Mostrando postagens com marcador Phishing. Mostrar todas as postagens
Mostrando postagens com marcador Phishing. Mostrar todas as postagens

Você consegue identificar um ato de Engenharia Social?

Eu já comentei aqui, em posts anteriores, que os ataques por meio de mensagens falsas, recebidas por e-mail, SMS e aplicativos de mensagens, aumentaram consideravelmente durante a pandemia do Covid-19. O principal motivo é que não foram só as pessoas de bem que ficaram de quarentena, pessoas mal intencionadas também estão em casa. Essas pessoas mal intencionadas tiveram que se reinventar e se aproveitaram da comoção que a doença causou. E o instrumento mais fácil para roubar dinheiro em tempos de quarentena foi utilizando a engenharia social. 

Mas o que é Engenharia Social? 

Engenharia Social é a habilidade de conseguir acesso a informações confidenciais ou a áreas importantes de uma instituição através de habilidades de persuasão. Ou seja, ela se baseia na ação manipular psicologicamente pessoas e com isso conseguir acesso ilegal à informações. 
De vez em quando eu falo nas minhas redes sociais sobre não clicar em links suspeitos. E o motivo? Essa é a forma mais básica de engenharia social. 

Confira algumas técnicas de ataques de engenharia social que devemos ficar atentos: 


  • Pretextos: São histórias inventadas pelos criminosos para criar uma situação que vai fisgar o usuário, criando um vínculo emocional com a vítima e com isso, coletar dados da vítima para executar outras técnicas de engenharia social. 
  • Baiting (Isca): O criminoso deixa um dispositivo, como um Pen Drive infectado por algum malware, em um local público. Alguém encontra o dispositivo e conecta no seu computador pessoal para ver o que tem dentro e assim recebe algum malware cujo objetivo é roubar informações. 
  • Quid Pro Quo: Seduz usuários com prêmios de luxo ou descontos absurdos em produtos caros. Basicamente oferece algo para a vítima. Mas para isso, a pessoa precisa preencher algum formulário ou fazer um depósito de “garantia”. Quase todos nós conhecemos alguém que caiu (ou quase caiu) num ataque desses. 
  • Phishing: Lembra dos e-mails falsos? Então! Essa é uma estratégia usada pelos cibercriminosos para enganar  o usuário a revelar informações pessoais por meio de sites falsos mas muuuuuito parecidos com os sites originais.  
  • Spear phishing: É uma campanha direcionada a funcionários de empresas cujo objetivo é roubar informações. Nessa técnica o criminoso estuda o alvo previamente (o pessoal não tem costume de postar a vida inteira nas redes sociais? Esse é o melhor lugar para pesquisa). Depois o criminoso faz contato com essa pessoa, e parecerá extremamente relevante à vítima. Num desses contatos o criminoso envia algum contato com um link estranho, porém ele já terá a confiança da vítima. Depois de conseguir enviar o malware com sucesso, este estará no ambiente da empresa. 
  • Vishing: É o call center falso. Essa abordagem se dá por meio de ligação telefônica. Utilizando a engenharia social, o criminoso tenta convencer a vítima de entregar informações pessoais por telefone. 
  • Farming: Nessa técnica, o criminoso analisa o perfil das vítimas em mídias sociais e tenta uma aproximação com ela. Aqui o criminoso tenta enganar a vítima pelo maior tempo que conseguir para extrair o maior número de informações possíveis. 

Como se proteger das técnicas de engenharia social? 

Primeiro de tudo, tenha calma! Recebeu uma ligação de sequestro? Um SMS/e-mail de que sua conta foi comprometida? Calma! Os criminosos sabem que cometemos muitos erros quando estamos sob pressão.  
Controle a sua curiosidade! Phishing, vishing e spear phishing são técnicas que dependem de você (candidato a vítima) para executar uma ação.por isso, não clique e nem repasse mensagens suspeitas. 
Seja consciente, não compartilhe senhas! Não utilize a mesma senha em mais de um serviço! Altere sua senha frequentemente! Dá para fazer um outro post só falando de senhas... 
Tenha bom senso! Você participou de algum sorteio da empresa XPTO? Não, mas é cliente? Os criminosos sabem disso! Não se engane, ninguém ganha um sorteio sem participar de uma promoção. 
Evite ao máximo dar informações pessoais. Sabe aquele desodorante que você comprou na farmácia? Não precisa dar seus dados para efetuar um cadastro por causa de um desodorante. Lembre-se, os dados são seus. Você pode não informar. É um direito seu. Isso faz parte dos seus direitos em relação a Privacidade, assunto que falta na cultura do brasileiro. Tem um vídeo (só 2 minutos) que ilustra isso muito bem: 

Os criminosos sabem como nos atingir. Quando não sabem, usam um grande número de vítimas para extrair informações por tentativa e erro. Fique atento! 😉

Notícias de SegInfo da semana: temos vazamentos na Gerdau, GoDaddy e previdência do BB, phishing com tema do Teams e falsos cofres de senhas na Google Play Store

Olá Pessoal
Nas notícias em destaque sobre Segurança da Informação temos o roubo milionário na Gerdau, e-mails phishings que falsificam notificações no Teams, a falsa sensação de segurança que alguns "cofres de senha" passam para clientes da Google Play Store e vazamentos na GoDaddy e Previdência BB.  

Clique na imagem para vê-la em tamanho real

➡ Falsa segurança: “cofres virtuais” para Android, na verdade, estão roubando seus dados: https://thehack.com.br/falsa-seguranca-cofres-virtuais-para-android-na-verdade-estao-roubando-seus-dados/

➡ Acesso sem credenciais leva R$ 30 milhões de conta da Gerdau: https://www.cisoadvisor.com.br/acesso-sem-credenciais-leva-r-30-milhoes-de-conta-da-gerdau/
E ainda sobre a Gerdau, alguns especialistas têm hipóteses para explicar como aconteceu o furto na conta da Gerdau: https://www.cisoadvisor.com.br/fraude-ou-falha-4-analises-sobre-o-roubo-de-r-30-milhoes/


➡ GoDaddy divulga uma violação de dados, credenciais de conta de hospedagem estão expostas na web: https://securityaffairs.co/wordpress/102767/data-breach/godaddy-discloses-data-breach.html

➡ Previdência Privada do Banco do Brasil vaza dados de 153 mil clientes: https://olhardigital.com.br/noticia/-exclusivo-banco-do-brasil-vaza-dados-pessoais-de-153-mil-clientes/100395

Até mais, 😊

Como identificar e evitar e-mails phishing?

É extremamente difícil ouvir alguém que nunca recebeu um e-mail phishing. Para quem não sabe:

O que é um e-mail phishing?

Um e-mail phishing normalmente quer roubar informações da pessoa que recebeu um e-mail. São e-mails de fraude. Eles simulam algo real, fazem você pensar que está lidando com uma empresa/organização.

Como evitar e-mails phishing?

Vou deixar uma imagem bem explicativa abaixo, mas o passo-a-passo é o seguinte:

  1. Confira quem está encaminhando o e-mail e qual informação ele te traz;
  2. Nunca, em hipótese nenhuma, forneça informações pessoais;
  3. Não abra anexos de e-mails suspeitos. O e-mail phishing pode conter arquivos em anexos com conteúdos maliciosos;
  4. Links suspeitos são um forte indício de um ataque phishing, não clique;
  5. Desconfie de e-mails com urgência ou com um tom de ameaça. Tenha muito cuidado com e-mails que alegam que sua "conta foi suspensa", ou sua conta teve uma "tentativa de login não autorizada", ou então e-mails dizendo que "teve uma atualização no sistema de segurança do banco";
  6. Invista na educação das pessoas que trabalham na mesma empresa que você. Muitos problemas são evitados com a educação.


E o profissional de segurança? O que ele deve fazer?

Eu já fiz um post sobre isso AQUI.

Gostou? Comenta! 😀

Como um profissional de Segurança da Informação trata e-mail phishing?

Você sabe o que fazer para denunciar um e-mail phishing? 
Para um usuário final, que usa clientes de e-mail como Outlook e Gmail, é fácil: só clicar no botão "Denunciar SPAM". Mas em uma empresa, sendo responsável pela Segurança da Informação, o procedimento de bloqueio vai além de clicar em um botão.

Mas então, qual o procedimento normalmente seguido pelos profissionais de segurança da informação?

Vamos a um passo-a-passo:
  1. Olhe o cabeçalho do e-mail. Normalmente o remetente do e-mail phishing não é aquele que aparece lá no corpo do e-mail. Normalmente o remetente é mascarado: aparece um e-mail notafiscal@<nome--de-uma-empresa>.com, mas o real remetente é <qualquer-coisa>@<qualquer-coisa>.<qualquer-terminação>, Exemplo: 123@nota10.thenticatiosystem.xyz .
  2. Com o real remetente em mãos, busque em servidores de registro de domínios o remetente real. Normalmente tem um e-mail do próprio provedor como canal de comunicação em casos de denúncia de e-mail phishing. 
    1. Para registros .br, procure no WhoIs do Registro.br: https://registro.br/tecnologia/ferramentas/whois/
    2. Para registros de fora, procure no WhoIs do DomainTools: http://whois.domaintools.com
  3. Neste e-mail sempre coloco o cabeçalho do e-mail, anexo o e-mail phishing e solicito que o domínio seja tirado do ar. 
  4. Para fins estatísticos, eu sempre mando o e-mail de denúncia para a Cert.br: cert@cert.br, mail-abuse@cert.br
  5. Também adiciono o remetente real na lista de domínios bloqueados no servidor de e-mails.
  6. Além disso, eu mantenho uma lista, tipo planilha de Excel, para controle de phishings bloqueados no mês. Já aconteceu de me encaminharem um e-mail suspeito, mas que veio de alguma lista em que o usuário se cadastrou e esqueceu.
  7. Com base nessas informações, consigo tirar estatísticas e montar campanhas de conscientização em segurança da informação. 😉


Até 2014, a Polícia Federal recebia denúncias e investigava origem de crimes digitais. Hoje, é usado o portal de denúncia da SaferNet. Link: https://new.safernet.org.br/denuncie

Já fiz um post sobre como identificar e evitar um e-mail phishing AQUI.

É isso pessoal.
Você faz mais algum procedimento? Compartilha nos comentários! 😀