Parece que toda semana você acompanha pelas manchetes que mais uma gangue de hackers é desbaratada, depois de desviar milhões de contas bancárias. Mas o que é que está acontecendo? Como funciona este golpe, afinal?
Será que as próprias vítimas colaboram com os meliantes? Como se proteger? Estas são algumas das questões respondidas nesta matéria.
Pesca predatória
O golpe – com algumas variações – funciona assim:
A pessoa recebe um e–mail do banco, dizendo que precisa de algumas informações e é solicitada a clicar num link para entrar com estes dados. A pessoa clica, abre a página do banco e se põe a digitar, insuspeita, seus dados pessoas, número da conta, senha, etc. e conclui o processo. Dias depois, ao verificar seu extrato bancário, nota que a conta está vazia…
Este ardil foi batizado de phishing, uma corruptela da palavra inglesa fishing (pescaria). Uma lenda diz que é porque o meliante ‘pesca’ os dados das vitimas, enquanto outra diz que é porque os primeiros golpes eram tão mal feitos, com tantos erros gramaticais, que o nome do engodo acabou contaminado.
Seja como for, é o golpe que mais cresceu este ano de 2005, especialmente no Brasil.
Os bastidores do crime
Pelo que pude apurar, a coisa é assim: o hacker…
Deixe–me abrir um parêntese. Hacker é uma gíria que significa uma pessoa que manja muito de computador. Não precisa ser mal intencionado, apenas ter profundo conhecimento técnico. É aquele cara que chega, olha o computador, clica aqui, clica ali e em dois minutos, resolve o problema que você estava tentando consertar a manhã todinha.
Os hackers do mal são chamados crackers (quebradores) porque eles ‘quebram’ a segurança e invadem sistemas de empresas e entidades governamentais. Nem todo hacker é cracker, mas esta pecha acabou pegando em todos.
De qualquer forma, não é preciso ter grandes conhecimentos técnicos para aplicar este golpe. Nem hacker precisa ser, então vamos chamá–los pelo que são, estelionatários, 171.
Muito bem. O estelionatário cria uma página com a cara da página do banco e prepara tudo para parecer exatamente com o processo real e não revelar suspeitas. Então, munido de um CD com milhões de e–mails – desses que se compra pela internet -, envia as mensagens. Mesmo que uma pequena parcela caia no truque, ainda são milhares de nomes e senhas coletados.
Com estes dados em mãos, o golpista parte para a segunda parte do plano que é o desvio do dinheiro. Munido das senhas, ele pode entrar nas contas e usá–las de duas maneiras:
1) se ela tem dinheiro, o caixa é raspado, e
2) se ela não tem dinheiro, servirá de ponte.
Isto é, o crédito entra e sai da conta para despistar. Deste jeito, o dinheiro dá uma volta pelo sistema bancário, indo terminar nas contas dos laranjas que as emprestam na promessa de ficarem com uma parte do produto do roubo.
Anti–phishing
Phishing é uma modalidade de ataque de engenharia social, difícil de resolver pela automação, mas fácil de resolver pelo bom senso e se você prestar atenção nestas dicas:
- Nenhuma empresa que se preze vai pedir pra você digitar dados confidenciais em um e–mail. Isso nunca vai acontecer. Se você receber uma mensagem pedindo pra entrar com qualquer tipo de identificação como senha, não entre nessa.
- Tome cuidado com os arquivos anexos. Tanto os que você envia como os que você recebe (principalmente). Nunca abra nada se tiver a mínima suspeita. Especialmente, se você não esperava receber nenhum anexo.
- Cuidado com os programas e arquivos que você baixa da internet. Especialmente os gratuitos. Uma das variações do golpe é através da instalação de trojan horses (cavalos de tróia): softwares que registram tudo o que você digita e enviam esta informação para o falsário.
- Mantenha seus antivírus, antispyware e antispam atualizados. Existem agora também alguns programas antiphishing, mas não pudemos analisar nenhuma opção satisfatória antes da publicação deste artigo.
- Nunca digite informações confidenciais em uma janela aberta por um click em um e–mail. Sempre abra uma janela do navegador e digite o endereço do banco manualmente.
- Fique atento para erros gramaticais, de concordância e de escrita. Estes são forte indicativos da fraude.
- Aprenda a identificar o esquema seguindo as instruções da próxima seção.
Identificar esquemas fraudulentos
Veja esta captura de tela (o link abre em janela nova no seu browser). Trata–se de um e–mail que aparenta ter sido enviado pela Symantec. Note como o visual parece do site verdadeiro, ou pelo menos bastante profissional.
Este é apenas um exemplo, mas se você colocar o mouse sobre o link (sem clicar), verá na linha de status o endereço de destino. Note que o endereço tem a palavra Symantec (que ele tenta emular), mas não é o endereço do site, como em www.symantec.com
Ou seja, o endereço é uma importante dica para descobrir um esquema de phishing.
Tem outra coisa ainda mais óbvia. Eu não tenho nenhum programa desta software house instalado no meu sistema. Então como poderia estar recebendo informações deles? Da mesma forma, já recebi e–mails de bancos nos quais não tenho conta. Operadoras de telefonia que não uso e por aí, vai.
Mais um exemplo de phishing. Nesta captura de tela (vai abrir em outra janela do seu browser), repare que, ao passar o mouse sobre o link, vemos um endereço que não tem relação com a empresa mencionada na mensagem.
As empresas imitadas são tão vítimas quanto as pessoas que são enganadas por este golpe. Mas nenhuma empresa que se preza vai pedir pra você enviar sua senha num e-mail.
Para não se tornar vítima deste esquema é muito simples. Basta ficar atento e não colaborar com os meliantes.[Webinsider]
Renato Fridschtein
Renato Fridschtein é consultor de marketing com enfase na internet e mídias digitais.
7 respostas
Recebi um e-mail e foi bloqueado como phishing.Fala de umas fotinhas.Acho que foram enviadas por um rapaz que conheci na internet e que tivemos um namoro virtual por quase um ano.Tive medo de abrir e me decepcionar,mas tb descobri que está faltando dinheiro na minha conta do banco.O que fazer pra ter certeza do golpe ,sem estar julgando errado esta pessoa?Preciso saber a verdade.
Ricardo,
vc tem algo a dizer do anti-phishing do IE7 ???
Só uma curiosidade…
ps: nao sei se lembra de mim mas um dia te perguntei umas paradas sobre linux e kurumin e etc. Well, testei kurumin e ubuntu (q vc fAlava em seu artigo). Ubuntu rox demais. Obrigado pelas dicas naquelas epocas.
Eu tenho um algoritimo para phishing em PHP utilizando algumas rotinas GET e POST.
——————————————–
——————————————–
Se fosse utilizado o metodo POST:
——————————————–
f(!$variavel_x){ //Se variavel_x nao existir
include(erro.php); //Mostre erro.php
} else { //senao
include(paginarestrita.php); // Mostre paginarestrita.php
——————————————–
Essas são algumas rotinas, tenho o algoritimo completo e funfa muito bem, lembrando que criei o algoritimo phishing apenas para estudo, para saber como funciona as tecnicas usadas pelos crackers. E cheguei a conclusão que quando um leigo (lammer) abre algum email enviado pelo hacler, seja ele por fake do msn plus, qualquer outra porcaria que chama atenção a pessoa clika e se instala o phishing na maquina do sujeito, bem, ele vai abrir o site do banco (Itau, banco do brasil, caixa, etc e talz)vai entrar com os dados e pimba, error o site fake fecha e o phishing desaparece do computador da pessoa, dai ele entra denovo no site do banco e entra com os dados, mais dessa vez ele consegue, porém o seu dimdim ja foi raspado!!! e transferidos em diversas pontes e laranjas!! é bem simples.
ATENÇÂO: não abram emails duvidos e não solicitados, inclusive não clike em links suspeitos no MSN e ORKUT.
Um grande abraço, espero ter ajudado. 😉
ótimo comentario eu queria aprender
a fazer desvios bancarios ok!
Achei super interessante… especialmente porque já contaminei 3 vezes meu computador (c/ cavalo de troia) clicando em links q achava q eram seguros.
Abraços,
Tambem adorei, muito esclarecedor… como eles fazem um e-mail parecer profissional!
Excelente o artigo e bem esclarecedor.