Cibercriminosos sempre procuram os caminhos menos protegidos na hora de atacar. Mas vulnerabilidades tecnológicas, ainda que sejam problemas sérios, não costumam ser esses tais caminhos. Isso porque, quando você tem que atualizar um software anti-malware instalado em múltiplos computadores e conta com uma rede de firewall em dia é bem difícil superar essa barreira. Some a isso criptografia, análise heurística e autenticação de múltiplos
fatores (MFA) e você terá uma fortaleza protegendo seus ativos digitais. Ou, ao menos, é isso que geralmente se pensa.
Qual é o problema? A maioria dos criminosos digitais não segue o estereótipo hacker. Pelo contrário, eles gostam de mirar o elo mais frágil das redes: o humano. Afinal, por que tentar furar a criptografia ou hackear uma senha quando você pode facilmente, acima de qualquer suspeita, enganar alguém para te entregar essas informações? Se o endereço de e-mail e o domínio parecem autênticos, similares aos da empresa que você está acostumado a usar, você provavelmente vai clicar nesse link sem nem suspeitar. E, na maioria dos casos, não há nada que seu sistema anti-malware possa fazer sobre isso.
Esse é um dos principais motivos pelos quais os esquemas de phishing estão em alta. Só no segundo trimestre de 2019, esse tipo de crime teve um aumento de 21%.
O Brasil tem a infelicidade de ser o país com mais casos de phishing no mundo, onde 29% das pessoas já foram vítimas de algum ataque do tipo. A Kaspersky vem acompanhando essa tendência nos últimos anos e decidiu que era hora de tomar medidas radicais e mudar a abordagem para lidar com esse tipo de ameaças. Nossa equipe global de análise e pesquisa bloqueou quase 37 milhões de ataques em 2017 e pouco mais de 40 milhões em 2018. Só no Brasil.
Então, quais são as melhores estratégias para bloquear o phishing desde sua origem?
De onde vêm os ataques?
Ainda que os ataques de phishing via e-mail sejam o centro da atenção, os ataques que acontecem em outras plataformas também são muito comuns. Isso inclui SMS, chamadas telefônicas, anúncios maliciosos e perfis fake em redes sociais. No entanto, o que a maioria das armadilhas de phishing tem em comum é o fato de que elas costumam incluir uma cópia dos sites originais de alguma organização legítima, com o mesmo texto e aparência. Em alguns casos, as cópias são quase indetectáveis. O problema é que assim que a pessoa entrega suas informações confidenciais para fazer login, como nome de usuário e senha, esses dados vão parar diretamente na mão dos criminosos.
Bancos e outras instituições financeiras estão entre as empresas mais “imitadas”, não só no Brasil, mas no mundo todo. Mas é importante lembrar que todo tipo de organização, empresa e até indivíduo pode ser imitado. É por isso que o phishing é uma epidemia global e que afeta a todos.
Cerca de 20 milhões de novos sites de phishing são criados todos os anos. É certo que a maioria deles é detectada, bloqueada e tirada do ar rapidamente, mas esse não é o ponto.
Mesmo com isso, os golpistas ainda têm tempo suficiente para executar seus ataques antes de sair do ar. No Brasil, assim como em outros países, a legislação local permite que qualquer pessoa possa registrar seu próprio domínio. A única forma legal de tirar do ar um domínio malicioso é quando uma empresa entra com uma ação de violação de registro de marca contra o dono daquele domínio, em casos onde alguém usa o nome daquela marca sem autorização da empresa. Mas nem isso acontece da noite para o dia, é um processo longo.
Fraudes online estão em todo lugar pelo Brasil. Os golpistas exploram quase todos os programas de fidelidade dos clientes, por exemplo. Sites governamentais são recriados para cometer fraudes em serviços públicos, como os de saúde, por exemplo. Os criminosos até já se disfarçam como corretores para manipular os índices de crédito de diversas pessoas. Em um ataque específico, o IBAMA, maior autoridade nacional para assuntos ambientais, foi usado para um esquema de phishing que liberou 23 empresas listadas por crimes ambientais para voltar às atividades. Nos dez dias seguintes, essas companhias conseguiram extrair ilegalmente uma pequena fortuna: R$ 11 milhões em madeira da floresta amazônica, o suficiente para encher 1400 caminhões. Ou seja, tudo que está online no Brasil está suscetível ao phishing a qualquer momento.
Tudo começa no registro
A maioria dos casos de phishing se dá com uma vítima sendo enganada e direcionada a visitar um domínio malicioso. É por isso que a equipe de pesquisa da Kaspersky quis ir direto à raiz do problema. Isso significa agir na pequena janela entre o momento em que um site suspeito é criado e a hora em ele é usado para um ataque.
Demos início a esse projeto em 2014, monitorando todos os novos registros de domínio, o que incluía os nomes de todas as instituições financeiras em operação no Brasil e, por consequência, a checagem de seu registro WHOIS. A revisão desse registro nos permitiu encontrar informações básicas sobre quem registrou aquele domínio, quem foi o provedor desse registro e quando o site foi registrado. Mas esses dados isolados não são suficientes, especialmente quando há serviços de GDPR (Regulamento Geral de Proteção de Dados europeia) e privacidade ocultando outras informações. Precisamos usar alguns métodos especializados para monitorar a reputação de alguns domínios e identificar de maneira proativa registros suspeitos.
As principais “histórias de pescador” da internet. Ou melhor, “histórias de phisher”.
Credit: Getty Images
Possíveis vítimas de ataques de phishing não acessam sites estranhos para acessar suas contas correntes ou outras plataformas por livre e espontânea vontade. É por isso que os criminosos têm que encontrar diferentes formas de chegar até eles.
Uma das táticas mais comuns é o “typosquatting”. É uma forma de “cybersquatting”, que é nada menos que a prática de comprar um domínio com um nome comercialmente valioso com o intuito de vendê-lo ao titular da marca ou de enganar os consumidores. A diferença do “typosquatting” é que o domínio registrado não usa o nome de uma marca e sim um nome próximo, se aproveitando de um erro comum de digitação daquele termo. Dessa forma, o invasor espera que alguém tente acessar o site e cometa aquele erro, sendo direcionada assim a um site semelhante, porém malicioso. É por esse motivo que muitas empresas têm registrado também os domínios com os erros de digitação mais comuns em relação ao seu site original. O Google, por exemplo, redireciona para sua página principal todas as pessoas que por algum motivo cheguem até o “gooogle.com”, ao invés do “google.com”. De qualquer forma, existem milhares de possibilidades de erros de digitação, o que torna essa prática
ainda mais difícil e pouco eficiente. Para evitar esse tipo de situação, nós usamos um método chamado “Distanciamento Levenshtein”, um algoritmo de combinações de nomes que nos ajuda a detectar casos de typosquatting e bloquear domínios similares e suspeitos.
Outra abordagem menos conhecida, mas cada vez mais comum é o uso de domínios internacionais (IDNs), que usam caracteres que não fazem parte do alfabeto latino. Tradicionalmente, todos os endereços da internet eram escritos em formato ASCII, mas desde a última década você já pode registrar também domínios em Unicode, para dar espaço a alfabetos como o cirílico, o grego e o chinês.
O problema nesse caso é que alguns idiomas usam as mesmas letras, mas essas letras são interpretadas de diferentes formas pelos computadores. Por exemplo, a letra “b” em inglês é visualmente idêntica à letra “b” em russo, apesar de serem letras diferentes. Por exemplo, um domínio como o “caixa.gov.br”, correspondente a um dos maiores bancos do Brasil, seria visualmente idêntico se escrito no alfabeto cirílico se a letra “c” fosse substituída por sua similar em cirílico. Somente um computador poderia detectar essa diferença, porque no computador cada uma dessas letras é representada por um código diferente.
Existem também outras manobras que usam o sistema IDN, mas de maneira menos sutil. Algumas adicionam acentos a alguns caracteres ou letras similares,como o “k” russo em comparação com o “k” em inglês, por exemplo. Não são letras idênticas, mas sua forma parecida pode ser algo que passe despercebido por um usuário não tão atencioso.
Protegendo o país do phishing. O que o futuro reserva para o Brasil?
Percorremos um longo caminho desde 2014. Com o GDPR (Regulamento Geral de Proteção de Dados europeia) aparecendo como mais um obstáculo criado para mascarar informações sobre o registro de domínios, tivemos que encontrar outras formas de determinar sua autenticidade. Ainda assim, existem casos onde especialistas locais cumprem um papel fundamental e outros onde é necessária a aprovação humana. O caso da Caixa é um bom exemplo disso também. Como o termo é usado para falar tanto do objeto como do banco, é necessário um cuidado maior para não terminar colocando na lista de bloqueados, empresas inocentes que usem termos semelhantes, como marcas de logística ou embalagens. Para isso precisamos de uma análise mais especializada, muitas vezes feita manualmente. Um caso similar é o do Santander, já que o termo não é só o nome de um banco, como também o nome de uma cidade da Espanha, uma província das Filipinas e um estado da Colômbia.
Em conclusão, essa abordagem preventiva e proativa se tornou algo essencial para evitar o phishing, já que os métodos de segurança tradicionais já não são suficientes para lidar com esse tipo de ameaça; Porém, a Kaspersky espera que esses esforços possam ajudar as organizações e as pessoas, não só no Brasil, mas no mundo todo, a se manter sempre um passo à frente desses criminosos.
