Brasil é o campeão do phishing; golpes locais chegam até Portugal
Phishing avança com HTTPS e domínios falsos; América Latina tem boom de ataques e GDPR causa impactos na detecção proativa
Phishing avança com HTTPS e domínios falsos; América Latina tem boom de ataques e GDPR causa impactos na detecção proativa
Em volume de cibercrime, 2018 vai fazer você sentir saudade de 2017. Pelo menos, é o que dizem os relatórios da Kaspersky Lab para a América Latina. A companhia registrou mais de 746 mil ataques por dia na região — são 31 mil por hora ou quase nove por segundo — nos últimos 12 meses. Em números absolutos, o salto no volume de ataques rastreados pela companhia russa foi de 60 milhões para totais 160 milhões.
Dmitry Bestuzhev, chefe da equipe para a região, aponta que, de olho em lucros maiores, as tentativas de infecção contra usuários corporativos cresceram quase 40% em relação ao ano passado. Contrariando o senso comum, o principal vetor de malware não é o e-mail (2,1%), mas sites e aplicativos (62%) e pendrives contaminados (22,5%).
As diferenças entre os ataques contra usuários domésticos e de empresas se revelam nos gráficos, quem usa o computador na firma tem 60% mais chance de receber um e-mail contaminado ou vetores offline (43%) — como pendrives, dispositivos USB contaminados ou pirataria de software — do que os usuários domésticos. Mas quando se fala em web, é o inverso: quem navega em casa recebe 60% mais ataques.
Falando apenas sobre e-mails, há uma tendência de novos malware que tentam explorar o Powershell, ferramenta da Microsoft para automação de tarefas — um ataque ainda mais poderoso que trojans e backdoors. Na web, Dmitry apontou uma substituição na preferência dos hackers: sai o ransomware e entra o criptominer.
As análises, apresentadas durante a 8ª Conferência de Analistas de Segurança para a América Latina da Kaspersky Lab*, que ocorreu nos dias 13 e 14 de agosto, na Cidade do Panamá, mostram ainda que o Brasil, lidera em um dos golpes mais populares.
“O Brasil é campeão em ataque phishing, em nível global. Há dois ou três anos o Brasil lidera o ranking”, conta Fábio Assolini, analista sênior de segurança da Kaspersky Lab.
O especialista pontua que a grande maioria de phishing no Brasil é feito “de brasileiros para brasileiros”, sem que haja intervenção de criminosos de outros países. O que sustenta o Brasil na liderança da região e global, ficando na frente da Rússia e da China.
Phishing tipo exportação
A sangria dos golpes de phishing em português e feitos por brasileiros respinga até mesmo na Europa, colocando Portugal em segundo lugar no top 20 países mais atacados por phishing no mundo todo (dados de setembro de 2017 a agosto de 2018).
“É muito comum ver cibercriminosos brasileiros atacando clientes de bancos portugueses. Desde 2012, temos visto ataques especialmente contra clientes de banco online em Portugal originários do Brasil. Portugal tem pouca produção interna”, disse.
A base de usuários Kaspersky, revela que quase 30% dos internautas no Brasil sofreram ao menos uma tentativa de golpe ano passado. Esse índice caiu para 23% em 2018, mas não tirou o país da liderança. Quase 70% dos incidentes simulam mensagens, sites e aplicações de instituições financeiras — mas há outros exemplos de roubo de IDs.
Tipos de ataques phishing na América Latina (janeiro e agosto de 2018)
O especialista aponta que o comportamento do usuário não melhorou e o brasileiro continua caindo em golpes de falsos cupons, promoções e clicando em links maliciosos sem uma checagem. “Quem dissemina fake news usa muita rede social. O criminoso de phishing também, porque ele sabe que isso vai ter um alcance orgânico e viral”, diz.
Vetores de phishing
O que houve foi a adição de plataformas. Antes, o que só acontecia por e-mail, passou a funcionar muito bem em SMS, WhatsApp e redes sociais. O criminoso está se especializando em usar novos canais de distribuição de phishing, mas quase sempre se repetindo nos temas que mais atraem vítimas: promoções, cupons e descontos.
As fotos da festa ficaram ótimas
O phishing é atrativo porque é simples e barato. Recursos como cadastro de domínio, disparo de e-mails e mensagens em massa e obtenção de certificado digital SSL — para exibir o cadeado e HTTPS — quase sempre tem custo mínimo ou zero. Por isso, mais de 90% dos ciberataques começa por um e-mail de phishing. De acordo com o mesmo estudo, abrimos mensagens por curiosidade (14%), medo (13%) e urgência (13%).
A resposta dos criminosos é refinar o golpe. Foram percebidos dois avanços técnicos do phishing, com o passar do tempo: o aumento do uso de certificado digital (SSL) que inclui HTTPS em sites maliciosos e domínios falsos que usam caracteres unicode com letras de alfabetos russos, tailandês e cirílico que se parecem bastante com as do latino.
“Os criminosos usam esses caracteres e conseguem registrar domínios muito parecidos com os verdadeiros. Mesmo para o usuário mais experiente, pode ser difícil perceber”, argumenta. “Isso engana muito mais gente, ficou mais sofisticado. É a reação dos criminosos hoje às detecções proativas, para continuarem atacando”, disse.
A solução mais proativa encontrada pela companhia russa foi “tirar o sofá da sala”. Se não tem link, não tem clique, não tem roubo de dados. E funciona. Para que o golpe seja efetivo, o autor registra um domínio muito semelhante ao do site original de um banco. É nesse ponto que começa a corrida para bloquear a URL antes que o ataque se inicie.
Assolini explica que entre o momento do registro do domínio e o ataque efetivamente começar, existe uma janela de oportunidade. Há quem registre e em 30 minutos já inicie a campanha de phishing. Outros registram vários domínios e usam aos poucos.
Como a maioria dos ataques são focados em internet banking, a saída foi monitorar todos os novos domínios com os nomes de bancos que tenham atuação na região. Em uma ação semelhante ao que marketing faz, mas com o objetivo de proteger a marca.
“Copiamos essa técnica do branding protection, com com o intuito de encontrar phishing e deu super certo. Há quase cinco anos fazemos isso e só no Brasil nós já bloqueamos mais de 100 mil domínios”, finaliza o especialista da Kaspersky.
Além das marcas, também é feito o rastreamento de palavras de interesse. Na Black Friday (com quatro vezes mais ataques que um dia normal), são usados nomes de lojas e produtos eletrônicos muito desejados, por exemplo, também monitorados.
De acordo com a empresa, a taxa de falso-positivo (sites legítimos bloqueados) é de 0,30%. Esse bloqueio funciona em todas as versões dos antivírus, inclusive a gratuita.
Para evitar falso positivo e incluir na blacklist sites que podem ter sido criados de forma legítima pelo próprio banco é preciso checar quem registrou o domínio no Whois — um trabalho que envolve machine learning (IA) e a verificação de dez itens no cadastro para checar a reputação desse domínio. O processo, porém, segue em evolução e ajustes.
Uma das exigências da GDPR (General Data Protection Regulation (GDPR), a lei de proteção de dados em vigor na Europa, foi a de que as bases de dados Whois fossem anonimizadas. Isso ainda não ocorre em todas as regiões, mas já causa seus impactos.
Na hora de registrar o domínio, o dono informa nome, endereço, e-mail e esses dados ficavam públicos — inclusive para fabricantes de antivírus que usam essas informações para bloquear potenciais sites de phishing. A nova lei (GDPR) requer que o Whois esconda essa informação. Os dados interessantes ficam ocultos e perde-se um pouco a referência sobre quem registrou o domínio: foi o dono da marca ou foi um criminoso?
Quanto a isso, Assolini afirma que há outras maneiras de continuar fazendo o trabalho de bloqueio. “Tem uma informação nas bases de Whois que ainda não sumiu, é o registrant organization. Em alguns cadastros de domínio o dado vai estar lá”, completa.
Ainda de acordo com a Kaspersky, o aumento da proteção aos dados do Whois causou impacto na técnica, mas análises heurísticas do nome do site e organização responsável pelo registro do domínio cruzadas com DNS passivo e outros recursos seguem ajudando no bloqueio antecipado de URLs maliciosas na batalha contra o phishing.
*A jornalista viajou para o Panamá a convite da Kaspersky
{{ excerpt | truncatewords: 55 }}
{% endif %}