FACULDADE PITÁGORAS Prof. Fabrício Lana

Segurança de RedesLaboratório 1 - Exercício Prático – Phishing

Objetivo

Demonstrar o funcionamento da técnica de roubo de dados conhecida como Phishing. Apresentar exemplos e realizar análise de um email tipicamente utilizado para roubo de informações.

Introdução

Na mesma onda da popularização e do desenvolvimento da internet, cresce também a quantidade de golpes aplicados no mundo virtual. Além de democratizar o acesso e possibilitar o compartilhamento de informações, a rede potencializou a quantidade de golpes e crimes virtuais. Nesta aula, você irá conhecer um pouco mais sobre o Phishing. O termo Phishing vem do inglês e significa pescaria. Como o próprio nome sugere, pessoas mal intencionadas utilizam-se desta técnica para “pescar” ou roubar dados dos usuários da internet.

O princípio básico de funcionamento deste golpe é bem simples. Monitorando o tráfego de dados na rede, hackers capturam endereços de email e enviam falsas mensagens para seus usuários. Estas mensagens são geradas em nome de bancos, sites de comércio eletrônico, empresas áreas, etc, com objetivo de induzir os usuários a, acessando estes endereços, fornecer dados e informações como senhas e números de cartões de crédito.

Em sua maioria o conteúdo destas mensagens remete a oportunidades e promoções ou a necessidade de recadastramento de informações. Em algumas situações elas chegam a até alertar o usuário sobre o risco de golpes, caso o procedimento não seja realizado. Como pode-se observar o seu conteúdo explora o senso de oportunidade ou urgência de pessoas de boa fé, para roubar-lhes contas bancárias ou efetuar generosas compras com os dados do cartão de crédito. Segue abaixo exemplo de email enviado para capturar dados bancários.

FACULDADE PITÁGORAS Prof. Fabrício Lana

Utilizando o exemplo acima, vale observar que o remetente e os endereços mencionados na mensagem são reais. Todavia, a mensagem não foi efetivamente originada do Bradesco. Mas como então foi possível enviar este email? Isto ocorre porque os campos de dados do cabeçalho do email podem ser facilmente acessados e modificados de acordo com as preferências ou as configurações do usuário. Sem muito esforço, você mesmo pode mudar o nome do remetente de emails em uma conta qualquer do seu Outlook. O link destacado, apesar de referenciar um endereço verdadeiro, aponta e drireciona o usuário para outro site quando clicado. Neste site serão pedidas informações diversas, mas os dados digitados serão enviados diretamente para golpistas da internet.

FACULDADE PITÁGORAS Prof. Fabrício Lana

O email tal qual conhecido hoje na Internet foi definido na RFC 5322 e atualizado na RFC 2822 and RFC 822. Estas recomendações especificam o padrão dos cabeçalhos e corpo das mensagens, além de outras regras envolvidas no seu envio e recebimento. O que muitas pessoas não sabem é que importantes detalhes sobre os campos definidos nestas recomendações podem ser vistos, configurando o seu cliente de mail. Com poucos ajustes é possível então coletar valiosas informações que detalham sobre a origem e o caminho percorrido pelo email até chegar ao seu destinatário e nos permitem certificar o verdadeiro autor da mensagem.

Veja como isto pode ser feito a partir de exemplo do livro Perícia Forense de Andrey Rodrigues de Freitas:

FACULDADE PITÁGORAS Prof. Fabrício Lana

FACULDADE PITÁGORAS Prof. Fabrício Lana

FACULDADE PITÁGORAS Prof. Fabrício Lana

FACULDADE PITÁGORAS Prof. Fabrício Lana

Uma informação bastante interessante e que não consta no exemplo acima é o uso de SPF (Sender Policy Framework). Com este mecanismo ativado no servidor de email, uma verificação da mensagem é feita para certificar-se de que o domínio de origerm informado no email corresponde a um endereço de email verdadeiro daquele domínio. Na prática o mecanismo funciona como um artifício contra spans, já que filtra mensagens em que esta correspondência não é verdadeira. Mais informações sobre o funcionamento deste mecanismo podem ser encontradas em: http://workaround.org/book/export/html/325

Agora que você já conhece detalhes sobre os campos da mensagem de email, baseado no exemplo acima, faça uma análise de uma mensagem real recebida pelo professor e “enviada pela TAM” ou se preferir você pode também analisar uma mensagem de phishing da sua caixa pessoal, seguindo as orientações abaixo para exibição do cabeçalho completo do email:

GMAIL

1. Abra a mensagem na caixa de entrada do Gmail.2. Clique na seta para baixo no canto superior direito da mensagem.

3. Clique no link "Mostrar original" exibido, na parte inferior da caixa de opções. A mensagem é aberta em uma janela separada com os cabeçalhos completos na parte superior.

MICROSOFT OUTLOOK

1. Abra a mensagem no Microsoft Outlook.2. Selecione "Exibir" e, em seguida, "Opções".

3. Os cabeçalhos aparecem na caixa "Cabeçalhos de Internet".

YAHOO MAIL

1. Abra a mensagem de e-mail na caixa de entrada do Yahoo Mail.2. Clique no link "Cabeçalhos completos" localizado no canto inferior direito

da mensagem de e-mail.

Se as instruções do seu programa de e-mail não estiverem listadas acima, verifique as informações de ajuda do programa para obter as instruções de visualização dos cabeçalhos das mensagens.

FACULDADE PITÁGORAS Prof. Fabrício Lana

Mensagem “enviada pela TAM”Delivered-To: professor.fabriciolana@gmail.com

Received: by 10.229.7.7 with SMTP id b7cs33945qcb; Thu, 19 Jan 2012 15:39:24 -0800 (PST)

Received: by 10.101.168.7 with SMTP id v7mr5984739ano.18.1327016358981; Thu, 19 Jan 2012 15:39:18 -0800 (PST)

Return-Path: <atendimento@tamfidelidade.com.br>

Received-SPF: neutral (google.com: 200.252.182.2 is neither permitted nor denied by best guess record for domain of atendimento@tamfidelidade.com.br) client-ip=200.252.182.2;

Authentication-Results: mx.google.com; spf=neutral (google.com: 200.252.182.2 is neither permitted nor denied by best guess record for domain of atendimento@tamfidelidade.com.br) smtp.mail=atendimento@tamfidelidade.com.br

Received: from intranet.pagcontas.com.br ([200.252.182.2])by mx.google.com with ESMTP id d5si1151816yhe.92.2012.01.19.15.38.48;Thu, 19 Jan 2012 15:39:18 -0800 (PST)

Received: from localhost (localhost [127.0.0.1])by intranet.pagcontas.com.br (Postfix) with ESMTP id CA1A03524A6;Thu, 19 Jan 2012 17:20:59 -0300 (BRT)X-Virus-Scanned: amavisd-new at intranet.pagcontas.com.br

Received: from intranet.pagcontas.com.br ([127.0.0.1])by localhost (intranet.pagcontas.com.br [127.0.0.1]) (amavisd-new, port 10024)with ESMTP id NjAFBclF+42o; Thu, 19 Jan 2012 17:20:58 -0300 (BRT)

Received: from desktop-87fbddb.Home (unknown [187.114.214.135])by intranet.pagcontas.com.br (Postfix) with ESMTPSA id 76F053529A7;Thu, 19 Jan 2012 16:35:54 -0300 (BRT)

Content-Type: multipart/alternative; boundary="===============1095042661==" MIME-Version: 1.0Subject: =?utf-8?q?SURPRESA=3A_Voc=C3=AA_foi_convidado_para_participar_da_promo?= =?utf-8?b?w6fDo28gIk1FR0EgUFJPTU8gVEFNIEZpZGVsaWRhZGUi?=To: atendimento@tamfidelidade.com.brFrom: atendimento@tamfidelidade.com.brDate: Thu, 19 Jan 2012 17:42:37 -0200Message-Id: <20120119193555.76F053529A7@intranet.pagcontas.com.br>

You will not see this in a MIME-aware mail reader.--===============1095042661==

FACULDADE PITÁGORAS Prof. Fabrício Lana

Content-Type: text/plain; charset="iso-8859-1"MIME-Version: 1.0

Atividade Prática

Após avaliar detalhadamente o conteúdo completo do email, responda as perguntas abaixo:

1. Quem é o suposto remetente da mensagem e os destinatários?

2. Qual é o assunto do email e qual a data/hora em que a mensagem foi enviada?

3. A mensagem passou por uma verificação SPF? Qual foi o resultado?

4. Qual é a ID da mensagem na sua origem? Porque esta informação pode nos ser útil?

5. Segundo o email, para quem a mensagem deve ser respondida? Neste caso, que tipo de ataque indiretamente o phishing também pode estar dando a origem?

6. Por quais servidores a mensagem passou? Qual o Ip de Origem da Mensagem? Utilizando o Whois1, verifique qual o provedor de internet utilizado? Utilize o site http://www.ip-address.org/lookup/ip-locator.php para verificar onde provavelmente se localiza este provedor?2

7. Ainda avaliando os caminhos percorridos pela mensagem, informe em qual servidor/empresa a mensagem fez uma escala? Consulte no registro.br qual o nome do responsável por este domínio?

8. Porque mesmo conhecendo a origem e o responsável pelo site, muitas vezes não é possível realizar nenhuma ação? O que pode ter acontecido a empresa neste exemplo?

1 Esta e outras ferramentas podem ser obtidas no site https://registro.br/cgi-bin/whois/ ou em http://network-tools.com/

2 Lembre-se que está é uma paroximação.

FACULDADE PITÁGORAS Prof. Fabrício Lana

9. Ao enviar um email, o que você pode fazer para evitar que seus contatos fiquem expostos a ataques do tipo Phishing?

Ao receber um email, que cuidados básicos você deve ter antes de clicar em qualquer link da mensagem?

Referências

Freitas, Andrey Rodrigues de. Perícia Forense Aplicada a Informática. Rio de Janeiro: Brasport, 2006.

Horton, Mike; Muge Clinton: Hack Notes: Segurança de Redes, referência rápida. Rio de Janeiro: Elsevier, 2003.

Sites:

http://www.wikepedia.com.br, http://support.google.com/groups/bin/answer.py?hl=pt-BR&answer=75960

http://www.ip-address.org/tracker/trace-email.php

https://registro.br/cgi-bin/whois/