Mais um perigo ronda nossos emails. Todo cuidado ainda é pouco!
A maioria das pessoas sabe ignorar a abertura do e-mail de um príncipe nigeriano, oferecendo riquezas em troca de um número de conta bancária. Isso é um golpe, claro aos olhos.
Mas e se o e-mail parece vir de um colega de outra sala? E tudo o que ele pede é que você acrescente alguns dados pessoais ao banco de dados da empresa?
Esse é o “spear phishing”, uma forma de fraude que está se proliferando rapidamente e que possui um rosto familiar: mensagens que parecem ser de colegas de trabalho, amigos ou parentes, personalizadas para enganar você a baixar sua guarda online. E está se transformando em um grande problema, segundo empresas de tecnologia e peritos em segurança de computadores.
Na quarta-feira, o Google revelou que descobriu e impediu um esforço para uso dessas táticas para o roubo de centenas de senhas do Gmail e monitoramento das contas de pessoas proeminentes, incluindo altos funcionários do governo. A secretária de Estado americana, Hillary Rodham Clinton, disse na quinta-feira que o FBI investigaria a afirmação do Google de que a campanha se originou na China.
Essas táticas também foram usadas em um ataque contra uma empresa chamada RSA Security, que peritos em segurança disseram que pode ter dado aos hackers as ferramentas para uma invasão séria no mês passado na Lockheed Martin, a maior fornecedora militar do mundo.
Os peritos em segurança dizem que esses esforços são muito diferentes das tentativas comuns de phishing, que envolvem espalhar pela Internet milhões de e-mails que parecem ser, digamos, do Citibank, na esperança de fisgar alguns poucos clientes desavisados do Citibank. O spear phishing envolve o envio de propostas altamente direcionadas, que podem parecer autênticas porque parecem vir de uma fonte confiável e conter mensagens plausíveis.
Assim, o golpe se torna mais difícil de ser detectado pelo recebedor.
“É uma tática realmente suja, porque é bastante personalizada”, disse Bruce Schneier, diretor chefe de tecnologia de segurança da empresa britânica BT Group. “É um e-mail de sua mãe dizendo que ela precisa de seu número do Seguro Social para o testamento que ela está preparando.”
Schneier disse que os ataques se parecem mais com um golpe tradicional do que com uma invasão tecnicamente sofisticada.
“Isso é um hackeamento da pessoa”, ele disse. “Não é um hackeamento do computador.”
A Symantec, a empresa de segurança de computadores, disse que interceptou cerca de 85 ataques direcionados por dia em março, incluindo esforços para roubo de informação pessoal por meio de phishing ou com links para software maligno, que poderia expor arquivos corporativos. O único mês com mais ataques foi março de 2009, quando houve um aumento que coincidiu com a cúpula do G20.
Os alvos mais comuns segundo a Symantec foram órgãos do governo e altos gerentes e executivos; o phishing de peixes tão grandes costuma ser chamado de “whaling” (caça à baleia).
Empresas manufatureiras foram alvo de 15,9% dos ataques, em comparação a 8% contra o setor financeiro e 6,1% contra empresas de tecnologia, disse a Symantec. Os hackers que visam corporações geralmente estão à procura de novos projetos de produtos e podem se concentrar nos engenheiros de uma empresa fornecedora das forças armadas, por exemplo, para obter dados que podem vender no mercado negro.
Enrique Salem, o presidente-executivo da Symantec, deu o exemplo de um e-mail enviado para o chefe de uma empresa, que parece vir da Receita Federal. A mensagem questiona as implicações fiscais de uma aquisição, e o presidente-executivo encaminha a mensagem para outros dentro da empresa. Alguém abre o anexo, dando ao atacante acesso à rede interna da empresa.
“Trata-se de fazer você fazer algo que comprometa o sistema”, disse Salem.
No caso dos ataques ao Gmail, o Google disse que eles parecem ter vindo de Jinan, China, e visavam usuários como ativistas políticos chineses, pessoal militar, jornalistas e autoridades sul-coreanas.
O Ministério das Relações Exteriores da China disse na quinta-feira que o governo não teve envolvimento nos ataques, e que se opõe consistentemente “a atividades criminosas que causem danos à Internet e redes de computadores, incluindo o hackeamento, reprimindo essas atividades de acordo com a lei”.
Não está claro como os atacantes obtiveram os endereços do Gmail que usaram, apesar de que podem ter sido encontrados dentro de outras contas comprometidas, incluindo contas corporativas e do governo cujos endereços frequentemente são mais fáceis de deduzir.
Os atacantes podem esperar encontrar e-mail ligado ao trabalho nas contas pessoais do Gmail das vítimas.Mila Parkour, uma pesquisadora independente de segurança que ajudou a alertar o Google sobre os ataques, disse que percebeu a campanha quando uma das vítimas permitiu que ela examinasse algumas das mensagens suspeitas.
Isso a levou a descobrir uma tela de login falsa do Gmail, mas convincente, que os atacantes usavam para enganar as vítimas a digitarem suas senhas. Ela disse que as mensagens indicavam que as tentativas de phishing começaram pelo menos um ano antes dela tomar conhecimento –no início de 2010. “Eu achei interessante porque eles fizeram isso por muito tempo”, disse Parkour.Ela disse que também viu telas que imitavam páginas de login de portais de Internet de sistemas de e-mail corporativo.
Empresas e indivíduos podem adotar medidas para impedir esses ataques. Por exemplo, o Google encoraja as pessoas a usarem um processo de dois passos, que envia um código especial para seu celular quando fazem o login no Gmail. O Departamento de Defesa pede ao seu pessoal que use uma “assinatura digital” em seus e-mails, que verifica a identidade.
Mas a vantagem está do lado dos atacantes, dado que suas falsificações podem ser realistas e, portanto, irresistíveis, segundo o tenente coronel Gregory Conti, um perito em segurança de computadores de West Point. Ele disse que um motivo para o problema estar ficando difícil de deter é o fato das pessoas que enviam as mensagens usarem a Internet, especificamente redes sociais como o Facebook, para obter o máximo de informação pessoal sobre os alvos potenciais.
“O que há de errado com esses e-mails é muito, muito sutil”, ele disse, acrescentando: “Eles chegam sem erros, frequentemente usando o jargão apropriado ou as siglas de um determinado escritório ou organização.”
A forma de deter esses esforços não é clara, disse Conti: “É um problema aberto”.
Entre as vítimas do spear phishing estão pessoas que supervisionam a segurança corporativa, disse Larry Ponemon, presidente do Ponemon Institute, uma empresa de pesquisa em Traverse City, Michigan, que se concentra na segurança de dados. Ele deu o exemplo de um executivo de tecnologia de segurança, que recebeu um e-mail que parecia ser do departamento de recursos humanos de seu empregador, pedindo informações pessoais para realização do pagamento.
Schneier, do BT, disse não acreditar que exista uma solução fácil e universal para o problema, assim como não há para roubo de carro. Ele disse que a natureza pessoal dos ataques os torna muito sedutores.“Bem-vindo ao mundo. Você não pode detê-lo”, ele disse. “Conviva com isso.”
Reportagem de Matt Richtel e Verne G. Kopytoff (John Markoff contribuiu com reportagem) publicado no jornal The New York Times (http://noticias.uol.com.br/midiaglobal/nytimes/2011/06/03/com-spear-phishing-fraude-com-e-mail-se-esconde-atras-de-um-rosto-amistoso.jhtm)
Tradução: George El Khouri Andolfato
foto: portaxp.net
Nenhum comentário:
Postar um comentário
Obrigada pela visita e pelo comentário!