malware e avaliação de vulnerabilidade em sites. Mais de 130.000 URLs foram verificados quanto a malware todos os dias, sendo encontrado um site infectado com malware em cada 532 sites. A forma mais comum de comprometimento foi pelo uso de downloads não solicitados. Além disso, ao avaliar vulnerabilidades potencialmente exploráveis em sites, mais de 1.400 verificações de vulnerabilidade foram feitas todos os dias. Descobriu-se que aproximadamente 53% dos sites verificados tinham vulnerabilidades sem patch potencialmente exploráveis (36% em 2011), das quais 24% foram consideradas críticas (25% em 2011). A vulnerabilidade mais encontrada foi a de cross-site scripting (XSS). O crescimento das conexões seguras Um dos modos de avaliar o crescimento do uso de SSL é monitorar a mudança nas estatísticas das pesquisas por OCSP (Online Certificate Status Protocol, usado para obter o status de revogação de um certificado digital) e CRL (Lista de revogação de certificados). Quando uma conexão SSL segura é iniciada, uma verificação de revogação é realizada com o uso do OCSP ou da CRL, e rastreamos quantas pesquisas passam pelo nosso sistema. Esse é um indicativo de crescimento do número de sessões SSL seguras realizadas online. Isso pressupõe que mais pessoas estão ficando online e usando conexões seguras (por exemplo, representando um crescimento nas transações de e-commerce na Web). Isso também demonstra o impacto da maior adoção de SSL, em mais lugares e para mais usos, como o crescimento da adoção de certificados SSL Extended Validation, que indicam a segurança do site com a exibição de uma barra de endereços verde no navegador, e do Always On SSL (amplamente adotado em 2012 por redes sociais, serviços de busca e provedores de e-mail online). Além disso, esse pode ser um resultado do uso de outros dispositivos que permitem acesso online além dos computadores tradicionais e dos laptops, como smartphones e tablets. Em 2012, a Symantec identificou que o número médio de pesquisas por OCSP cresceu 31% entre 2011 e 2012, com mais de 4,8 bilhões de pesquisas realizadas por dia em 2012. O pico de pesquisas por OCSP foi 5,8 bilhões em um único dia, em 2012. Vale notar que o OCSP é uma metodologia de verificação de revogação mais atual. Ainda, as pesquisas pela CRL da Symantec cresceram 45% entre 2011 e 2012, sendo aproximadamente 1,4 bilhão por dia, com um pico de 2,1 bilhões. A CRL é a tecnologia de pesquisa mais antiga, substituída pelo OCSP. Selo Norton Secured e marcas de confiança Em 2012, um número maior de consumidores visitou sites com marcas de confiança (como o Selo Norton Secured) do que em 2011. Com base na análise de estatísticas das próprias marcas de confiança da Symantec, pode-se ver um aumento de 8% em 2012. O Selo Norton Secured foi visualizado mais de 750 milhões de vezes por dia em 2012, pois uma quantidade maior de usuários online tem precisado de segurança mais forte para proteger suas atividades. Roubo de certificados com assinatura de chaves O ano de 2012 continuou a mostrar que as grandes e pequenas organizações estavam suscetíveis a se tornar participantes involuntárias da rede de distribuição de malware. Temos visto cada vez mais atividades de malware sendo assinadas com certificados legítimos com assinatura de código. Como o código do malware é assinado, ele parece ser legítimo, o que facilita sua propagação. Muitas vezes, os desenvolvedores de malware usam chaves privadas com assinatura de código roubadas. Eles atacam autoridades de certificação e, uma vez dentro de suas redes, procuram e roubam chaves privadas. Em outros casos, práticas de segurança fracas permitem a eles comprar certificados legítimos com identidades falsas. Por exemplo, em maio de 2012, a Comodo, uma grande autoridade de certificação, autenticou e emitiu um certificado legítimo de assinatura de código para uma organização fictícia administrada por criminosos cibernéticos 4. 9

RECOMENDAÇÕES Use uma ampla gama de tecnologias de proteção Se o panorama das ameaças fosse menos avançado, a tecnologia de verificação de arquivos (comumente chamada de antivírus) seria suficiente para impedir infecções por malware. No entanto, com toolkits disponíveis para a criação de malwares sob demanda, malwares polimórficos e explorações de dia zero, um antivírus não é o bastante. A proteção baseada em rede e a tecnologia de reputação devem ser implantadas nos pontos de extremidade a fim de ajudar a prevenir os ataques. Também, os bloqueios de comportamentos e as verificações agendadas de arquivos devem ser usados para ajudar a encontrar malwares que impedem a defesa preventiva. Proteja seus sites públicos Considere usar o Always On SSL para criptografar as interações dos visitantes em todo o site, e não apenas nas páginas de confirmação ou inscrição. Lembre-se de atualizar seu sistema de gerenciamento de conteúdo e o software do servidor Web do mesmo modo que faria com o computador de um cliente. Execute as ferramentas de verificação de vulnerabilidade e malware em seus sites para detectar problemas rapidamente. Para proteger essas credenciais contra engenharia social e phishing, use senhas fortes para as contas de administradores e outros serviços. Limite o acesso por login a servidores Web importantes aos usuários que precisam dele. Adotar uma abordagem Always On SSL ajuda a proteger as informações da conta contra conexões não criptografadas, além de deixar os usuários finais menos vulneráveis a ataques man-in-the-middle. Proteja os certificados com assinatura de código Os proprietários de certificados devem aplicar políticas rigorosas de proteção e privacidade para proteger suas chaves. Isso significa segurança física eficaz (o uso de módulos de segurança de hardware com criptografia) e segurança de rede e pontos de extremidade eficaz, incluindo a prevenção contra perda de dados em servidores envolvidos na assinatura de código, bem como a segurança completa em aplicativos usados para assinar código. Além disso, as autoridades de certificação precisam assegurar-se de que estejam usando as melhores práticas em cada etapa do processo de autenticação. Seja assertivo com atualizações de software e reveja seus processos de patch A maioria dos ataques na Web explora as 20 vulnerabilidades mais comuns. Consequentemente, instalar patches para vulnerabilidades conhecidas prevenirá os ataques mais comuns. É essencial atualizar e aplicar patches rapidamente em todos os softwares. Em particular, com riscos como os ataques Flashback que usaram Java, é importante executar as últimas versões dos softwares ou simplesmente não usá-los. O mesmo vale para diretores de tecnologia que gerenciam milhares de usuários, para proprietários de pequenas empresas com dezenas de funcionários ou para usuários domésticos. Atualize, aplique patches e migre de navegadores, plug-ins de navegador e aplicativos desatualizados e inseguros para as versões mais recentes disponíveis usando os mecanismos de atualização automática dos fornecedores, principalmente no que diz respeito às principais vulnerabilidades de software exploradas. A maioria dos fornecedores de software trabalha diligentemente para corrigir vulnerabilidades de software exploradas, porém esses patches podem mostrar eficácia apenas se adotados em campo. Tenha cuidado com a implantação de imagens corporativas padrão que contenham versões mais antigas, desatualizadas e inseguras de navegadores, plug-ins de navegador e aplicativos. Considere remover plugins vulneráveis de imagens para funcionários que não precisem do software. Sempre que possível, automatize as implantações de patches para manter a proteção contra vulnerabilidades em toda a organização. 10

REDES SOCIAIS, DISPOSITIVOS MÓVEIS E A NUVEM

REDES SOCIAIS, DISPOSITIVOS MÓVEIS E A NUVEM Spam e phishing migram para a mídia social Nos últimos anos, vimos um aumento significativo da ocorrência de spam e phishing nos sites de mídia social. Os criminosos seguem os usuários até os sites mais populares. Assim como o Facebook e o Twitter têm crescido em popularidade para os usuários, eles também têm atraído mais atividades criminosas. Porém, no último ano, os criminosos online também começaram a visar sites mais novos que crescem rapidamente, como Instagram, Pinterest e Tumblr. Entre as ameaças típicas estão vales-presentes e fraudes de pesquisas. Esses tipos de ofertas falsas são responsáveis por mais da metade (56%) de todos os ataques a mídias sociais. Por exemplo, em uma fraude a vítima vê uma publicação no mural do Facebook de alguém ou no feed do Pinterest (onde o conteúdo que aparece é de pessoas que ela segue ou está inserido em categorias específicas) que diz: Clique aqui para ganhar um vale-presente de US$ 100. Quando o usuário clica no link, ele é levado a um site em que deve se cadastrar para receber as ofertas, revelando informações pessoais durante o processo. Os spammers recebem uma taxa para cada registro e, claro, não há vale-presente algum ao final do processo. Site falso com pesquisa fraudulenta. Fraude típica em mídias sociais. Outro truque é usar um site falso para persuadir a vítima a revelar informações pessoais e senhas como, por exemplo, as informações de conta no Facebook ou no Twitter. Essas fraudes de phishing são traiçoeiras e, muitas vezes, exploram o fascínio das pessoas por celebridades como atletas profissionais, astros de cinema ou cantores. Houve um aumento desse tipo de fraude, cujas vítimas são países específicos e suas celebridades. Em 2012, podem-se observar ameaças crescentes contra sites de mídias sociais, além de surgirem cada vez mais novos canais e plataformas, principalmente aqueles disponíveis apenas para aplicativos móveis. É provável que esses canais sociais para dispositivos móveis se tornem mais visados em 2013, especialmente os que são voltados para adolescentes e jovens adultos, que podem não saber reconhecer tais ataques e divulgam com mais facilidade suas informações pessoais. 12

RECOMENDAÇÕES Ameaças a mídias sociais são um problema para as empresas Geralmente, as empresas não querem bloquear completamente o acesso a sites de mídias sociais, mas precisam encontrar maneiras de se proteger contra malwares baseados na Web nesses e em outros sites. Isso significa ter um software de segurança em várias camadas na rede global da empresa e no computador do cliente. Também é preciso haver uso agressivo de patches e atualizações para reduzir os riscos de infecções por downloads não solicitados. Por último, educar os usuários e empregar políticas claras é essencial, principalmente com relação à quantidade de informações pessoais que os usuários disponibilizam online. 13

MALWARE, SPAM E PHISHING

MALWARE, SPAM E PHISHING Malwares e engenharia social continuam a ser problemas muito graves. Embora existam há bastante tempo, os ataques continuam a evoluir e ainda têm potencial para causar sérios danos a consumidores e empresas. Além disso, eles afetam a todos ao enfraquecer a confiança na Internet. Essas ameaças crônicas não recebem muita atenção da imprensa porque são ruídos de fundo, o que não quer dizer que não tenham importância. Uma boa comparação seria a diferença entre acidentes de avião e acidentes de carro. Um único acidente de avião torna-se notícia de âmbito nacional, mas as mortes diárias nas estradas não são noticiadas, apesar de matarem um número significativamente maior de pessoas todos os anos 5. A popularidade do ransomware é um exemplo disso. Ele bloqueia permanentemente o acesso de uma pessoa a seu computador, a não ser que ela pague uma multa de resgate aos perpetradores. Ele destrói a confiança, é caro para remediar e revela um novo grau de agressividade e sofisticação. Os números falam por si só. Um exemplo é o malware chamado Reveton (também conhecido como Trojan. Ransomlock.G), que foi detectado tentando infectar 500.000 computadores em um período de 18 dias. De acordo com uma pesquisa recente da Symantec com 13.000 adultos em 24 países, o prejuízo médio por cada incidente de crime cibernético é de US$ 197 6. Nos últimos 12 meses, estima-se que 556 milhões de adultos no mundo todo sofreram algum tipo de crime cibernético. Visão geral Com o ransomware, os malwares tornaram-se mais perversos e lucrativos. A quantidade de spam por e-mail caiu novamente, em 29% em 2012, pois os spammers migraram para as mídias sociais. O phishing tornou-se mais sofisticado e tem como alvo os sites de redes sociais. Um ransomware irreversível bloqueia o acesso de uma pessoa a seu computador, a não ser que se pague uma multa, o que na maioria dos casos não desbloqueia o computador. 15

MALWARE, SPAM E PHISHING Malware Um em cada 291 e-mails continha algum vírus em 2012, uma queda com relação a um em cada 239 em 2011. Dos malwares transmitidos por e-mail, 23% continham URLs que direcionavam para sites mal-intencionados. Esse número também caiu com relação a 2011, quando 39% dos malwares transmitidos por e-mail continham um link para algum site mal-intencionado. Assim como na queda do número de spams e phishing, uma queda na quantidade de e-mails que contém vírus não significa, necessariamente, que os invasores pararam de visar os usuários. Na verdade, é mais provável que isso indique uma mudança de tática, tendo como alvo outras atividades online, como as mídias sociais. As cinco principais atividades visadas por malwares, por setor Setor 1 em Setor público 1 em 72 Educação 1 em 163 Finanças 1 em 218 Marketing/Mídia 1 em 235 Hospedagem/alimentação 1 em 236 As cinco principais atividades visadas por malwares, por localização País 1 em Holanda 1 em 108 Luxemburgo 1 em 144 Reino Unido 1 em 163 África do Sul 1 em 178 Alemanha 1 em 196 As cinco principais atividades visadas por malwares, por porte empresarial Porte empresarial 1 em 1-250 1 em 299 251-500 1 em 325 501-1.000 1 em 314 1.001-1.500 1 em 295 1.501-2.500 1 em 252 2.501+ 1 em 252 Proporção de tráfego de e-mails em que foi detectado vírus 2012 vs 2011 Fonte: Symantec 1 em 50 1 em 100 1 em 150 1 em 200 1 em 250 1 em 300 A quantidade geral diminuiu, com 1 em 291 e-mails contendo vírus. Em 2011, a taxa média para malwares transmitidos por e-mail foi de 1 em 239. 1 em 350 1 em 400 JAN FEV MAR ABR MAI JUN JUL AGO SET OUT NOV DEZ 2011 2012 16

MALWARE, SPAM E PHISHING Proporção de tráfego de e-mails contendo malware de URL 2012 vs 2011 Fonte: Symantec 70% 60 50 40 30 O número de e-mails contendo URL mal-intencionado caiu significativamente em 2012. Em alguns meses, o número ficou em menos da metade da taxa no mesmo mês de 2011. 20 10 JAN FEV MAR ABR MAI JUN JUL AGO SET OUT NOV DEZ 2011 2012 Em 2012, aproximadamente 23% dos malwares em e-mails continham um URL em vez de um anexo, em comparação a 39% em 2011. Malwares de site bloqueados por dia Fonte: Symantec MILHARES 400 350 300 250 200 150 100 Em 2012, aproximadamente 247.350 ataques baseados na Web foram bloqueados por dia. Em 2011, esse número foi de aproximadamente 190.370 por dia. Isso representa um aumento de 30%. 50 0 JUL AGO SET OUT NOV DEZ JAN FEV MAR ABR MAI JUN JUL AGO SET OUT NOV DEZ 2011 2012 17

MALWARE, SPAM E PHISHING Explorações de sites por tipo de site A categoria Empresarial, que abrange serviços e produtos industriais e de consumo, ficou no topo da lista este ano. A causa pode ser o número de sites de pequenas e médias empresas que são comprometidos porque os investimentos necessários para protegê-los não são feitos. Atividades de hackers, incluindo sites que promovem ou fornecem os meios para a realização de atividades de hackers, pularam para o segundo lugar, mesmo não tendo ficado entre as 15 primeiras da lista em 2011. A categoria Tecnologia e Telecomunicações, que fornece informações relacionadas a computadores, Internet e telecomunicações, ficou em terceiro lugar este ano, mas responde por 5,7% do total de sites comprometidos, uma queda de apenas 1,2% com relação a 2011. Os sites de compras que possibilitam a aquisição de produtos ou serviços online permanecem entre as cinco primeiras posições, mas a categoria Compras teve uma queda de 4,1%. É interessante notar que o setor de Hospedagem, que ficou em segundo lugar em 2011, caiu para sétimo este ano. Esse setor abrange serviços que fornecem a indivíduos e organizações acesso a sistemas online de sites ou armazenamento. Por causa do aumento de serviços similares ao Google, ao Dropbox e outros, pode-se notar uma diminuição no uso de soluções de hospedagem não confiáveis, o que pode ter contribuído para a queda. Os blogs também sofreram uma queda significativa em 2012, caindo para a quarta posição. Isso pode embasar a teoria de que as pessoas estão migrando para as redes sociais e trocando informações por meio delas. É fácil para os desenvolvedores de malware inserir código mal-intencionado nesses sites e difundi-lo usando diferentes meios. Explorações de sites por tipo de site Fonte: Symantec Os dez principais malwares de 2012 Fonte: Symantec Principais categorias de domínio exploradas, por nº de sites 1 Empresarial 7,7% 2 Atividades de hackers 7,6% 3 Tecnologia e Telecomunicações 5,7% 4 Blogs 4,5% 5 Compras 3,6% 6 Domínio conhecido de malware 2,6% 7 Hospedagem 2,3% 8 Setor automotivo 1,9% 9 Saúde 1,7% 10 Educação 1,7% Com base em dados do Norton Safe Web a tecnologia da Symantec que vistoria a Web procurando sites que hospedem malware determinamos que 61% dos sites mal-intencionados são, na verdade, sites comuns que foram comprometidos e infectados com código malintencionado. Classificação Classificação Nome do malware % 1 W32.Sality.AE 6,9% 2 W32.Ramnit.B 5,1% 3 W32.Downadup.B 4,4% 4 W32.Virut.CF 2,2% 5 W32.SillyFDC 1,1% 6 W32.Mabezat.B 1,1% 7 W32.Xpaj.B 0,6% 8 W32.Changeup 0,6% 9 W32.Downadup 0,5% 10 W32.Imaut 0,4% Nº de sites infectados/ nº total de sites infectados 18

MALWARE, SPAM E PHISHING Malware dissimulado de longo prazo Os criminosos da Internet também estão ganhando dinheiro com malwares que ficam ocultos nos computadores das vítimas. Operando em botnets com milhares de computadores agindo coletivamente, esses programas dissimulados enviam spams ou geram cliques fraudulentos em anúncios de sites (que geram tráfego de referência para os proprietários dos sites). Essas técnicas não geram retorno rápido como o ransomware; porém, é bem menos provável que sejam descobertas e, graças à codificação inteligente, são mais difíceis de remover. Consequentemente, elas podem gerar um fluxo constante de renda ao longo do tempo. Phishing avançado Enquanto o spam apresentou um leve declínio em 2012, os ataques de phishing aumentaram. Os phishers estão usando sites falsos muito sofisticados em alguns casos, réplicas perfeitas de sites reais para enganar as vítimas, fazendo com que passem informações pessoais, senhas, informações de cartão de crédito e credenciais bancárias. No passado, eles usavam mais e-mails falsos, mas agora, além deles, usam também links semelhantes postados em sites de mídia social para atrair as vítimas a esses sites de phishing mais avançados. Entre os sites falsos típicos estão os de bancos e companhias de cartão de crédito, como é de se esperar, mas também há sites de mídia social. O número de sites que se fizeram passar por sites de rede social aumentou 123% em 2012. Se os criminosos conseguirem capturar suas informações de login das mídias sociais, poderão usar sua conta para enviar e-mails de phishing a todos os seus amigos. Uma mensagem vinda de um amigo parece muito mais confiável. Outro modo de usar uma conta de mídia social invadida é enviar uma mensagem falsa aos amigos de uma pessoa sobre algum tipo de urgência. Por exemplo: Socorro! Estou retido em outro país e minha carteira foi roubada. Por favor, envie US$ 200 assim que possível. Em uma tentativa de burlar softwares de filtragem e segurança, os criminosos usam endereços de sites complexos e serviços aninhados de encurtamento de URLs. Também usam engenharia social para motivar as vítimas a clicar em links. No último ano, os temas principais das mensagens foram celebridades, filmes, personalidades do esporte e gadgets atraentes, como smartphones e tablets. O número de sites de phishing que usaram certificados SSL na tentativa de criar uma falsa sensação de segurança nas vítimas aumentou 46% em 2012, em comparação com o ano anterior. Vimos um aumento significativo (três vezes mais) do phishing em idiomas diferentes do inglês em 2012. Em particular, houve um aumento relevante na Coreia do Sul. Outros idiomas além do inglês que tiveram o maior número de sites de phishing foram francês, italiano, português, chinês e espanhol. 19

RECOMENDAÇÕES Proteja-se contra a engenharia social Tanto para indivíduos como para empresas, é essencial que se aprenda a identificar os sinais que denunciam a engenharia social; entre outros, pressão excessiva, euforia ou falsa sensação de urgência, uma oferta que literalmente é boa demais para ser verdade, tom oficial como tentativa de fazer algo parecer autêntico (por exemplo, longos números de referência), pretextos improváveis (por exemplo, um representante da Microsoft liga para dizer que seu computador está com vírus) e ofertas falsas perante cessão de informações (por exemplo, receba um brinde se você fornecer informações pessoais ou confidenciais). Pense antes de clicar Aquele e-mail não solicitado de um conhecido, como sua mãe ou um colega de trabalho, pode não ser legítimo. A conta deles pode ter sido comprometida, caso tenham sido enganados por um truque de engenharia social. 20