Phishing é uma
forma de engenharia social em que um invasor tenta adquirir de forma
fraudulenta informações confidenciais de uma vítima através da personificação
de um parceiro confiável.
Ataques de Phishing
normalmente utilizam "iscas". Por exemplo, um phisher pode passar-se
por uma instituição bancária ou site de vendas on-line e capturar informações
e dados pessoais da vítima apesar de saber pouco ou nada sobre o destinatário.
Estudo realizado
pelo Instituto Gartner constatou que cerca de 19% de todos os entrevistados
relataram ter clicado em um link ou um e-mail phishing e 3% admitiu dar
informações financeiras ou pessoais.
É interessante
notar que os phishers estão ficando cada vez mais espertos, seguindo tendências
e outros crimes on-line, é inevitável que as futuras gerações de ataques de
phishing vão incorporar elementos mais complexos para se tornar mais eficaz e
portanto, mais perigosos para a sociedade.
Suponha que um
phisher pode ser capaz de induzir uma interrupção de serviço para um recurso
frequentemente utilizado, por exemplo causar o bloqueio de senha de uma vítima através
da geração de falhas de autenticação excessivas.
O phisher pode notificar a vítima de uma "ameaça à segurança." Tal mensagem pode ser aparentemente importante o que induzirá a pessoa a revelar informações pessoais.
O phisher pode notificar a vítima de uma "ameaça à segurança." Tal mensagem pode ser aparentemente importante o que induzirá a pessoa a revelar informações pessoais.
Em outras formas,
um invasor ganha a confiança das vítimas através da obtenção de informações
sobre seu histórico de navegação que fornece preferências comerciais e suas
instituições bancárias. Os ataques de phishing se aproveitam de
vulnerabilidades técnicas e sociais, por este motivo há um grande número de
ataques diferentes.
Usuários da
Internet podem ter quatro vezes mais risco de se tornarem vítimas se forem convidados
por alguém que parece ser um conhecido.
Para garimpar informações sobre as relações e interesses comuns em um grupo ou comunidade, um phisher pode utilizar qualquer um dos sites de redes sociais, como Friendster (friendster.com), MySpace (myspace.com), Facebook (facebook.com), Orkut (Orkut.com) e LinkedIn (linkedin.com).
Para garimpar informações sobre as relações e interesses comuns em um grupo ou comunidade, um phisher pode utilizar qualquer um dos sites de redes sociais, como Friendster (friendster.com), MySpace (myspace.com), Facebook (facebook.com), Orkut (Orkut.com) e LinkedIn (linkedin.com).
Todos esses sites
identificam círculos de amigos, que permitem
a um phisher colher grandes quantidades de informação de rede social confiável.
O fato destes
sites conterem termos de serviço que impedem os usuários de abusar de suas
informações para spam, phishing e outras atividades ilegais ou antiéticas,
naturalmente é irrelevante para aqueles que desejam criar contas falsas para
tais fins maliciosos.
Web sites de
redes sociais constroem rapidamente um banco de dados com dezenas de milhares
de relacionamentos.
Um ataque foi
"bem sucedido" quando o alvo clica no link do e-mail e autentica com
o seu
nome de usuário e senha válidos para o site de phishing simulado
nome de usuário e senha válidos para o site de phishing simulado
Observe os dados divulgados pela Sophos Security sobre ataques realizados pela rede social.
Fonte: http://www.sophos.com/en-us/press-office/press-releases/2011/01/threat-report-2011.aspx
Recentemente permiti uma tentativa de ataque de engenharia social para verificar seu desenrolar, como todos sabem temos perfil público no Linkedin no qual divulgamos dados comerciais de contato, etc.
Um belo dia recebi convite pelo Skype de uma tal Lcyun12, aceitei, a pessoa do outro lado inicio um conversa em Inglês me desejando bom dia e agradecendo por aceitar a conexão, continuando a conversa me perguntou sobre meu negócio e com que trabalhava especificamente, perguntei a moça de onde ela falava e qual seu nome, disse-me que se chamava Sabrina e que falava da China, mas como todos sabem a China é bloqueada e monitorada para uso de redes sociais e comunicadores inclusive Skype.
Cada vez mais "todo cuidado ainda é pouco", fiquem atentos para não entrar nesse grupo estatístico de vítimas. Assim como no ambiente físico onde vemos marginais migrando para outros tipos de crime, na rede ocorre o mesmo, o ataque de phishing é a porta de entrada para dezenas de outros crimes altamente destrutivos para as vítimas e suas empresas.
Cada vez mais "todo cuidado ainda é pouco", fiquem atentos para não entrar nesse grupo estatístico de vítimas. Assim como no ambiente físico onde vemos marginais migrando para outros tipos de crime, na rede ocorre o mesmo, o ataque de phishing é a porta de entrada para dezenas de outros crimes altamente destrutivos para as vítimas e suas empresas.
Nenhum comentário:
Postar um comentário