Joaquim e Ulisses durante a SecureBrasil 2013 (Fonte da imagem: Reprodução/Tecmundo)
Você pode até nunca ter notado, mas é bem provável que já tenha sido vítima de uma tentativa de phishing. O termo, derivado da palavra inglesa fishing (pesca), refere-se ao ataque hacker no qual o criminoso se passa por uma organização conhecida para roubar dados variados de um internauta.
Quer um exemplo? É bem provável que você já tenha recebido um email supostamente enviado por algum banco no qual você sequer possui conta, pedindo para que você atualizasse algumas informações cadastrais. Uma pequena parcela das vítimas acaba inserindo os dados requisitados e sendo vítimas de fraude, mas a grande maioria das pessoas costuma ignorar completamente essas mensagens.
E foi então que surgiram os spear phishings (pescas com lanças), uma evolução do método tradicional que consiste em estudar seu alvo de maneira mais profunda com o intuito de oferecer uma isca mais convincente. Afinal, se você é cliente do banco X e recebe um email do Y, é óbvio que você ficará desconfiado; caso a mensagem pareça ter sido enviada pela instituição financeira que você realmente utilize, contudo, é bem mais provável que você acabe caindo no golpe.
Falsos emails de bancos são bastante comuns para a prática de phishing (Fonte da imagem: Reprodução/Brand Protect)
Automatizando a coleta e análise de dados
Joaquim Espinhara e Ulisses Albuquerque são dois consultores de segurança que trabalham para a Trustwave, famosa companhia que atua no ramo de antivírus. A dupla marcou presença na SecureBrasil 2013, evento sobre segurança da informação que ocorreu ontem (22) em São Paulo capital, e apresentou ao público uma invenção batizada simplesmente como µphisher.
Idealizado como uma ferramenta voltada para automatizar análises de público e validação de conteúdos, o utilitário permite que qualquer pessoa “rastreie” informações públicas de um determinado cidadão, com o intuito de remontar sua personalidade e reproduzir detalhadamente seu modo de escrever.
Em outras palavras, o µphisher é capaz de extrair dados de redes sociais e criar um banco de dados com tudo o que for postado publicamente por um internauta; com base nisso, é possível descobrir as palavras mais utilizadas pelo “alvo” e outros dados que dizem respeito às suas interações sociais na rede.
Ulisses explica o funcionamento da ferramenta (Fonte da imagem: Reprodução/Tecmundo)
Simulando um ataque direcionado
Os dados capturados pelo µphisher podem ser usados como “impressões digitais” capazes de identificar se um conteúdo foi realmente produzido por uma pessoa ou não. Mas o interessante é que ele também pode ser usado para simular spear phishings, embora isso obviamente não seja recomendado. Em sua palestra, Espinhara detalhou o processo pelo qual um cibercriminoso passaria caso resolvesse usar a ferramenta para fins ilegais.
Primeiramente, o alvo do ataque é escolhido. Depois, determina-se um amigo que interaja periodicamente com essa vítima através de alguma rede social que permita publicação de conteúdos inéditos, como o Twitter (o Foursquare, por exemplo, apresenta muitos textos automatizados e não combina muito bem com o utilitário).
Após a coleta de dados e filtro de dados, o meliante já teria um perfil montado e teria extrema facilidade de redigir uma mensagem se passando por aquela pessoa. Por fim, bastaria criar um falso email do Twitter, informando ao alvo primário que ele foi mencionado na rede social pelo amigo que foi “clonado” – ao clicar na tal mensagem, contudo, a vítima seria redirecionada a uma página maliciosa.
Twitter é a principal rede social para coleta de dados através do µphisher (Fonte da imagem: Reprodução/Wired)
Qualquer um pode experimentar
Vale ressaltar novamente que o µphisher não foi construído para ser utilizado em cibercrimes, até porque é extremamente fácil descobrir quem está por trás de uma eventual coleta de dados públicos. Ele também não oferece riscos à privacidade de ninguém, pois não extrai mensagens particulares e outras informações que o internauta decidiu manter escondidas.
A ferramenta ainda está em desenvolvimento e por enquanto não oferece total suporte para a língua portuguesa, sendo recomendado seu uso somente com conteúdos em inglês. Caso você tenha interesse em contribuir para o µphisher ou esteja curioso para simular um spear phishing, é possível baixar a API através deste link. Mas lembre-se: faça testes apenas com pessoas que deram a devida autorização.
Categorias