Como acontecem ataques por phishing e-mail

Phishing-ScamO número crescente de ataques de Phishings foi documentado em um relatório trimestral da Kaspersky.
Neste relatório é mostrado a geografia do ataque de phishing e o Brasil está em primeiro lugar com 18.28% dos países que mais recebem este tipo de ataque no mundo.

Um dos grandes fatores do sucesso do phishing no Brasil é a falta de informação básica sobre segurança por parte do usuário. A velocidade com que a tecnologia é acessível às pessoas não é a mesma no que tange o fator educacional. Um usuário leigo no tópico “segurança da informação”, é mais vulnerável à engenharia social, que no fundo é a forma com que o phishing e-mail é visto pelo usuário. Um e-mail de alguém conhecido, ou de algum órgão conhecido, com informações relevantes e muitas vezes importante para ele. Por que não clicar já que fui instruído a clicar? É justamente essa a causa raiz do problema: o usuário sempre será o elo mais fraco na cadeia de segurança.

Arquitetura do Ataque

O ataque do tipo phishing direcionado aos usuários do Brasil geralmente é composto por alguns elementos em comum conforme mostra a figura abaixo:phishing_emailExemplo de Phishing Email

O assunto do e-mail geralmente traz um RE de resposta, para tentar ludibriar o usuário que este e-mail na realidade é uma resposta para algo que o usuário já enviou anteriormente. O Email geralmente vem de um amigo da lista do usuário, ou de um órgão do Governo ou de uma instituição financeira como um banco.
O e-mail traz uma imagem embutida como se fosse um anexo, porém ao clicar neste anexo ele redireciona o usuário para um site malicioso na tentativa de usar o ataque chamado de “drive by download”.
O corpo do e-mail traz uma empatia com o usuário, algo informal e que tente mostrar uma ligação com a pessoa. Isso para os emails que vem de amigos da lista, para e-mails que vem de uma instituição, o corpo do e-mail contém logomarcas e textos que podem parecer convincente para o usuário caso ele não fique atento aos detalhes.
Um link para um arquivo falso. No exemplo mostrado acima o aquivo é um .ZIP, que é colocado de forma proposital para ludibriar o usuário que devido ao tamanho do arquivo foi necessário compactar. Porém, ao clicar no arquivo o usuário é novamente redirecionado para o site malicioso.
Informações para contato no final fecham o e-mail com intuito de fazer com que o usuário sinta-se seguro com relação ao e-mail, afinal a pessoa mandou até o telefone dela para contato.
Estes são componentes básicos que geralmente são encontrados em e-mails, mas como mencionei antes, para phishing cujo a origem é a falsificação de um banco, o formato é mais parecido com este que descrevo neste artigo. Com isso podemos concluir que o fluxo final do phishing e-mail é exemplificado no diagrama abaixo:phishing_email1Note que este é um exemplo, não necessariamente haverá um redirecionador, um servidor com exploit e um servidor de malware. Em alguns casos tudo está localizado no mesmo servidor.

Golpe final: a execução do Trojan

Uma vez que o usuário foi enganado e executou os procedimentos que foram sugeridos no phishing e-mail, segue agora a pior parte: a infecção com o trojan. De acordo com o relatório de segurança inteligente (SIR) da Microsoft, o trojan Win32/Banload é um dos mais detectados no Brasil, que por sua vez é da família Win32/Banker. Este trojan tem como principal finalidade o roubo de credenciais de banco. Já existem diversas variantes para este trojan, mas geralmente um dos sinais de infecção é a presença dos arquivos abaixo:

  • %TEMP%\drvrnet.exe
  • <system folder>\542745.dll

Após baixar estes arquivos (via HTTP ou FTP) o executável é iniciado e a chave HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\ é alterada para inclusão do valor %TEMP%\drvrnet.exe.
Algumas variantes também podem desativar o antivírus e alterar as configurações do navegador.

Um outro trojan que foi apontado no último relatório de segurança da Microsoft como crescente no Brasil foi o PWS:Win32/Mujormel, que também é classificado como um trojan de roubo de informações (inclusive credenciais).

O que fazer?

Antes de mais nada é importante deixar claro que não há um simples “hotfix” para o problema, pois estamos falando em educar uma massa de usuários de dispositivos eletrônicos (tablets, smart phone, PC, etc), porém é preciso começar a plantar esta solução através da educação. Por que bato na tecla da educação? Pois não adianta o investimento massivo em tecnologia se a decisão final de executar ou não algo está nas mãos de um usuário. Quem não lembra do caso da RSA, uma das maiores empresas de segurança do mundo que teve sua defesa explorada através de um phishing e-mail.

O primeiro passo é garantir que todas empresas treinem seus funcionários nos conhecimentos básicos de segurança. É através deste treinamento que o usuário vai aprender a identificar um e-mail falso, saber o que fazer caso isso ocorra, quem notificar, etc. As empresas precisam se conscientizar que isso é uma necessidade de sobrevivência, pois é através de um usuário bem treinado com a soma de controles técnicos de segurança que se reduz a probabilidade de uma exploração com sucesso. Note que digo “reduz”, pois não há como garantir nada 100% seguro.

O próximo passo é introduzir segurança da informação na escola, se hoje se ensina informática nas escolas primárias, segurança da informação tem que ser ensinada também. Apenas com uma geração consciente dos perigos existentes e o que fazer para evitar, que iremos ter um futuro mais seguro no âmbito cibernético.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa matéria.

Fonte: seginfo blog

Comentários encerrados.

%d blogueiros gostam disto: