RNP - Rede Nacional de Ensino e Pesquisa

english | español


 

 
RNP na Mídia 
 

Como tratar incidentes de phishing


Módulo Security Magazine

Luis Fernando Rocha

07.03.2005


Vamos imaginar uma situação hipotética: você é profissional do departamento de Segurança da Informação de uma grande organização e no último final de semana começaram a ser disseminadas várias mensagens fraudulentas envolvendo o nome de sua empresa (algumas contendo arquivos maliciosos, outras direcionando a vítima para um site falso).

Assim, como o departamento de Segurança deve agir neste momento? Quais ações devem ser adotadas? Será preciso envolver outras áreas (comunicação e jurídico, por exemplo)? No final de janeiro, o instituto SANS publicou um exemplo de tratamento (handling) desses incidentes.

Pensando nisso, a redação da Módulo Security Magazine pediu que a equipe de profissionais do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (CAIS/RNP) preparasse um passo a passo brasileiro, que ajude os Security Offices do país na hora de atuar diante destas situações. Confira:

ANTES DE O ATAQUE ACONTECER: AÇÃO COM OS CLIENTES

  1. eduque seus usuários sobre conceitos básicos de navegação segura (não executar programas recebidos por e-mail, saber diferenciar quando o browser acessa um site seguro de um inseguro etc);
  2. destine um espaço de seu website público a orientações sobre ataques de phishing;
  3. seu cliente deve saber identificar um website/comunicação autêntica de sua empresa. Invista em certificação digital;
  4. se sua instituição decidiu por não se comunicar com seus usuários via Internet, então deixe isto bem claro;
  5. informe-se sobre soluções de prevenção de phishing. Hoje as mais comuns estão na forma de barras de ferramentas instaladas em browsers. A tendência é que estas ferramentas venham a se tornar mais úteis para o nosso cenário à medida que aumentar a integração do Brasil no combate mundial ao phishing. Exemplo: Netcraft Toolbar;
  6. crie e divulgue a maneira pelas quais casos de phishing podem ser denunciados para sua equipe de segurança;
  7. estabeleça contato prévio com instituições como a Anti-Phishing Working Group (APWG), provedores de acesso e mesmo outras empresas do mesmo setor. A mitigação de ataques, bem como a troca de informações serão beneficiadas. Uma boa rede de confiança estabelecida antes dos ataques é essencial;
  8. fique atento ao retorno (bounce) de mensagens em seus servidores de e-mail. É bem comum o uso de endereços de e-mail forjados como remetentes nas mensagens de phishing.

ANTES DE O ATAQUE ACONTECER: AÇÃO JUNTO À COMUNIDADE TÉCNICA

  1. nomes de domínio - para a grande maioria das pessoas o que diferencia um website autêntico de um falso é simplesmente o domínio. Os atacantes brasileiros se preocupavam em usar domínios semelhantes ao da instituição vítima. Hoje, nem mesmo se dão a este trabalho: é freqüente o uso de provedores de hosting gratuito e URLs nada parecidos com os do website autêntico. Mesmo assim é prudente se preocupar com domínios semelhantes ao de sua empresa. "visa-security.com", por exemplo, não é um domínio válido da Visa. Existem empresas que oferecem o serviço de busca por domínios suspeitos nas instituições de registro;
  2. ainda com relação a nomes de domínio - existem outra possibilidade de ataque que a comunidade técnica deve conhecer: pharming. Este tipo de ataque consiste em "envenenar" a resolução de nomes de domínio, seja invadindo e alterando o servidor DNS local da empresa, alterando por meio de um malware a resolução local de nomes (lmhosts no Windows) ou mesmo seqüestrando um domínio (tal como foi feito com o provedor Panix dos EUA recentemente). Outra medida interessante de prevenção que pode ser adaptada ao phishing é o descarte de consultas de DNS cujos os domínios estão reconhecidamente relacionados a phishing scam: Malware Prevention through black-hole DNS.

DEPOIS DE O ATAQUE ACONTECER

  1. investigue o e-mail e o website do phishing:
    1. obtenha amostras das mensagens de e-mail maliciosas com o cabeçalho completo.
    2. analise a mensagem em busca de URLs, endereços IP e endereços de e-mail do remetente. É bem comum que haja dois URLs envolvidos: um com o site que se faz passar pelo do banco e outro para o qual dos dados do formulário são submetidos. O segundo URL normalmente é encontrado dentro do código da página de phishing, normalmente nas seções de submit de botões de formulários.
    3. visite o website do phishing para saber a que nível de ataque seus clientes estão sendo submetidos, mas antes se prepare. No tratamento de incidentes de phishing, o CAIS raramente se deparou com um ataque sofisticado de phishing a clientes de instituições brasileiras, ou seja, que envolvesse vulnerabilidades do browser ou pharming. Mesmo assim, os especialistas do grupo recomendam evitar a utilização do Internet Explorer, pois o navegador é alvo da maioria dos ataques devido a considerável quantidade de vulnerabilidades. Se possível, o CAIS/RNP sugere o uso do Mozilla/Firefox ou mesmo um browser em modo texto, como o lynx. O ideal é que se copie apenas o código-fonte do site. Segundo os especialistas, isto pode ser feito com os utilitários wget e lynx, presentes na maioria das distribuições Linux.
  2. blacklists - submeta o endereço IP do host responsável pelo spam para blacklists para diminuir o número de vítimas em potencial. Embora radical, esta medida é mais eficaz do que apenas entrar em contato com a organização que hospeda o servidor de e-mail. Esta última opção toma tempo e é menos eficaz do que a primeira medida, especialmente porque na maioria das vezes os sites são hospedados em outros países;
  3. entre em contato com provedores de acesso à Internet - eles podem providenciar filtro para hosts que hospedam phishing em seus backbones, daí a importância de se estabelecer contatos previamente;
  4. envolva a área de comunicação de sua empresa - geralmente, a imprensa toma logo conhecimento desses ataques e vai procurar a área de Relações Públicas de sua empresa para saber mais sobre o assunto. Assim, procure manter a área de comunicação ciente do assunto desde o começo, além de passar todas as informações possíveis sobre esse processo. Isso pode evitar que a imagem de sua empresa seja comprometida;
  5. informe seus clientes - cada empresa sabe a melhor maneira de contactar seus clientes. Uma pequena chamada na página principal do site da instituição pode ser o suficiente;
  6. avise outras equipes de segurança sobre os ataques - essa atitude pode ajudar no processo de minimização dos ataques;
  7. informe a polícia e órgãos de combate a phishing - alguns departamentos de polícia já possuem experiência necessária para tratar este tipo de incidente e ajudar sua equipe de segurança nesse momento;
  8. entre em contato com o provedor que hospeda o site falso - a maioria desses sites falsos fica hospedado fora do país alvo do ataque. Procure descobrir o responsável pela administração do provedor que hospeda o site malicioso para que ele seja desativado;
  9. tente obter logs - depois de conseguir retirar o website de operação, procure conseguir com o provedor os arquivos de logs do servidor web. Através deles, pode-se obter os endereços IP de consumidores que foram possíveis vítimas do ataque, bem como saber quem "plantou" o ataque.

Fonte: CAIS/RNP

fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=3679

Consulta em noticias