Estava acessando o Slashdot por esses dias, e me deparei com um artigo que falava sobre uma entrevista com dois especialistas de segurança, sobre o que eles descobriram sobre o mundo dos phishing scams.
"Phishing scam" é mais uma das práticas que vêm imundando a internet ultimamente. São golpes, onde geralmente o alvo são informações financeiras pessoais, tais como números de cartão de crédito e contas-corrente. Os mais diversos métodos podem ser utilizados, mas em geral o phishing se manifesta por um aparentemente inocente email, geralmente fazendo-se passar por grandes corporações, dizendo "Atualize seu cadastro aqui", ou "clique aqui para ganhar seu carro". Ao clicar no "aqui", a incauta vítima termina indo parar num site que tenta "clonar" o site da grande empresa, e os dados na verdade são enviados para um phisher.
Esses dois especialistas se infiltraram nesse mundo por alguns meses. Viram toneladas e toneladas de informações sensíveis, participaram de operações de compra e venda de lotes de identidade, participaram dos foruns de discussão e usaram as ferramentas. Eles conseguiram, além de definir como funciona o ecossistema do phishing, traçar um perfil dos phisers em geral. O ecossistema que eles descreveram é mais ou menos assim: hackers são pagos para invadir servidores, que são utilizadas por phisers para dar golpes, utilizando phishing kits pré-moldados, e que muitas vezes tem backdoors. No fim das contas, o phiser também é vítima de outro golpe de phishing pelo autor do kit!
Pois é. Os dois especialistas disseram que existe um mundo underground (quando eu disser underground, por favor não imagine pessoas vestidas como no filme Matrix) de compra e venda de identidades roubadas. Eles também falam das principais ferramentas que os phishers utilizam para realizar os roubos de identidade, e onde eles trocam e revendem os produtos de seus golpes: números e mais números de informações pessoais, passando de cartões de crédito a números de conta-corrente e CPF.
Considerei três coisas assustadoras no artigo desses especialistas:
- Existe, além do ecossistema que mencionei acima (dos hackers com os phisers, etc), uma verdadeira industria de ferramentas para phishing scam. Quer fazer um phishing scam do site do Citibank? Uma pechincha, somente US$10,00 o site já todo montadinho. Edite uma linha de código, e tchan tchan! É só fazer um spanzinho e esperar os emails com os dados dos clientes chegando na sua caixa de entrada.
- A grande maioria dos phishers que foi rastreada no estudo mostrou que o perfil do mesmo é longe do que se pensava: não são hackers que invadem as redes do pentágono com uma arma na cabeça e uma mulher fazendo sexo oral nele, como mostra o filme Swordfish (em português, "A Senha"). A grande maioria dos phishers rastreados durante o estudo era atrapalhada e sem sofisticação. Em outras palavras: mal entendiam as tecnologias que estavam utilizando para dar os golpes, e muitas vezes eles eram também vítimas de outros golpes. As ferramentas que os mesmos utilizavam raramente eram criadas por eles; em sua maioria, eram simples modificações em ferramentas já existentes.
- Após obter os dados das vítimas, o que fazer com eles? Onde é que pode-se entrar nesse mundo underground (mais uma vez, nada de Matrix, nem de metrôs escuros tocando punk rock hard core, com garotas lindissimas com roupas mínimas se lambendo. Tá certo, exagerei) para fazer a compra e venda dessas identidades roubadas? Pois o que se constatou no estudo é que forúns e listas de discussão abertas (indexadas inclusive pela maioria dos serviços de busca) são utilizadas para que os phishers troquem idéias, experiências e comprem e vendam identidades.
Mas porque achei esses três pontos os mais assustadores? Isso me assustou pela facilidade com que pode-se instalar um kit de phishing, e também pela facilidade de comunicação entre os phishers, utilizando salas de discussão e foruns abertos para tal!
No final só quem tem a perder são as reais vítimas: os incautos usuários de internet que colocam os seus números de conta corrente ou cartão de crédito na internet, porque "o site pediu". Depois da leitura desse artigo (em inglês, 6 páginas, aqui – recomendo), resolvi reunir algumas recomendações, pois nem tudo está perdido. Eis algumas dicas que podemos utilizar para nos prevenir desse tipo de fraude:
1. Você não pode ganhar um concurso ou promoção no qual você nunca se inscreveu. Portanto, ignore as mensagens que dizem que você ganhou uma casa, um carro, um cafuné, uma namorada(o), uma cocada ou um cafezinho. Qualquer coisa! MESMO!
2. Nunca, absolutamente nunca, clique em links em emails. Ponto. Nem mesmo se o email vier com o nome de uma garota, querendo que você veja algumas fotos "daquela" festa, clicando aqui. Nem mesmo do seu chefe. Ainda mais se o link, depois de aberto, pedir para salvar como ou executar alguma coisa no seu computador. É inacreditável, mas tem gente que cai nessa. Se o email vier de algum colega de trabalho, ou do seu chefe, tente perguntar para ele do que se trata antes de abrir.
3. Atualize seu software. É inacreditável, mas existe gente que nunca atualiza. Nunca mesmo. Já me deparei com casos de amigos que ainda utilizam Windows XP sem service pack, IE5.5. Quando pergunto "porque não atualiza o XP e o IE?", a resposta é quase sempre outra pergunta: pra quê? A importância de manter os seus softwares atualizados é altíssima. Existem vulnerabilidades que foram descobertas em versões passadas do IE, onde é possível "spoofar" a URL que aparece na barra de endereços. Além disso, o IE7 ainda oferece um "phishing filter", que, vá lá, não faz nenhum milagre, mas é melhor do que nada. Atualize seu anti-vírus. Atualize seu firewall. Atualize seu anti-spyware.
4. Só acesse o site do seu banco em um computador que você confia. Para mim, computador é como escova de dentes. Cada um tem a sua e ninguém empresta. Como você pode confiar numa máquina que foi utilizada por outro usuário? Você tem como garantir que aquele usuário não acessou um site e pegou um spyware que vai enviar todos os seus dados para um malfeitor?
5. Nunca envie senhas ou números de cartão de crédito por email. Email não é um tipo de comunicação segura, e a mesma pode ser interceptada, modificada, copiada, entre outras coisas, no caminho entre o seu servidor de email e o servidor de email de destino. Já vi pessoas utilizando o GMail como ‘cofre’ de senhas. Isso não é seguro pessoal!
6. Se você, por algum momento, desconfiar da idoneidade de um website, faça o seguinte: digite seu login corretamente, mas sua senha errada. Sim, isso mesmo: se o siter estiver "clonado", você vai conseguir se "logar" mesmo com a sua senha incorreta. Essa é uma das maneiras mais fáceis de se identificar um site de phishing.
7. Uma vez identificado o golpe, tente reportar o golpe à empresa que teve seu site ‘clonado’. Algumas grandes empresas já estão mantendo departamentos dedicados a receber essas reclamações e repassar para que sua área jurídica possa abrir os processos criminais e cíveis cabíveis.
E que atire a primeira pedra o primeiro que não conhece ou já ouviu falar que alguém tem um primo do cachorro do papagaio do vizinho que já sofreu um golpe na internet.