Pular para o conteúdo principal

MAS O QUE É PHISHING?


Em 31 de Maio de 1995 foi publicada a Portaria Interministerial nº 147, criando o Comitê Gestor da Internet no Brasil – CGI.br, com a finalidade de coordenar e integrar todas as iniciativas de serviços de internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados (CGI.BR).
O órgão responsável pela monitoria dos incidentes é o Grupo de Resposta a Incidentes de Segurança para a Internet no Brasil, CERT.BR. É responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à internet brasileira. Este órgão é mantido pelo Comitê Gestor da Internet no Brasil – CGI.BR, atuando como um ponto central para notificações desta natureza e como apoio no processo de resposta e, quando se fizer necessário, atuar para colocar as partes envolvidas em contato. As principais atividades desenvolvidas gravitam entre o tratamento de incidentes reportados, treinamento e conscientização e análise de tendências de ataques noticiados.
O CERT.BR define a fraude de Phishing, phishing-scam ou hishing/scam como sendo o meio da qual um golpista, através da internet, tenta obter dados pessoais e financeiros pela utilização combinada de meios técnicos e engenharia social. Normalmente ocorrem através do envio de e-mails fraudulentos, onde, tentando se passar pela comunicação oficial de algum órgão ou instituição conhecida, procuram atrair a atenção dos usuários provocando curiosidade, empatia ou caridade, objetivando auferir alguma vantagem financeira. Em muitos casos tentam assustar as vítimas com mensagens de que caso determinada ação não seja tomada haverá consequências do tipo inscrição no serviço de proteção ao crédito, cancelamento de cadastro ou, até mesmo, o bloqueio da conta corrente da potencial vítima. Esta técnica tenta induzir o usuário a fornecer dados pessoais e dados bancários em páginas falsas, como também a instalação de códigos maliciosos projetados para coletar informações sensíveis.
Prevenção:
Para a correta prevenção, o CERT.BR orienta o seguinte:
  1. Atenção a mensagens recebidas em nome de alguma instituição tentando a induzi-lo a fornecer informações e/ou instalar/executar programas ou, ainda, clicar em links;
  2. Questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens, como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança);
  3. Ficar atento a mensagens apelativas pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos;
  4. Nunca considerar que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas ou de perfis falsos criados para esta finalidade;
  5. Sempre ser cuidadoso ao acessar links, procurando digitar o endereço diretamente no navegador Web;
  6. Observe o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso;
  7. Utilize mecanismos de segurança, como programas antimalware, firewall pessoal e filtros antiphishing;
  8. Observe sempre se a página utiliza conexão segura. Sites de comércio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados sensíveis são solicitados;
  9. Sempre confira as informações mostradas no certificado de segurança da respectiva página indicada. Caso a página falsa utilize conexão segura, um novo certificado será apresentado e, possivelmente, o endereço mostrado no navegador Web será diferente do endereço correspondente ao site verdadeiro;
  10. Por último, sempre acesse a página da instituição que supostamente enviou a mensagem e procure por informações (você vai observar que não faz parte da política da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usuários).

Comentários

Postagens mais visitadas deste blog

ARTIGO: VINCULAR FOTOS NO MS ACCESS

por Luís Fernando da Silva Bittencourt

Estes dias estava em um fórum na web e notei a grande dificuldade dos usuários mais inexperientes quanto à vinculação de imagens no MS ACCESS. O recurso de vinculação de imagens serve para não sobrecarregar a base de dados com objetos OLE, pois neste aplicativo as imagens podem ser inseridas diretamente na base de dados, aceitando imagens no formato bmp. Entretanto, “o peso” gerado, dependendo da função da base de dados criada com o Access, logo esgotará a possibilidade de novos cadastros, haja vista existir uma limitação de 4Gb de registros.

Então, ao invés de se inserir uma foto no formato bmp diretamente na base de dados, fica muito mais lógico guardar apenas o caminho desta imagem, fazendo com que o nosso sistema busque a imagem respectiva e a apresente em um formulário de consulta ou relatório.

Para tanto, devemos inicialmente criar na respectiva tabela (objeto do MS Access responsável pela guarda das informações, sendo esta a base de dados pro…

Blogs sobre segurança em português

Hoje, visitando o blog do consultor de segurança da informação Sandro Süffert, achei de muito bom tom a relação que ele postou de blogs em lingua portuguesa que tratam sobre segurança da informação e resposta a incidentes/forense, ficando lisongeado pelo fato do Arquivos Máximus ter sido citado. Tendo em vista a facilidade que tal relação pode gerar à comunidade, concentrando num mesmo espaço ricas fontes de informação, abrangendo várias áreas do espectro criminalístico, vou reproduzir a referida relação, bem como deixar o link no menu lateral "Destaques do Blog", visando facilitar o acesso futuro. Segue a citada relação: Luis Bittencourt - http://arquivosmaximus.blogspot.com
Nelson Brito - http://fnstenv.blogspot.com CrkPortugal - http://www.crkportugal.net (Portugal) Marcelo Souza - http://marcelosouza.com PseudoRandom - http://blog.sapao.net Forense Coputacional - http://forcomp.blogspot.com Think Security First - http://wagnerelias.com Pedro Quintanilha - http://pedroquintanilha…

BUSCA ELETRÔNICA - 2

Durante minhas aulas de Busca Eletrônica para os alunos do Curso de Formação Profissional de Nível Superior de Inspetor / Escrivão de Polícia Civil do Estado do Rio Grande do Sul/RS, foi questionado em aula onde poderiam buscar mais informações sobre os OPERADORES DE BUSCA utilizados pelas ferramentas de pesquisa do GOOGLE, além dos passados em aula. Assim, visando aumentar os conhecimentos sobre o assunto, pode ser acessado aqui uma cartilha com maiores informações.