Trojan Kardphisher Phishing e hard disk.

Este espaço foi criado com um pensamento: escrever sobre minhas experiências, meu trabalho, mas principalmente sobre segurança de dados. Dai a analise de sistemas de backup onde abordamos o que é mais usado no Brasil como sistema de backup, que são os CD e DVD. Mas quando se trata de segurança de dados uma das piores situações que podemos nos defrontrar e a apropriação indevida de nossos dados para uso ilícito, como o roubo de nossa identidade para a realização de um desfalque, o roubo de nosso banco dados de clientes para venda a terceiros, o roubo de nossos projetos para pirataria industrial.
Roubo - em tratando dessa matéria poderíamos escrever um sem números de paginas inimaginável.

Atualmente uma das técnicas mais usadas para apropriação indevida na área digital e o PHISHING, e seu uso esta tão difundido que não é só usado por hackers, este tipo de técnica esta sendo usado por marginais com uma freqüência espantosa, ah... se a inteligência fosse usada para criar, que Brasil teríamos. São tantas as vítimas da chamada Engenharia Social que este mesmo que aqui se atreve a colocar seus pensamentos já viveu algumas situações que poderiam ter sido nefastas, felizmente sendo um privilegiado não fui prejudicado nem passei por um constrangimento que esse tipo de ação nos causa.

O Phishing é uma atividade criminosa onde o céu é o limite tantas são suas aplicações e implicações, mas o que me deixa preocupado é que a divulgação dos crimes anda lenta e isso não é bom, por isso usei a divulgação do Trojan Kardphisher (um phishing) para passar aos usuários de computador o que podemos fazer em caso de vivermos um drama causado por um ataque usando a técnica de phishing. Os hackers que são conhecidos como phisher tem como objetivo obter ilicitamente, dados: como nome de usuário, senhas, numero de conta bancaria, dados de cartão de credito. Para poder se apossar desses dados eles usam as chamadas mascara, e essa mascara é usada na Internet, fazendo uma cópia de tela e sobrepondo a falsa sobre a verdadeira e ao entrarmos com nossas informações elas são enviadas a eles usando muitas vezes ferramentas antigas e até mesmo conhecimentos simples que estão a disposição de todos na própria Internet, como por exemplo o nslookup e o telnet (só para exemplificar), esses comandos nas mão de um leitor de manuais podem se transformar em armas letais.

Os sites mais visados na internet, que tem suas telas mascaradas, são Ebay e PayPal por isso a cautela no uso dos mesmo tem que ser redobrada, os chamados bancos on-line também passam por essa prática. O phishing tem muitas versões e o Brasil é um dos celeiros mundiais para experiências bem sucedidas de phishing com uso de varias técnicas, sendo o telefone a campeã. Ligações de pseudos telemarketing com prêmios e vantagens são muito comuns, e nesse momento de rara felicidade (como o morto de fome que acaba de ser presenteado com um suculento prato de comida), o "meliante" inicia a tomada dos dados para possibilitar a entrega do premio, dados pessoais como nome, renda, endereço, número de filhos, datas de nascimento, numero de identidade, do CPF, é impressionante como se consegue um sem fim de informações sobre o cidadão. Revistas gratuitas por 3 meses, processo trabalhista realizado por entidade de classe, pesquisa de opinião pública com direito a um premio, advogados com propostas de acordo, ofertas de empregos aqui ou mesmo no exterior, concursos de TV, premio acumulado de BBB por voto realizado com seu numero telefônico, usam tudo o que vêem ser usado nas TVs nos jornais, e ate mesmo em livros.

Abusam, nada que já não seja praticado constantemente em nossa quase sempre vida miserável, sou brasileiro tenho meus direitos, direito a pagar os mais altos impostos do mundo, e fico orgulhoso porque só rico tem condição de pagar 40% do que ganha de impostos, tenho direito a ser assaltado pelo menos uma vez por semana, fico feliz de não ter morrido no assalto e assim posso ser assaltado semana que vem. Tenho direito a ouvir as mais belas composições da musica brasileira, os poemas do Chico Buarque fico feliz, e mais feliz ainda ficam “os patrões” que percebem que de há muito eu ouço essas composições maravilhosas e tudo que entendo é que a pobre Geni é uma mulher de vida fácil (que nem é tão fácil assim, diga-se de passagem). Nesse momento o leitor esta pensando - Xi, virou conversa de política, já vai falar mal do Lula. Não vou não, e isso não é papo de botequim nem conversa de política, mas sim para que se entenda porque recebo uma ligação no meio da madrugada de um presídio do Rio de Janeiro dizendo que meu filho de 12 anos que estava na boate foi raptado, “por#$%” o garoto brinca com automóveis de ferro, e não tem idade para entra em uma casa noturna ( nem dinheiro, para subornar o porteiro). Quero com esse parágrafo expor porque somos vítimas, o pouco que aqui descrevi é conhecido de "cor" por pessoas ( será que não poderíamos inventar outra palavra!!!) que estão dispostas a tudo.

O uso do telefone e entrevistas para coleta de informações pessoais é chamado de Engenharia Social (bem feito), a primeira vez que se usou o phishing e que foi reportado aconteceu em 2 de janeiro de 1996, impressionante não?. Mas o termo já havia sido motivo de artigo em uma revista americana chamada Hacker Magazine 2600, em uma edição de papel (essa revista tem versão on-line, e depois me perguntam se é difícil aprender a cometer crime na Internet. Ora, Ora !!! Esta tudo ai a disposição de quem quiser ler e aprender). O termo PHISHING nada mais é do que uma derivação de Fishing, em alusão a phreaking (hacker de telefone). Pode até mesmo não ser necessário, mas vou escrever, fish - significa pescar.

Uma das estratégias para combater o PHISHING é o treinamento dos usuários, a passagem da informação com exemplos práticos, a leitura de jornais e o acompanhamento dos casos de fraude, que estão em maior evidencia no momento. Não posso me furtar de dizer que informações que são dadas a pessoa desconhecida, do tipo: Qual a escola que seu filho freqüenta?, Qual o preço da mensalidade? O Sr ou Sra esta contente com a escola? Estamos propondo uma nova forma de ensino e contamos com sua presença. Qual o melhor horário para seu filho estudar? Na escola atual qual é o período que ele estuda? Qual o horário de entrada? Qual o horário de saída? A escola é longe da sua casa? Qual o seu bairro? Vai busca-lo de carro ou ele usa serviço de locomoção da escola? Aqui você tem um exemplo de engenharia social prático, se você leu atentamente minhas perguntas, já sabe quais as informações que podem ter sido passadas. Um seqüestro de verdade poderá ser realizado a partir das respostas desse simples questionário, que poderá ser realizado por uma pessoa com uma prancheta, se dizendo representante de uma nova escola ou do IBGE, ou mesmo essa entrevista poderá ser realizada por telefone, com apresentação do interlocutor semelhante as já descritas.

E-mails oriundos do IR, Correios, SPC, Escolas, Entidades Assistenciais, Ongs, e mesmo pedido de ajuda para encontrar pessoas desaparecidas (o mais usado é de crianças e vem até a foto para causar comoção) são práticas comuns para infectar seu micro, nunca abra seu e-mail que contenha um arquivo atachado, não aponte seu mouse para um endereço que esteja em seu e-mail sem antes ler o que esta escrito no hyperlink copie o link e cole no notepad, e veja para onde esta indo o re direcionamento, veja se o final do link não é um arquivo executável, ou tenha um extensão do tipo .scr, isso com certeza é um vírus. Convites para participar de festas, cartões com declarações afetivas, convites para seminários e palestras, todas essas práticas tomam como base a nossa falta de atenção a nossa preguiça e o fato de começarmos uma leitura e não irmos até o final.

Uma das maiores associações de Anti-Phishing do mundo é o "The Anti-Phishing Working Group", desafortunadamente o material esta em inglês, mas você poderá usar o tradutor e até mesmo o dicionário que disponibilizo no final da pagina para aumentar seu conhecimento no assunto, caso esteja interessado.