Home > Notícias

Explosão de golpes online

Criminosos da internet adotam novas estratégias para driblar filtros e capturar informações

Por Robert McMillan, PC World EUA

11/04/2007 às 11h59

hacker_70_84.jpg
Foto:

Criminosos da internet adotam novas estratégias para driblar filtros e capturar informações

hackerO número de sites dedicados a golpes online subiu vertiginosamente no ano passado nos Estados Unidos. Em novembro do ano passado, por exemplo, o Anti-Phishing Working Group encontrou 37.439 novos sites de phishing, um espantoso aumento de 709% em relação aos 4.630 endereços registrados no mesmo período de 2005.

Em outubro do ano passado, tanto a Mozilla quanto a Microsoft lançaram novas versões de seus browsers, que fazem uso de listas negras para bloquear os sites fraudulentos conhecidos. Em resposta, os phishers (criadores de golpes onlines) mais poderosos estão inundando a internet tão rapidamente com novos sites falsos que se torna difícil tirá-los do ar ou colocá-los em listas.

A facilidade alarmante com a qual esses fraudadores mudam de estratégia, junto com outras novas táticas phishing, faz alguns especialistas afirmarem que os phishers estão sempre um passo à frente na guerra dos golpes online.

Zulfikar Ramzan, principal pesquisador do grupo de segurança da Symantec, alerta que “as tecnologias que dependem muito das listas negras se tornarão cada vez menos úteis”.

Olha o kit para fraude baratinho...
De acordo com a empresa de segurança RSA, em janeiro hackers começaram a vender kits de phishing que permitem aos criminosos configurar sites falsos bem convincentes sem precisar de muito esforço. As páginas falsas copiam as imagens e os layouts dos sites originais, geralmente um banco ou outra instituição financeira, e passam as informações do usuário para o site verdadeiro para simular um login real – enquanto mantêm uma cópia dos dados da conta para os criminosos.

Os lucros também aumentaram. Segundo instituto Gartner, só nos EUA, 3,5 milhões de pessoas forneceram dados pessoais aos criminosos via internet em 2006, um aumento de 84% em relação ao ano anterior – com perdas totais de 2,8 bilhões de dólares. Estima-se que uma única quadrilha, conhecida como Rock Phish, tenha obtido mais de 100 milhões de dólares no período.

De acordo com especialistas de segurança, a Rock Phish é pioneira em muitas das técnicas que contribuíram para a recente explosão dos sites phishing. O spam de imagem que se esconde em figuras, contornando os filtros, é invenção da Rock Phish, segundo os especialistas, que declaram também que algum dia esse grupo, especializado em lograr instituições financeiras dos EUA e da Europa, pode ser responsável por metade dos sites phishing em operação.

++++

Tecnologias como a varredura heurística podem ajudar a combater as ameaças. Em vez de depender de listas negras de sites conhecidos, ela analisa o comportamento da página procurando por técnicas conhecidas usadas pelos golpistas. O IE 7 usa mecanismos heurísticos, o Firefox (e o IE 7 também) pode contar com o add-on SiteAdvisor, que oferece um sistema semelhante.

Dentre as novidades futuras que podem ajudar, existe um padrão para um novo tipo de certificação de site chamado de Extended Validation Secure Sockets Layer, ou EV SSL. Para obter essa certificado, os sites terão de ser verificados por empresas como a VeriSign ou a Entrust, para testar sua legitimidade. Em tais sites, a barra de endereços do browser ficaria verde.

A Microsoft suporta o EV SSL no browser IE 7, e grandes sites comerciais dos Estados Unidos começam a aderir à idéia.

Mas se a atual onda de sites phishing mostra alguma coisa, é que os bandidos podem burlar ferramentas e procedimentos para garantir seus lucros. Segundo Avivah Litan, analista do Gartner, recentemente os phishers têm desenvolvido novas tecnologias que poderiam ludibriar medidas de proteção, como o EV SSL.

Apesar de não existir nenhuma mágica hoje para proteger todos os usuários, existe uma maneira simples de evitar a maioria dos ataques phishing: nunca clicar num link de um e-mail ou mesmo em site de terceiros para se dirigir à sua conta bancária. Além disso, é preciso duvidar de mensagens que prometem prêmios ou mesmo vídeos. Use sempre seu link nos favoritos (ou bookmarks) ou tecle o endereço no browser.

Saiba mais sobre proteção de sistemas no Info Center de Segurança

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail