Академический Документы
Профессиональный Документы
Культура Документы
Aula 3:
Phishing
© Copyright 2016, Tribunal de Contas de União
<www.tcu.gov.br>
SUPERVISÃO
Carolina Beserra Pfeilsticker
Walter Fabrício de Castro Telli
CONTEUDISTA
Gustavo Rodrigues Lima Almeida
José Luiz Torres Ferreira Costa
Juliana Belmok Bordin
Maria Camila de Avila Dourado
Pedro Henrique Braz de Souza
Rafael Cancellier
TRATAMENTO PEDAGÓGICO
Marta Eliane Silveira da Costa Bissacot
PROJETO GRÁFICO
Vanessa Vieira
DIAGRAMAÇÃO
Vanessa Vieira e Guilherme Resende
Sumário�������������������������������������������������������������������������������������������������������������������������������������������������������������������� 3
Introdução������������������������������������������������������������������������������������������������������������������������������������������������������������ 5
1. PHISHING�������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 5
Síntese�������������������������������������������������������������������������������������������������������������������������������������������������������������������11
Bibliografia��������������������������������������������������������������������������������������������������������������������������������������������������������12
Anexo����������������������������������������������������������������������������������������������������������������������������������������������������������������������13
Phishing
Nesta aula, estudaremos o que é phishing, quais são as suas principais modalidades e
como podemos nos defender desse ataque cibernético.
1. PHISHING
A Intel Security promoveu um teste em 2015 que analisou o conhecimento das pessoas
sobre e-mails de phishing. Aproximadamente 20 mil pessoas em 144 países participaram do
teste e 97% dos participantes errou a avaliação de, pelo menos, um dos casos apresentados,
indicando vulnerabilidade a ataques de phishing.
É provável que você já tenha ouvido a seguinte recomendação de segurança: “não clique
em links recebidos por e-mail”. Será que isso é suficiente para mantê-lo protegido? E os e-mails
que são legítimos?
Antes de conhecer mais sobre o que é phishing e como evitá-lo, faça o teste disponível no apli-
cativo de ensino à distância para avaliar sua capacidade de identificar corretamente essas ameaças.
Ao conhecer mais sobre o assunto você poderá não só se proteger de diversas fraudes, mas
também acessar com segurança conteúdos que são do seu interesse.
Curiosidade
ÂÂ A pesquisa da Intel descobriu que o e-mail que mais causou dúvidas
na identificação era legítimo. O e-mail pedia que o destinatário reali-
zasse uma ação para obter anúncios gratuitamente. Com frequência, as
pessoas fazem associação entre a oferta de prêmio ou algo gratuito à
ocorrência de phishing ou spam. Essa é a provável razão pela qual um
grande número de pessoas não identificou corretamente a natureza
desse e-mail.
Embora seja um golpe muito antigo, os ataques de phishing estão ficando cada vez mais
sofisticados. Por isso, é preciso sempre se manter informado sobre o tema e conhecer as novas
modalidades que estão sendo aplicadas.
Curiosidade
ÂÂ O termo “phishing” tem origem na palavra em inglês “fishing”,
que significa pescaria. O uso do ph no lugar do f é porque os primeiros
hackers de telefonia eram chamados de “phreaks”. Tem relação com o
fato de que o atacante consegue “pescar” dados da vítima, que é enga-
nada e “morde o anzol”.
•• Spear Phishing
Foto: freepik
Phishing
Os objetivos por trás dos ataques podem ser roubo de dados bancários ou de cartões de
crédito, sabotagem (manipulação das máquinas infectadas), extorsão (ex: ransomware), espio-
nagem etc. Veja abaixo algumas histórias reais de pessoas que caíram em golpes de phishing e
suas consequências.
“Eu sempre usei o meu computador doméstico para realizar transações financeiras pelo
site do Banco do Brasil. É muito cômodo operar com o banco sem sair de casa, a qualquer
hora do dia. Considerava muito segura essa funcionalidade de internet banking.
No início desse ano, o meu computador passou a enviar mensagens frequentes solicitando
a atualização para Windows 10. Como havia escutado diversos relatos de colegas reclaman-
do dessa nova versão do sistema operacional, eu sempre negava permissão para atualização.
Porém, um belo dia a minha filha entrou no computador para fazer um trabalho da escola.
Com o alerta sobre a necessidade de atualização automática para o Windows 10, ela não
teve dúvidas: aceitou o pedido e a versão do sistema operacional foi atualizada.
No sábado, precisei usar o computador para fazer uma transferência financeira para a
faxineira que havia trabalhado durante todo o dia. Ela estava precisando do dinheiro com
urgência, e eu estava também apressado, pois tinha um compromisso com hora marcada
em alguns minutos.
Qual não foi a minha surpresa ao ver a disposição dos ícones e botões totalmente dife-
rente do que eu estava acostumado. A impressora não estava funcionando. O novo browser
instalado pela atualização do Windows 10 demorava muito para abrir. O acesso à internet
estava extremamente lento.
Como tudo era novo, o link para o Banco do Brasil não estava nos meus favoritos, nem
aparecia no histórico recente do navegador. Ao procurar por Banco do Brasil no Google,
apareceram diversos links como resultado da pesquisa. Ao clicar no primeiro, que parecia
ser o oficial, abriu-se uma página que aparentemente era correta. Mas estava extremamente
lenta. E percebi que ela chegou a piscar pelo menos duas vezes, indicando que estava sendo
recarregada.
Ao digitar meus dados, a página informou que não reconhecia o computador e que seria
necessário realizar alguns procedimentos de segurança para habilitar o acesso. Como isso
ocorre frequentemente no site do Banco do Brasil, achei normal, apesar de extremamente
inconveniente para o momento de urgência que estava passando. A página de redirecio-
namento solicitou o número da agência, o número da conta, a senha do home banking, a
senha do cartão e também o número do celular. Nem percebi que estava sendo “fisgado”.
Após informar esses dados, o site do Banco do Brasil carregou normalmente e eu pude fazer
a transferência.
O domingo passou sem novidades. Segunda-feira também. A minha conta estava com
saldo baixo, pois o pagamento estava previsto para ser depositado na terça-feira. Nesse
dia, logo pela manhã percebi algo estranho. O meu celular estava completamente fora do
ar. Apesar de ligado, não conseguia se conectar à rede da operadora. Tive que ir até a loja
(continua na próxima página)
da operadora para reativar o serviço. O atendente não soube explicar o porquê da falha. Se
limitou a resolver o incidente.
Na quarta-feira tentei acessar o home banking, mas não consegui. A mensagem afirmava
que a senha estava expirada. Fui até a agência. O gerente alterou a senha. Ao chegar em
casa, consultei o saldo do banco e verifiquei o registro de uma TED no valor de R$ 9.200,00,
realizada na terça-feira, para uma conta da agência do Bradesco de Feira de Santana na
Bahia. Havia o CPF e o nome do destinatário. Não sei dizer se era um nome falso.
Na quinta-feira retornei à minha agência e apresentei o comprovante do TED. Contei toda
a história até aquele momento. O gerente percebeu a gravidade da situação. Registrei for-
malmente o ocorrido, troquei as minhas senhas do cartão e do home banking. Fui informado
que o banco realizaria um procedimento investigatório e, se comprovada a fraude, restituiria
o valor transferido indevidamente. O banco devolveu a quantia transferida 20 dias depois.
Três meses depois, recebi pelo aviso SMS do Banco que havia o registro de uma compra de
passagem aérea pelo cartão de crédito, em empresa da Europa, no valor de aproximadamen-
te R$ 5.000,00. Entrei rapidamente em contato com a operadora e informei desconhecer
essa transação. A operadora cancelou imediatamente o meu cartão e estornou o lançamen-
to. Não tive prejuízos financeiros, mas fiquei alguns dias sem poder usar o cartão de crédito.
Não sei se há relação entre os dois casos relatados.”
Ainda não se tem informação sobre os responsáveis nem o objetivo dos ataques
27/05/2014 - 15h20min
“O Itamaraty — sede do Ministério das Relações Exteriores do Brasil, localizada em
Brasília — está sofrendo uma onda de ataques de hackers desde o último dia 19. O sis-
tema de e-mails e de leitura de documentos do ministério e dos postos diplomáticos no
exterior ficou fora do ar nesta segunda-feira e segue assim até o momento, mas uma
manutenção geral para evitar novos acessos indevidos está sendo feita e o problema
deve ser solucionado ainda nesta terça-feira.
Fonte:
http://zh.clicrbs.com.br/rs/noticias/noticia/2014/05/hackers-atacam-sistema-de-e-mails-do-itamaraty-4510963.html
Phishing
Nos itens do teste apresentado nessa aula, foi possível identificar algumas caracterís-
ticas que devem ser observadas ao receber mensagens. Segue um resumo dos principais
pontos discutidos:
• Analise o endereço do remetente para ver se parece válido. Ex: um endereço eletrônico
de um banco não será @gmail.com.
• Analise se o conteúdo da mensagem tem alguma relação com eventos recentes. Ex:
um amigo te manda um link para fotos de uma festa à qual você não esteve presente.
Talvez a mensagem seja mesmo de um amigo, mas ele pode estar com sua conta com-
prometida. As mensagens podem ter sido enviadas sem o consentimento dele.
• Passe o mouse em cima do link no corpo da mensagem para o qual é solicitado seu
clique. Verifique se aponta para um local conhecido (ex: um domínio.gov.br) ou se é
um link com nomes estranhos ou sequências aleatórias de caracteres.
Fonte: http://www.ufrgs.br/tri/files/exemplo-de-phishing-analise/image_view_fullscreen
• Não é recomendado que você clique em informações que aparecem em janelas pop-
-up. As janelas pop-up são abertas pelo navegador quando o usuário visita uma página
web ou acessa um link. O pop-up é utilizada pelos criadores do site para abrir alguma
informação extra ou como meio de propaganda. As empresas mais confiáveis não so-
licitam informações por meio dessas janelas.
Atenção:
Phishing
Nesta aula, aprendemos que Phishing é um tipo de fraude, na qual o ata-
cante utiliza-se de mecanismos tecnológicos, geralmente por meio de mensa-
gens, para persuadir suas vítimas a prestarem informações pessoais que podem
ser úteis em ataques futuros. Também foram apresentadas dicas para identi-
ficar um ataque desse tipo e formas de agir para evitar seus efeitos danosos.
http://www.proof.com.br/blog/seguranca-da-informacao/ataques-de-phishing-ficam-mais-
sofisticados-cada-dia/
https://cryptoid.com.br/banco-de-noticias/acabe-com-os-ataques-de-phishing/
http://blog.infomach.com.br/problemas-e-mails-de-phishing-intel-security/
http://diariodonordeste.verdesmares.com.br/suplementos/tecno/online/usuarios-brasileiros-de-
mobile-banking-sao-alvos-de-ataques-via-sms-1.1590855
http://www.phishing.org/history-of-phishing/
ícones: http://www.freepik.com/dooder
Antivírus Atualização de vacinas, eliminação de vírus, lançamento de nova versão ou de novas funcionalidades
Avisos judiciais Intimação para participação em audiência, comunicado de protesto, ordem de despejo
AULA 3
Eleições Título eleitoral cancelado, convocação para mesário
Impostos de renda Nova versão ou correção de programa, consulta de restituição, problema nos dados de declaração
Notificação pendente, convite para participação, aviso sobre foto marcada, permissão para
Redes sociais
divulgação de foto
Aviso de conta de e-mail sendo usada para envio de spam (Antispam.br), cartilha de
Sites com dicas de segurança
segurança (CERT.br, FEBRABAN, Abranet, etc.)