Segurança
Estórias de Cybercrimes
Ter 22 Mai 2007 20:14 |
- Detalhes
- Categoria: Armadilhas na Web
- Atualização: Domingo, 12 Abril 2009 17:13
- Autor: vovó Vicki
- Acessos: 7007
Estória de Steve
Steve F. mora nos subúrbios de Kansas City, Missouri e é um ex-funcionário aposentado do governo. Steve tinha software antivírus e um Firewall e os mantinha sempre atualizados. Ele sabia que não devia clicar num anexo a um email, se ele não o estivesse esperando, e sabia que essa precaução se aplicava tanto a emails de amigos quanto de "desconhecidos".
Um dia, em setembro passado, Steve recebeu um email que parecia ter sido enviado pelo seu banco, pedindo que ele se "logasse" à sua conta bancária e de investimentos, para atualizar suas informações pessoais. Ele clicou na URL do email e foi direto para o site do seu banco – ou assim parecia. Na realidade, a URL no email levou Steve para um site "parecido". O site parecia idêntico ao site do seu próprio banco, de forma que, quando lhe perguntaram sobre o número de sua conta, nome de usuário e senha, ele automaticamente começou a digitá-los. Então, ele se lembrou de algo que ele ouvira numa palestra em uma das reuniões do seu Rotary Club local, havia aproximadamente dois meses.
O conferencista falara sobre ataques de "phishing" – mencionando, especificamente, sites "parecidos". A chave para reconhecê-los, Steve se recordou, era a de que um banco NUNCA manda a seus clientes emails com um link neles, pedindo-lhes para clicar neles e "logar" na sua conta. "Se você receber um tal email", disse o conferencista, "simplesmente desfaça-se dele". E foi o que ele fez.
Steve tinha sido a última pretensa vítima do que ele havia ouvido sobre, recentemente – um ataque de "phishing". Entretanto, ele se recordou, ainda em tempo, da regra simples de que um banco nunca envia a um cliente um link da Net, via email, pedindo que seus correntistas enviem informações pessoais. Tivesse ele feito o que era pedido e os "cybercriminosos" teriam tudo do que precisavam para manipular sua conta de investimentos.
Estória de Koby
Alguns dos métodos de "phishing" podem ser bastante sofisticados. Koby, instrutor de uma escola de nível médio, recentemente foi vítima de um tal esquema. Koby estava usando o eBay para vender um de seus veículos e encontrou um comprador conveniente, após alguns dias. O comprador pagou pelo veículo e Koby retirou seu anúncio do eBay.
Ele ficou intrigado quando, ao entrar em sua conta no eBay, ele foi informado de ainda tinha "um item à venda". Ele foi à sua página e lá estava o veículo – o mesmo que ele havia acabado de vender – à venda. O endereço de email que estava no anúncio não era o seu. Era bastante parecido, de tal forma que a maioria das pessoas não notariam ou suspeitariam, mas Koby sabia – e ele notou que algo não estava certo.
Ele enviou um email para o "vendedor", se oferecendo para comprar o veículo e fez as negociações para o envio do dinheiro. Como ele descobriu, o "vendedor" estava localizado em Chicago. Koby passou as informações ao FBI, que conseguiu rastrear os fraudadores.
Como foi que estes tiveram acesso á conta de Koby, em primeiro lugar? Um email de "phishing", avisando que a conta de Koby havia sido corrompida, pedia a ele que clicasse num determinado link, para uma URL, para corrigir sua conta no eBay. Ele clicou, foi mandado a uma página que parecia idêntica à sua página do eBay e digitou as informações sobre sua conta. Os criminosos usaram essa informação para entrarem em sua verdadeira conta do eBay e mudar o número do telefone de contato.
Estória de Michelle
Michelle, uma esteticista do Kansas, conseguiu seu primeiro computador há três anos e ela se alegrava recebendo emails de seus antigos colegas da escola. Ela também gostava de dar uma olhada nos últimos lançamentos de produtos de beleza, online, apesar de nunca ter comprado nenhum deles. Ela era mãe solteira, com dois filhos, e um dos usos do computador era para seus filhos fazerem pesquisa para trabalhos da escola.
Entretanto, durante o último ano, Michelle notou que seu computador parecia estar trabalhando muito mais lentamente. De fato, na época em que nós a entrevistamos, ela e seus dois filhos haviam parado de usar o computador, pelo fato de ele estar tão lento que era praticamente inútil.
No Natal, ela decidiu comprar presentes para algumas das pessoas com as quais ela trabalhava. Em particular, ela queria localizar algumas joaninhas vivas, para dar para uma das moças, no trabalho. Não tendo um computador utilizável em casa, ela resolveu pedir emprestado o computador de sua avó,para encontrar e comprar as joaninhas. Após um curto tempo, ela notou que o computador de sua avó parecia estar funcionando mais lentamente também e, daí, ela decidiu que computadores não eram "sua praia".
O novo namorado de Michelle, no entanto, era estudante de Engenharia e Ciência de Computadores e, quando ela lhe contou acerca dos computadores "lentos", ele adivinhou o problema na hora: "spyware". Ele fez um download de um programa detetor de "spyware" e confirmou seu diagnóstico. Gastou vários dias para resolver a bagunça mas, eventualmente o "spyware" foi removido e os computadores voltaram ao normal. Ele instalou antivírus e software de segurança para Michelle e sua avó e ambas estavam de volta online, rapidinho. No entanto, a história não termina aqui.
Enquanto Michelle estava usando o computador de sua avó, ela recebeu um "pop-up" dizendo que ela havia ganhado um prêmio de $500. Tudo o que ela tinha a fazer era responder a algumas perguntas e ela poderia reclamar seus $500 em vales-compra, de um shopping local. Michelle respondeu às perguntas e lhe disseram que ela deveria comprar dois pequenos itens, antes de receber seu certificado do prêmio. Ela comprou os dois itens – não muito caros –, do menu, deu as informações de seu cartão de crédito, conforme pedido, e tentou introduzir o resto das informações, para receber o certificado dos $500.
No entanto, o site não aceitava as informações e, após diversas tentativas, ela desistiu e resolveu enviar um email aos donos do site na esperança de que eles a ajudariam a resolver a questão. Ela escreveu para eles duas vezes, mas nunca recebeu uma resposta. Seu cartão de crédito foi debitado sobre os dois "pequenos itens" que ela havia comprado, mas ela nunca recebeu os $500.
Essas ilustrações sobre "cybercrimes" demonstram que os "cybercriminosos" são muito bons em explorar não apenas tecnologia (tais como a vulnerabilidade no browser de Sandra, ou a falta de software de segurança nos computadores de Michelle), mas a natureza humana também. As pessoas tendem a creditar no que elas vêem online e, quando solicitadas por informações, elas tendem a dá-las.
Sendo educados no papel que os usuários podem ter em reduzir os riscos de se tornarem vítimas de "cybercrimes", eles podem aprender a tomar decisões que não apenas os protegerão, mas também a todos aqueles que estão à sua volta e podem ser, de alguma forma, alcançados pelos criminosos.
Fonte
Original em inglês na Symantec
Traduzido por Francisco A. Zerlottini (sem licença).