Phishing
Gabriel Rebello e Eduardo Fernando Araujo
Definição e origem
●
“Fishing” + “phreaks” = phishing!
●
Primeiros ataques
●
Primeira prevenção
Importância
●
2016: 35 milhões de usuários atingidos (1º trim.)
●
Ataque mais presente no dia-a-dia
Importância
●
2016: 35 milhões de usuários atingidos (1º trim.)
●
Ataque mais presente no dia-a-dia
●
País mais atingido?
Imagem 1: países mais atingidos pelo phishing em 2016. Fonte: AO Kaspersky Lab.
Linhas de abordagem
Alvo: pessoa
•
Manipulação psicológica
•
Estudo do comportamento humano
•
Convencimento da vítima
Alvo: máquina
•
Ataques ao sistema
•
Programas maliciosos
Linhas de abordagem
Alvo: pessoa
•
Manipulação psicológica
•
Estudo do comportamento humano
•
Convencimento da vítima
Alvo: máquina
•
Ataques ao sistema
•
Programas maliciosos
•
Quebra de código
Meios de propagação
●
Principais meios: maior frequência
●
Não restritivos!
Meios de propagação
●
Principais meios: maior frequência
●
Não restritivos!
●
Novos meios: maior eficácia
Phishing pode existir em qualquer
meio de comunicação!
Técnicas mais comuns
Principal: pessoa
•
Scamming + visual deception
•
Social phishing
Principal: máquina
Scamming/visual deception
●
Scamming: convencimento da vítima
●
Visual deception: forjar aparência
Imagem 2: exemplo de ataque utilizando scamming e visual deception simultaneamente.
Scamming/visual deception
●
Scamming: convencimento da vítima
●
Visual deception: forjar aparência
Estratégia: enganar em massa!
Imagem 2: exemplo de ataque utilizando scamming e visual deception simultaneamente.
Social phishing
●
Estudo prévio da vítima
●
Maior custo: maior eficácia
●
Diferente das demais!
Imagem 3: Exemplo de social phishing na plataforma Steam.
Social phishing
●
Estudo prévio da vítima
●
Maior custo: maior eficácia
●
Diferente das demais!
Estratégia: direcionamento!
Imagem 3: Exemplo de social phishing na plataforma Steam.
Pharming
●
Ataques a servidor DNS
●
Redirecionamento
●
“Farming”+”Phish”!
Pharming
●
Ataques a servidor DNS
●
Redirecionamento
●
“Farming”+”Phish”!
Estratégia: redirecionamento
em massa!
Prevenção
•
Há dois fatores primordiais:
-
Educação – Informações sobre como evitar o phishing;
-
Mecanismos técnicos – Antivírus, Firewall, navegador atualizado e habilitado para proteção
contra phishing.
E-mails Phishing
•
Normalmente associados a algum fato
inesperado ou problema;
•
Nunca responda a um e-mail spam;
•
Em caso de dúvida, verificar com a
organização responsável.
Phone Phishing
•
Desconfie do pedido de um número excessivo de informações;
Phishing nas Redes Sociais
Phishing nas Redes Sociais
Phishing nas Redes Sociais
•
Ficar atento as informações que você exibe
na Web;
•
Pensar sobre quem você realmente quer que
tenha acesso às suas informações pessoais nas
redes sociais.
Conclusão
•
O Phishing é uma fraude elaborada e rica em detalhes;
•
Abrange não somente ataques que envolvem a técnica;
•
É importante se manter atualizados sobre o tema, inclusive como uma forma de
prevenção.
Referências
• "Phishing." Wikipédia, a enciclopédia livre. Disponível em: https://pt.wikipedia.org/w/index.php?title=Phishing&oldid=45904490. Acesso em 6 de julho de 2016.
• Gudkova, Darya, Maria Vergelis, Nadezhda Demidova, and Tatyana Scherbakova. “Spam and phishing in Q1 2016”. AO Kapersky Lab. Disponível em: https://securelist.com/analysis/quarterly-spam-reports/74682/spam-and-phishing-in-q1-2016/. Acesso em 6 de julho 2016.
• Jagatic, Tom N., et al. "Social phishing." Communications of the ACM 50.10 (2007): 94-100.
• Dhamija, Rachna, J. Doug Tygar, and Marti Hearst. "Why phishing works."Proceedings of the SIGCHI conference on Human Factors in computing systems. ACM, 2006.
• Jakobsson, Markus, and Steven Myers, eds. Phishing and countermeasures: understanding the increasing problem of electronic identity theft. John Wiley & Sons, 2006.
• McGrath, D. Kevin, and Minaxi Gupta. "Behind Phishing: An Examination of Phisher Modi Operandi." LEET 8 (2008): 4.
• James, Lance. Phishing exposed. Syngress, 2005.
• “Phishing”. Computer hope. Disponível em: http://www.computerhope.com/jargon/p/phishing.htm. Acesso em: 6 de julho de 2016
• Dalek, Jakub, Masashi Crete-Nishihata, and John Scott-Railton. “Shifting tactics: tracking changes in year-long espionage against Tibetans”. Citizen Lab. Disponível em: https://citizenlab.org/2016/03/shifting-tactics/. Acesso em : 6 de julho de 2016.
• “What is phishing?”. Phishtank. Disponível em: https://www.phishtank.com/what_is_phishing.php. Acesso em: 7 de julho de 2016.
• Dachis, Adam. “How to Boost Your Phishing Detection Skills and Avoid Email Scams”. LifeHacker. Disponível em:http://lifehacker. com/5873050/how-to-boost-your-phishing-scam-detection-skills. Acesso em: 7 de julho de 2016.