São vários e cada vez mais frequentes os crimes realizados através de meios eletrônicos. Os mais comuns são aqueles em que o bandido busca algum tipo de benefício financeiro, até porque demonstrar conhecimento invadindo e pichando um website, por exemplo, não é mais tão interessante. O interesse é realmente em ganhar dinheiro. E como os controles de proteção estão cada vez mais eficientes, a maneira mais fácil é atacar o elo mais fraco.
Dentre diversas ações, os estelionatários costumam enviar e-mails falsos forjando a identidade de instituições confiáveis, tais como bancos, operadoras de telecom, empresas de cartão de crédito, órgãos governamentais, militares etc. A intenção é de "pescar" informações confidenciais do usuário. Geralmente os e-mails vêm com link que leva o usuário a um site falso, sendo induzido a instalar um malware (trojan, vírus, ...) capaz de coletar dados sigilosos. Estamos falando do phishing.
O fato é que as pessoas estão cada vez mais conectadas, cada vez mais na rede e EM rede! Dessa forma, o phishing passou a ser bastante praticado via recados de orkut (e outras redes sociais), programas de mensagens instantaneas (MSN, por exemplo) e até via SMS, o que é um problema grave, já que os aparelhos de celular (smartphones - cada vez mais populares) são verdadeiros computadores, onde pode-se armazenar muita informação.
Outra modalidade de phishing via SMS ocorre quando o atacante envia mensagens ao celular da vítima dizendo, por exemplo: "Seu cartão de crédito foi clonado. Ligue para o número XXXX-ABCD. 'Seu Banco'." A vítima, então, liga para o telefone falso indicado e uma URA (atendimento automático) pede para que seja digitado os dados do cartão e demais informações pessoais. Os dados são capturados e o prejuízo vem depois.
O phishing mais antigo parece ser aquele feito oralmente (via telefone ou não), onde alguém tenta coletar informações confidenciais se passando por outra pessoa confiável. Mas com o tempo, as pessoas acabam aprendendo com seus erros e, além disso, controles de segurança vão surgindo para evitar que um desavisado caia em armadilha. Além dos anti-vírus mais inteligentes e automatizados, os navegadores possuem recursos anti-phishing que conseguem informar o usuário se o site que ele está acessando é suspeito e pode ser instrumento de um golpe (através de uma base de dados com a reputação da URL).
Mas a mente humana, criativa e maliciosa, é sempre inovadora! A sofisticação das artimanhas não param por aí. A bola da vez é o "web phishing" (se é que podemos chamar assim): O usuário acessa um site LEGÍTIMO de uma instituição confiável, como por exemplo, o portal de um provedor de internet e, ao tentar executar alguma atividade nesse portal, esse usuário é forçado a baixar um malware que se encarregará de coletar os dados sigilosos. Fazendo uso de um site verdadeiro, ninguém (e nem o navegador com seu recurso anti-phishing) vai desconfiar de algo. O que acontece é que o atacante invade e implanta arquivos maliciosos para serem distribuídos aos usuários (a partir do site verdadeiro, sem criar site falso e gerar desconfiança).
Um ataque muito similar e bastante comum é o apelidado de GUMBLAR que também consiste na exploração de vulnerabilidades em websites de empresas legítimas para embutir os malwares. A diferença é que os malwares embutidos redirecionam o usuário, através de cross-site scripting, para websites maliciosos. Como há um site forjado, a detecção disso não é tão complicada. A coisa fica mais difícil quando se usa somente o site realmente legítimo (como no "web phishing").
Fazer uso de sites legítimos não é uma técnica nova, o que assusta é que ela vem sendo usada massivamente com muita frequencia. Muitas vezes, a invasão nem é feita diretamente no servidor e sim através de computadores infectados dos administradores que fazem uploads de códigos maliciosos mascarados em meio aos códigos legítimos.
Segundo a ScanSafe , cerca de 2000 websites legítimos com baixa segurança já foram comprometidos nos últimos meses por esse tipo de ataque. Os estelionatários dificilmente possuem conhecimento técnico para isso e não trabalham sozinhos. Eles contratam grupos hackers que fazem parte do trabalho sujo de execução do ataque e preparação das armadilhas, pagando uma quantidade bastante inferior ao montante que conseguirão arecadar acessando as contas correntes das vítimas e tranferindo valores para contas de laranjas.
O Gartner estimou em 2007 que 3,6 milhões de pessoas adultas perderam cerca de US$ 3,2 bilhões através de phishing e esse número só tem aumentado. Mas por que o phishing funciona tão bem? Pincipalmente pelos 3 motivos abaixo:
1) Os atacantes fazem uso da confiança dos usuários nas instuições confiáveis e populares;
2) A Falta de conhecimento dos usuários em segurança;
3) Displicência quanto a questões de proteção.
Conclusão: Fique ligado, o grande alvo é você e seu dinheiro!
