Os cibercriminosos vem utilizando informações disponíveis em redes sociais, como Facebook e LinkedIn, para criar e-mails maliciosos. O LinkedIn, por exemplo, contém diversas informações sobre o perfil profissional de seus integrantes tornando-se uma ótima fonte para que os golpistas virtuais possam praticar engenharia social para praticar seus crimes.
Em segurança da informação, denomina-se “Engenharia Social” as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora-se as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.
Segundo informado pelo site Computerworld, no mês passado, o laboratório de ferramentas analíticas e de computação, Oak Ridge descobriu que um malware sofisticado de roubo de dados havia se infiltrado em suas redes. A invasão teve origem em um e-mail de phishing enviado para cerca de 600 funcionários. A mensagem foi “disfarçada” para parecer um comunicado sobre mudanças de benefícios do departamento de recursos humanos. Quando alguns empregados clicaram em um link anexado no e-mail, o malware foi baixado para seus computadores. Esses tipos de e-mails tem sido o método preferido para invadir redes corporativas. Os e-mails de phishing são personalizados, localizados e desenvolvidos de maneira a parecer como se tivessem se originado de uma fonte confiável.
Para se ter uma noção da gravidade desse problema, um relatório semestral de segurança na internet realizado pela Microsoft e divulgado esta semana, encontrou evidências de um aumento de 1.200% nos ataques de phishing em 2010. De acordo com o estudo da Microsoft, estes ataques representavam, um ano antes, menos de 10% de todas as fraudes cometidas por meio de sites de relacionamento. No fim de 2010, esta proporção aumentou para 85%. Recente pesquisa da ESET, empresa européia de segurança digital, apontou que o Brasil lidera o número de tentativas de roubo de dados bancários pela Internet na América Latina. No Brasil, a grande maioria dos ataques de phishing é projetada para o roubo de credenciais bancárias.
A prevenção destes ataques deverá demandar inicialmente desconfiança do conteúdo divulgado e posterior checagem de fontes dos fatos narrados por meio de outros ambientes que não seja exclusivamente o digital. É necessário que as informações divulgadas a cerca do perfil em sites de relacionamentos sejam restritas ao foco dos temas ali tratados, ou seja, o usuário deve definir qual postura ele quer adotar naquela rede social: pessoal ou profissional.
No Brasil, a criação e propagação de phishing ainda não é tipificada como crime na legislação. O projeto de lei de Crimes Cibernéticos (PL 84/1999) que tramita há 12 anos no Senado propõe tipificar esta prática como um crime de estelionato eletrônico. O PL prevê em seu Art. 6° punição com multa e prisão de até quatro anos quem difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado. No entanto, temos que ressaltar que o phishing pode ser utilizado como um meio para praticar outros ilícitos que já estão tipificados no Código Penal, tal como crime de dano, falsidade ideológica dentre outros.
Fonte: TIEspecialistas
Nenhum comentário:
Postar um comentário