Quase todos os dias ouvimos falar
de um novo esquema inteligente do tipo “phishing”.
Esses sofisticados ataques utilizam e-mails fictícios
(“spoofed”) e websites fraudulentos destinados
a enganar os destinatários e fazer com que
eles revelem dados financeiros pessoais, como números
de cartão de crédito, nome de usuário
e senha de contas, e números de previdência
social. E as ocorrências desses ataques aumentam
a cada dia.
De acordo com as estatísticas mais
recentes do Anti-Phishing Working Group (Grupo de
Trabalho contra
Phishing), 1.197 novos ataques foram registrados em
maio, um aumento de 6% em relação ao
número de ataques em abril. O grupo atribuiu
esse aumento relativamente pequeno a uma queda na atividade
online devido ao feriado do Memorial Day nos Estados
Unidos. Em comparação, os 1.125 ataques
registrados em abril representam um aumento de 178%
em relação ao mês anterior.
O grupo
observou também que, nos sete meses
durante os quais registrou ocorrências de phishing,
o número de “alvos” de ataques foi
significativamente reduzido. “Fica aparente”,
afirmou o grupo, “que os responsáveis
pelo phishing concentraram seus esforços no
Citibank, eBay e Paypal”. Além disso,
o grupo realizou uma análise dos ataques em
maio, e apontou que 95% deles utilizaram endereços
de e-mail fictícios (“spoofed”)
ou falsos.
Criação de leis
Não é de se surpreender que a proliferação desses
ataques tenha atraído a atenção dos legisladores.
Embora
a lei sobre o roubo de identidade aprovada pelo presidente norte-americano
George Bush no começo do mês inclua a
prisão obrigatória
daqueles que utilizem identidades roubadas para cometer crimes, a nova lei
não
condena o ato de phishing. O senador norte-americano Patrick Leahy deseja remediar
isso. A lei Anti-Phishing de 2004 proposta por Patrick Leahy, introduzida este
mês, tem como alvo o esquema inteiro, desde o envio do e-mail à criação
de websites fraudulentos. Cada aspecto do ataque seria considerado uma contravenção
sujeita a cinco anos de prisão e uma multa de até US$250 mil.
Alguns
dos responsáveis por phishing são processados de acordo
com as leis de fraude online e roubo de identidade, porém, em geral,
esses processos ocorrem apenas após uma vítima ter sido enganada”,
afirmou Leahy ao propor a lei de acordo com um relatório no internetnews.com. “Quando
as pessoas não acreditarem mais que um website seja o que aparenta ser,
elas não utilizarão a internet para transações
seguras. Portanto, as leis atuais relacionadas ao roubo de identidade e fraudes
online
não são suficientes para deter os esquemas de phishing. [Essa
legislação
tornaria] ilegal o envio de e-mails fictícios que levassem a websites
fraudulentos com a intenção de cometer um crime. Além
disso, ela tornaria ilegais esses websites fraudulentos, que seriam o local
em que o
crime é realmente cometido.”
Esforços para detectar fraudes em tempo real
Os legisladores não são os únicos a tomar medidas de combate
ao phishing. No mês passado, a MasterCard International juntou forças
com um especialista em detecção de fraudes para lançar a
sua nova iniciativa contra o roubo de identidades. Como parte dessa iniciativa,
a MasterCard se esforçará para tentar “detectar fraudes online
em tempo real à medida que se espalham pela Internet”.
Estamos enfrentando
o roubo de identidade ao combatê-lo diretamente no
local em que as fraudes de cartões de pagamento são criadas e
lançadas”,
afirmou Sergio Piñòn, vice-presidente sênior de Serviços
de Segurança e Riscos Globais da MasterCard. “Ao identificar esses
círculos de troca ilegal de número de cartões de crédito
e ao trabalhar para fechar os mercados negros online de cartões de pagamento,
bem como os websites criados especialmente para roubar informações
pessoais, seremos capazes de deter a atividade ilegal antes que ela comprometa
as contas de indivíduos”.
Com freqüência, os esquemas
de phishing e outras formas de fraude são perpetuados por criminosos
que compram e vendem números de
cartão de crédito e outras informações pessoais
através
de fóruns online secretos.
A MasterCard se esforça para monitorar
continuamente os nomes de domínio,
páginas da web, discussões online, spam e outros meios online
a fim de identificar círculos de venda de informações,
ataques por meio de phishing e outros métodos de fraude online assim
que são
lançados.
Além disso, o parceiro da MasterCard nessa iniciativa
irá rastrear
na Internet os responsáveis por phishing e os entregará às
autoridades competentes.
A nova face dos cibercrimes
Podemos dizer que essa seja a nova face dos crimes online. Hackers que antigamente
buscavam notoriedade ao prejudicar um website popular, hoje em dia são
motivados por um princípio mais mundano: dinheiro. E cada vez mais eles
têm recebido o investimento necessário para criar novos tipos
de fraudes. Como observou Richard Clarke, antigo conselheiro-mor de cibersegurança
da Casa Branca, sobre os “bandidos” online atuais:
Em uma extremidade
do espectro estão aqueles tentando se exibir. Com freqüência,
são adolescentes fazendo o equivalente a ‘tirar um racha’ no
ciberespaço. Entretanto, no próximo nível estão
aqueles envolvidos em fraude e extorsão. No mundo todo, indivíduos
têm
se infiltrado em sistemas de países estrangeiros, descobrindo listas
de clientes e ameaçando disponibilizar os nomes e os dados de cartão
de crédito em websites públicos a menos que sejam pagos. Isso é pura
chantagem e extorsão”.
E essas atividades ilegais têm se
mostrado extremamente lucrativas. De acordo com um estudo recente conduzido
pela organização de pesquisa
Gartner Inc. (“Phishing Attack Victims Likely Targets for Identity
Thefts”,
abril de 2004), as tentativas ilegais de obter senhas, informações
de cartão de crédito e outros dados pessoais causaram em 2003
um prejuízo de $1,2 bilhão de dólares aos bancos e instituições
de cartão de crédito norte-americanas. A Gartner sugere que
57 milhões de adultos já sofreram ataques do tipo phishing,
e que 1,78 milhão de adultos foi vítima desses ataques, fornecendo
informações
confidenciais pessoais.
Aparentemente, os agressores estão agora levando
o ataque do tipo phishing para um outro nível. Em vez de contar
somente com a ingenuidade de suas vítimas, os agressores estão
também
se aliando aos criadores de vírus para explorar as vulnerabilidades
de software e plantar Cavalos de Tróia nos computadores-alvo.
Em
maio, o jornal de tecnologia eWEEK relatou que uma mensagem de e-mail
começara
a circular com a finalidade de instalar um Cavalo de Tróia conhecido
como Sepuc. O e-mail não apresenta uma linha de assunto, e não
possui texto no corpo da mensagem. Quando o usuário abre a mensagem,
o código
oculto no e-mail tenta explorar uma vulnerabilidade conhecida do navegador
Internet Explorer da Microsoft para forçar um download de um computador
remoto. Em seguida, o arquivo faz o download de vários outros
códigos,
e eventualmente instala um Cavalo de Tróia capaz de coletar dados
do PC e enviá-los a um computador remoto.
De acordo com a eWEEK, “O
aspecto mais preocupante desse ataque é que,
diferente de agressões anteriores, suas vítimas não
estão
cientes de estarem fazendo algo errado.”
O que você pode fazer
O que os usuários corporativos podem fazer para que não sejam
vítimas de ataques do tipo phishing? Como regra geral, os especialistas
em segurança são unânimes ao afirmar que os usuários
devem, acima de tudo, ser extremamente cuidadosos ao fornecer informações
financeiras pessoais via Internet. De fato, eles deveriam suspeitar de qualquer
e-mail que contenha solicitações urgentes de fornecimento dessas
informações. Para obter informações detalhadas, os
usuários podem também consultar os recursos a seguir:
- O Anti-Phishing
Working Group (Grupo de Trabalho contra o Phishing) compilou
uma lista de recomendações (em
inglês) que pode ser usada
como auxílio à prevenção contra fraudes desse
tipo.
- O
APWG oferece também este
conselho (em inglês) caso você já tenha
fornecido informações financeiras pessoais.
- O Federal Trade
Commission (Comissão Federal de Comércio) fornece essas
informações (em inglês) sobre como evitar essas
fraudes.
Links Relacionados:
|
