junho 15, 2009

[Segurança] Phishing engana 88% dos usuários web

Uma pesquisa divulgada recentemente pela VeriSign mostrou que nada menos do que 88% dos consumidores online nos EUA não conseguem identificar sites falsos criados pelos "phishers" (isto é como chamamos os criminosos que criam as mensagens de phishing).

Há várias pistas que normalmente ajudam os usuários online a perceber se um site ou uma mensagem de e-mail são falsos, como por exemplo:
  • Erros de digitação ou de escrita no site, pois é comum os criminosos cometerem alguns erros simples de gramática ou de concordância nos textos ou nos títulos das mensagens e sites que eles criam. Sites de phishing com estes erros não foram percebidos por 88% dos entrevistados.
  • Ausência do símbolo do cadeado indicando que a conexão é segura (através de SSL, que garante a identidade do site e a criptografia, isto é, o sigilo dos dados enviados ao site). Esta é uma pista muito comum pois os sites falsos não conseguem reproduzir os certificados SSL dos sites verdadeiros. Consequentemente, os phishings mais sofisticados apelam para colocar simples imagens de cadeados no site (para dar uma falsa indicação de que o site é seguro), usam certificados falsos ou de demonstração (associados a outros domínios) ou, raramente, conseguem explorar alguma falha de um site verdadeiro para injetar a tela de phishing no site real. De qualquer forma, a ausência do cadeado não foi notada por 68% dos consumidores entrevistados. Na minha opinião há um fator adicional, válido pelo menos aqui no Brasil: vários bancos colocam a tela de entrada do Internet Banking "dentro" da página inicial (através de um frame, por exemplo), de forma que o acesso fica de fácil navegação para o cliente, mas desta forma as indicações da conexão segura SSL não aparece (nem o cadeado nem o https na barra de endereços).
  • O endereço do site (URL) contendo nomes ou números não relacionados ao site original. Como os criminosos utilizam outros sites para hospedar suas páginas falsas, a URL (endereço web) do site nunca corresponde ao site original. Ou é um endereço parecido (com um nome parecido, como www.seub4nco.net em vez de www.seubanco.com.br) ou, em muitos casos, é uma URL de outro site que nada tem a ver com o site original (por exemplo, www.hospedeaquiseusite/seubanco). Este é um erro que pode ser percebido muito fácilmente (basta olhar o link na mensagem ou o endereço na barra de endereços do navegador), mas mesmo assim quase a metade (42%) dos usuários entrevistados não perceberam isto.
  • Solicitação de dados da conta desnecessários. Como as mensagens e os sites de phishing querem roubar os dados do cliente, normalmente eles pedem que o usuário forneça todos os seus dados em uma única tela. Em vez da tela de login do seu banco pedir apenas o seu nome (ou número da conta corrente) e sua senha, no site de phishing a tela de login já pede todos os seus dados bancários de uma única vez: número da conta, todas as senhas (incluindo do cartão de senha, se seu banco utilizar), dados dos cartões de crédito, as vezes até o CPF e por aí vai. Aí, não tem jeito, você já está entregando todos os seus dados na mão dos criminosos. 33% dos usuários pesquisados caíram no golpe de phishing neste momento (que é um índice bem alto, na minha opinião).


Para ajudar os usuários a identificar sites falsos, a VeriSign lançou um jogo online chamado "Phish or No Phish Challenge", onde foram criados alguns exemplos de sites de phishing para os internautas identificarem quando o site possui alguma característica que o identifique como sendo uma farsa. Os exemplos são um pouco simples demais, as vezes, mas ainda assim podem ajudar a educar as pessoas a terem mais cuidados.

Aqui no Brasil, a RNP mantém um ótimo catálogo de fraudes online, com centenas de exemplos reais de mensagens fraudulentas que já circularam pela Internet (atualizado constantemente).

ATUALIZADO: O portal de segurança do G1 lançou hoje um teste com dez perguntas para os usuários avaliarem o quanto conhecem e estão informados sobre as ferramentas e recursos de segurança de seus computadores e sobre as principais ameaças atuais. O teste é simples e interativo, onde após cada pergunta são mostradas as respostas (qual é a correta e quais são as erradas) com um link para uma explicação mais detalhada sobre o assunto.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.