Phishing

Entendendo (e evitando) o phishing

(Last Updated On: 29 de novembro de 2018)

Recentemente, recebi um email estranho, supostamente da equipe de suporte do Paypal. Como sempre, abri o email no celular. O email dizia que o endereço de entrega principal da minha conta havia sido alterado para um na África do Sul! Obviamente, fiquei espantado.

Email falso do Paypal

Minha primeira reação foi a mais intuitiva – achei que minha conta tinha sido invadida por algum hacker! Felizmente, no final do email havia uma seção “Não reconhece essa atividade?“, com um link para eu acessar e recuperar minha conta. Cliquei no link e fui redirecionado para um site com interface simples, aparentemente do Paypal, pedindo o login:

Paypal phishing login

Analisei tudo desde o começo e cheguei a uma conclusão – eu estava sendo enganado! Desde o email, até o site que eu acessei, era tudo falso. O que estava ocorrendo era uma tentativa de fraude, mais conhecida como phishing. Mas do que consiste o phishing?

Entendendo o phishing

Chamamos de phishing um tipo de fraude dentro do espectro da engenharia social que visa obter dados secretos e pessoais de alguém, se passando por uma personalidade ou entidade confiável.

Tentativas de phishing podem ser feitas desde chamadas telefônicas, ao mais comum, que são os emails e sites falsos. Tais sites podem ter uma aparência idêntica ao site real (como foi o caso do Paypal, comigo) e mesmo assim serem fraudulentos!

Mas se as coisas podem ser tão parecidas, como podemos evitar cair nesse golpe? Afinal, como foi que eu percebi que estava sendo enganado?

Desvendando as tentativas de phishing

Apesar de todas as similaridades que uma tentativa de phishing possa ter com alguma plataforma real, ainda há alguns sinais que podemos prestar atenção para evitar o comprometimento de nossos dados com esse golpe.

Pensando no exemplo do email que eu recebi, o que podemos fazer? Aparentemente, está tudo certo. O padrão de escrita do email parece verídico e a interface do site é correta. E agora?

O remetente do email

A primeira informação que devemos checar é a mais óbvia – quem foi que nos enviou o email? No nome apareceu Paypal Support, mas e o endereço de email? Chequei, e o que aparecia era service-team121@outlook.com. Dei uma pesquisada e descobri que esse endereço nem ao menos é do Paypal! Normalmente, os do Paypal terminam com @paypal.com.br ou @mail.paypal.com.br.

De cara, então, descobrimos que o email era falso. Mas então é isso? Basta o endereço remetente ser oficial, como service@paypal.com.br, que podemos confiar? Infelizmente, não é bem assim…

Através da técnica de email spoofing, alguém pode facilmente abusar das características do protocolo de email SMTP para alterar, isto é, falsificar, o remetente de um email. Ou seja, com algumas ferramentas, ou um pouquinho de código, nós mesmos podemos mandar um email com o endereço remetente marcado de phishing@paypal.com, ou qualquer outra coisa.

Desse modo, apesar de muitas vezes ser importante verificar o remetente do email (como foi em meu caso), ele não é garantia de nada. Quais outras características de todo esse processo podemos tomar como base para tirar uma conclusão?

O corpo do email

Logo quando vi o email, concluí que o texto nele contido parecia legítimo, como um desses enviados automaticamente pelas empresas. Será que essa análise foi correta? Que indícios de fraude podemos obter do corpo do email?

Com um olhar mais atento, podemos procurar por algumas características incomuns quando se tratam de emails enviados por empresas ou instituições.

Um exemplo são anexos inesperados – empresas não costumam enviar dados por anexo, afinal para que precisaríamos disso?! Claro, às vezes de fato esperamos por um anexo, quando for o padrão usado sempre, como com boletos e recibos, mas são casos mais específicos. O maior problema dos arquivos anexados é que eles podem conter algum malware escondido.

Outro ponto a se observar é o caráter de urgência do email. Tudo bem, urgência não significa mentira, mas emails com mensagens muito estranhas, exigindo alguma ação do usuário, são bastante suspeitos. Um email com marcação de prioridade alta, ou importante, também é fora do comum, sendo assim recomendável fazer mais algumas verificações.

Mas e além desses pontos mais genéricos, o que podemos saber?

Identificando características do email mais específicas do serviço

Para essa investigação, precisamos de alguma base. Afinal, como vamos saber se o corpo do email condiz com o verdadeiro, se nem sabemos as características dos emails verdadeiros?

Se estivermos com paciência, podemos verificar emails anteriores do suposto remetente, para analisarmos as semelhanças e as diferenças, o que poderia ser (bastante) cansativo. Alguns sites, como é o caso do Paypal, listam algumas características básicas dos emails que enviam, para ajudar na identificação.

No caso do Paypal, uma característica interessante de se prestar atenção está nos cumprimentos. O email que recebi começava com “Dear <meu@email>“, mas o Paypal deixa claro que seus emails nunca terão esse tipo de tratamento genérico, e sempre se referirão ao usuário pelo nome.

Mas e se eu ainda ficar em dúvida? A partir daí, a melhor solução é contatar a empresa pelos meios oficiais e perguntar diretamente a eles. O Paypal pede para que, caso isso aconteça, encaminhemos o email para o endereço alerta@paypal.com.br.

Já temos uma boa base para conseguirmos desvendar tentativas de phishing, mas o que mais podemos analisar? No nosso caso, tivemos um email base e, a partir dele, já conseguimos descobrir toda a fraude. Às vezes, porém, o que chega na gente é ainda mais convincente, e quase sempre acompanha um link que nos levará para um site falso. Como devemos agir frente a esses links?

O link de recuperação da conta

Na pior das hipóteses, vamos acabar encarando o link que nos foi mandado. Mas não precisamos nos apressar! Vamos com calma, para ver o que conseguimos descobrir antes de entrar de fato nele.

Em primeiro lugar, qual é a URI do link? Isto é, para que site ele nos leva? Dei uma olhada e a URI era uma daquelas encurtadas, ao estilo linkcur.to/AbCdE. Links encurtados, nesse caso, são bastante suspeitos, afinal não fazem muito sentido – a URI não estava exposta, não havia o porquê disso. É muito mais comum, em emails, as empresas usarem suas próprias URIs completas.

O destino verdadeiro do link

Fiquei com um pouco de receio de enfim acessar o link, por causa disso. Decidi, então, usar um serviço de “desencurtador” de links para descobrir para onde a URI encurtada levava. Outra surpresa, o destino era securepaypal.login.paypal.com.websebwebseb.xyz/signin. Espera… o quê? Que coisa confusa é essa?

A URI verdadeira até continha paypal.com no meio dela, mas tinha outro monte de coisa junto. Por um lado, parece do Paypal, por outro, é bastante confusa. O que acontece é que a URI tenta nos enganar – na verdade, se pararmos para analisar, o domínio desse site é apenas websebwebseb.xyz, e securepaypal.login.paypal.com são, de fato, somente subdomínios dentro do site!

Só por curiosidade, dei uma pesquisada e concluí o que já esperava – esse domínio não tem nenhuma relação com o Paypal, que era o que alegava! Com todas essas evidências que juntamos, podemos afirmar com convicção que isso tudo era uma tentativa de phishing.

Note que, afinal, nem precisamos acessar o site para verificar a veracidade disso tudo, como eu fiz inicialmente. Isso é bom, pois esse tipo de site pode usar de algumas técnicas de JavaScript, por exemplo, para nos enganar ainda mais.

No nosso caso, conseguimos tirar uma conclusão com clareza. Entretanto, sabemos que nem sempre isso vai acontecer. É importante lembrarmos que podemos (e devemos) nos comunicar com o determinado serviço, caso a dúvida se mantenha. Desse modo, e com essas dicas, conseguimos uma navegação muito mais segura!

Na dúvida, desconfie

Hoje em dia, somos bombardeados com tentativas de phishing a todo o instante. São sites estranhos, emails suspeitos e até mensagens no celular que não reconhecemos. Às vezes parece até bobo, mas pelo contrário, é perigoso. A curiosidade pode não ter matado o gato, mas pode comprometer seus dados sensíveis em um piscar de olhos. De qualquer jeito, a dúvida sempre fica – quando devemos confiar?

Com as dicas que aprendemos nesse post, fica bem mais fácil identificar por conta própria se estamos frente a uma tentativa de golpe. Analisamos desde o email em si, até o link e o site, traçando os aspectos suspeitos para, enfim, conseguirmos chegar em uma conclusão.

Vimos o quão importante pode ser desconfiar, e como é mais importante ainda quebrar essa desconfiança, investigando. Uma saída mais simples para esses casos pode ser, simplesmente, perguntar diretamente para os responsáveis oficiais de determinado serviço se aquele site, ou aquela mensagem, é verdadeira. Além de poupar trabalho nosso, nos dá uma garantia de veracidade, o que é ótimo!

Depois de tudo, podemos, em vez de paranoicos (o que não devemos ficar!), nos sentir mais seguros, sabendo que agora nós mesmos somos capazes, até certo ponto, de identificar mensagens e sites maliciosos!

E aí, o que achou das dicas do post de hoje? Deixe um comentário aqui com a sua opinião! Se quiser conhecer mais das tecnicidades da área de segurança da informação, que tal dar uma olhada em nossa Carreira Segurança de Aplicações, lá na Alura?

FIQUE POR DENTRO

Produtor de conteúdo na Alura e desenvolvedor apaixonado. Explicit is better than implicit

Próximo ArtigoMontando cenários de testes com o Pytest