Phishing

Phishing é uma técnica de cyberataque que envolve engenharia social no qual o agente atacante personifica uma entidade fidedigna para requerer informação sensitiva de suas potenciais vítimas. Este tipo de fraude normalmente tenta criar um senso de urgência, ou emprega táticas de amedrontamento para coagir suas potenciais vítimas ao cumprimento com as requisições do agente atacante. Campanhas de phishing normalmente objetivam números massivos de usuários anônimos, mas também podem ser usado de forma mais sofisticada quando objetivam uma ou várias vítimas específicas.

A etimologia do termo “phishing” remete a uma variante informal da palavra inglesa fishing; pescaria, em português. O termo evidencia a principal característica do modus operandi dos agentes atacantes que usam deste tipo de cyberataque, onde uma série de iscas são usadas aleatoriamente contra nenhum indivíduo específico a espera de quem alguém morda a isca. Outros termos foram surgindo para designar ataques usando outros canais de comunicação que e-mail, tais como vishing, para chamadas telefônicas, e smishing, para torpedos SMS.

Spearphishing

Spearphishing é uma qualificação de qualquer modalidade de cyberataque por phishing, caracterizada pelo emprego de informações e dados apontando especificamente o alvo. Nesta situação, um agente atacante envia (por exemplo) mensagens altamente personalizadas a um grupo limitado de pessoas, ou mesmo apenas um indivíduo em particular, com o objetivo de coletar seus dados e/ou manipulá-los a realizar ações nocivas e prejudiciais.

Vishing

Vishing, contração gramatical de voice phishing, é uma modalidade de cyberataque por phishing onde os canais usados são meios de comunicação por voz, principalmente chamadas telefônicas. Vishing usa chamadas telefônicas fraudulentas cujo objetivo é a extração de mais dados para continuar o processo de engenharia social ou mesmo a aplicação definitiva da fraude.

Exemplo de vishing abaixo “hipoteticamente” realizado por [REDATADO] em nome de GOEC contra Rafael Carioca. Não falaremos sobre estes dois indivíduos aqui para não atrair seus semelhantes.

Outra metodologia bastante diferenciada do vishing é a discagem aleatória. A discagem aleatória é um tipo de reconhecimento feito para descobrir números ativos para que cyberataques sejam realizados no futuro, o que pode envolver mais vishing. Um agente atacante programa sistema de computador para ficar discando números telefônicos aleatoriamente, e quando alguém atende, o sistema seleciona aquele número para futuras fraudes.

Lembra daqueles números que chamam e, quando você atende, não falam nada e então desligam? Pois é, é o Igor são eles. Perceba que quanto mais você atende, mais eles perturbam. Então, não atenda.

Smishing

Smishing, contração gramatical de SMS phishing, é uma outra modalidade de cyberataque por phishing onde o serviço de mensagem curta (ou SMS) protagoniza o papel de canal usados pelos agentes atacantes para alcançar suas potenciais vítimas. Smishing usa mensagens fraudulentas de texto via SMS contendo conteúdos e links maliciosos cujo objetivo é levar a potencial vítima a uma uma armadilha na web onde o tradicional phishing será realizado. Páginas falsas de login e cadastro, em sites com nomes de domínio parecidos com nomes de sites sólidos, são as principais situações de abordagem.

A seguir, um exemplar de smishing realizado (para a surpresa de ninguém) por um número da região metropolitana de São Paulo, tentando se passar pelo Banco Do Brasil.

// +55 11 920058314
BANCO DO BRASIL INFORMA: Prezado(a) cliente seu cadastro encontra-se desatualizado, fique em dia com seu acesso evitando o bloqueio em identificarsempre.com

Como pode-se notar na mensagem acima, a mensagem foi disparada por um número de telefone popular, com uma mensagem pobre em qualquer especificação, pois não diz quem é o cliente nem nada, e ainda solicita que o receptor acesse um site de domínio do Estados Unidos, não do Brasil, pois “.com” é um gTLD controlado pela autoridade NIC do Estados Unidos.

Entretanto, a maioria dos ataques por smishing são realizados pelas big telcos (grandes companhias telefônicas). Diferente dos criminosos, que por vezes tentam capturar dados e sequestrar contas, as telcos tentam fazer vendas-relâmpado com aqueles pacotes diários e semanais que de nada são vantajoso e ninguém consegue saber se a big telco está honrando o contrato. Lembre-se que a Anatel quer ver o fim deste país.

Vivo Dotz: Envie os 11 numeros do seu CPF para cadastro, acumule RS 30 ou + de recarga e ganhe 50 Dotz! Vc pode trocar por produtos no CARONE
Pre Diario: 100MB de Internet ou Ligacao Ilimitada p/qualquer Vivo Movel, cada um por R$1,49/dia. Voce so paga quando usar, aproveite!

Acima podemos notar duas tentativos da Vivo de fazer phishing. Apesar de ser uma grande empresa, e da potencial vítima já ser seu cliente, ainda configura uma situação de phishing, pois o cliente está recebendo spam a partir do momento em que a empresa dispara deliberadamente sem o consentimento do cliente. Essas empresas não oferecem um botão opt-out no ato do cadastro, então é estão incorrendo em crime.

Conclusão

Sigmaco-discord

Gostou da aula de hoje? Junte-se a nós e venha aprender mais sobre como fazer phishing no servidor Discord da SIGMA.

Faça login e contribua para a base de conhecimento da Federação SIGMA fornecendo novas informações e recursos a respeito do conteúdo tratado aqui.

Responses

Translate »