Joaquim e Ulisses durante a SecureBrasil 2013
(Fonte da imagem: Reprodução/Tecmundo)
Quer um exemplo? É bem provável que você já tenha recebido um email supostamente enviado por algum banco no qual você sequer possui conta, pedindo para que você atualizasse algumas informações cadastrais.
Uma pequena parcela das vítimas acaba inserindo os dados requisitados e sendo vítimas de fraude, mas a grande maioria das pessoas costuma ignorar completamente essas mensagens.
E foi então que surgiram os spear phishings (pescas com lanças), uma evolução do método tradicional que consiste em estudar seu alvo de maneira mais profunda com o intuito de oferecer uma isca mais convincente.
Afinal, se você é cliente do banco X e recebe um email do Y, é óbvio que você ficará desconfiado; caso a mensagem pareça ter sido enviada pela instituição financeira que você realmente utilize, contudo, é bem mais provável que você acabe caindo no golpe.
Falsos emails de bancos são bastante comuns para a prática de phishing
Automatizando a coleta e análise de dados
Joaquim Espinhara e Ulisses Albuquerque são dois consultores de segurança que trabalham para a Trustwave, famosa companhia que atua no ramo de antivírus.
A dupla marcou presença na SecureBrasil 2013, evento sobre segurança da informação que ocorreu ontem (22) em São Paulo capital, e apresentou ao público uma invenção batizada simplesmente como µphisher.
Idealizado como uma ferramenta voltada para automatizar análises de público e validação de conteúdos, o utilitário permite que qualquer pessoa “rastreie” informações públicas de um determinado cidadão, com o intuito de remontar sua personalidade e reproduzir detalhadamente seu modo de escrever.
Em outras palavras, o µphisher é capaz de extrair dados de redes sociais e criar um banco de dados com tudo o que for postado publicamente por um internauta; com base nisso, é possível descobrir as palavras mais utilizadas pelo “alvo” e outros dados que dizem respeito às suas interações sociais na rede.
Ulisses explica o funcionamento da ferramenta
(Fonte da imagem: Reprodução/Tecmundo)
Simulando um ataque direcionado
Em sua palestra, Espinhara detalhou o processo que um cibercriminoso passaria caso resolvesse usar a ferramenta para fins ilegais.
Primeiramente, o alvo do ataque é escolhido. Depois, determina-se um amigo que interaja periodicamente com essa vítima através de alguma rede social que permita publicação de conteúdos inéditos, como o Twitter (o Foursquare, por exemplo, apresenta muitos textos automatizados e não combina muito bem com o utilitário).
Após a coleta de dados e filtro de dados, o meliante já teria um perfil montado e teria extrema facilidade de redigir uma mensagem se passando por aquela pessoa. Por fim, bastaria criar um falso email do Twitter, informando ao alvo primário que ele foi mencionado na rede social pelo amigo que foi “clonado” – ao clicar na tal mensagem, contudo, a vítima seria redirecionada a uma página maliciosa.
Twitter é a principal rede social para coleta de dados através do µphisher.
Qualquer um pode experimentar
Vale ressaltar novamente que o µphisher não foi construído para ser utilizado em cibercrimes, até porque é extremamente fácil descobrir quem está por trás de uma eventual coleta de dados públicos.
Ele também não oferece riscos à privacidade de ninguém, pois não extrai mensagens particulares e outras informações que o internauta decidiu manter escondidas.
A ferramenta ainda está em desenvolvimento e por enquanto não oferece total suporte para a língua portuguesa, sendo recomendado seu uso somente com conteúdos em inglês.
Caso você tenha interesse em contribuir para o µphisher ou esteja curioso para simular um spear phishing, é possível baixar a API através deste link. Mas lembre-se: faça testes apenas com pessoas que deram a devida autorização.
Fonte: TecMundo
Nenhum comentário:
Postar um comentário
Comentários de leitores mesmo que sejam de anônimos são bem vindos; mas note que somos cristãos e não permitiremos:
◾ Palavrões, xingamentos, deboche ou ofensas pessoais.
◾ Comentários com o uso excessivo de Caps Lock.
◾ Apologia a algum tipo de ocultismo ou de deboche aos Cristãos.
◾ Que contiverem Links de blogs, sites ou vídeos.
◾ Ataques aos respectivos autores (a) do blog.
◾ E/Ou que contiverem SPAM.
Nosso blog é sobre Profecias, Jesus Cristo, Conspiração e Illuminatis. E não um fã de algum assunto, post ou artigo referente ao que é postado no site. Pedimos apenas que tenha respeito e assim seu comentário será aprovado. No entanto, seu comentário pode levar algumas horas para aparecer se os autores (a) não estiverem online no momento de sua postagem.