Providências após um ataque de Phishing SCAM

Não! este tópico não vai tentar explicar o que uma vítima de um ataque de Phishing SCAM deve fazer para limpar a sua máquina após ter sido infectada por uma investida deste tipo! Para isso já existem diversos posts em fóruns e dicas na Internet (sobretudo nos sites de empresas de antivírus) explicando como fazê-lo (1, 2 e 3).

A idéia aqui é de uma abordagem ligeiramente diferente: informar os administradores de segurança das instituições sobre procedimentos a serem seguidos de modo a conter os danos causados por um ataque que tenha sido desferido em nome de sua instituição.

Sim, você leu certo, falei conter os danos, pois a má notícia é não existe uma forma efetiva que possa evitar com que um Phisher desfira um ataque em nome de determinada instituição, tendo como alvo usuários internos e/ou externos. Se o atacante estiver realmente determinado a fazer um ataque ele o fará!

Isto posto, seguem algumas dicas que podem ser úteis de modo a mitigar o problema (partindo do princípio que o ataque envolveu o envio de um e-mail fraudulento e/ou o registro de um domínio malicioso):

Cancelando/congelando o Domínio Malicioso:

  • Entrar em contato com a entidade de registro (Registrar – ICANN) responsável pelo registro do domínio utilizando no ataque;
  • Entrar em contato os CIRTs da empresa de hosting/provedor que hospeda a página ou é responsável pelo serviço de SMTP utilizado no ataque;
  • Denunciar o fato ocorrido ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), a partir da página de contato;
  • Denunciar o fato ocorrido ao CAIS (Centro de Atendimento a Incidentes de Segurança), pelo e-mail: [email protected] (ele deve aparecer depois na lista presente em http://www.rnp.br/cais/fraudes.php ).

Tais medidas tem como objetivo a investigação e geração de alertas (site/newsletter) pelos CIRTs, além de ser útil para a retirada do Site Malicioso/SMTP Server do ar pelo provedor e do cancelamento/congelamento do Domínio pelo Registrar.

Registro de uma ocorrência policial: (quando aplicável)

  • Prestar um queixa formal in-loco na Polícia Federal e fazer uma denúncia pelo e-mail da unidade especializada em Crimes Digitais ([email protected]);
  • Prestar uma queixa formal na Polícia Civil. De modo geral, em cada estado existe uma divisão específica para crimes digitais. Por exemplo, em Minas Gerais, existe uma Delegacia Especializada de Repressão a Crimes contra a Informática e Fraudes Eletrônicas: DERCIFE - [email protected]

Esta medida está mais relacionada aos casos em que o ataque visava a realização de algum tipo de fraude/crime, especialemente aos que envolvem o roubo de informações sensíveis, tais como números de cartões de crédito, credenciais de acesso à bancos, calúnia e difamação. Elas tem como finalidade, além da investigação do caso em si, uma possível utilização da queixa como prova que a instituição foi vítima de uma determinada tentativa de fraude/crime, podendo assim, ser útil em eventuais questões legais levantadas por possíveis vítimas.

Inclusão da URL (e SMTP Server) em BlackLists:

Recomenda-se fortemente efetuar o registro da URL do domínio fraudulento nos principais sites de BlackLists de URLs maliciosas, vejamos alguns exemplos:

O mesmo deve ser feito com o IP do SMTP Server responsável pelo envio das mensagens, que além de ser bloqueado nos sistemas de proteção da instituição (FWs, Anti-SPAMs e afins), deve ser incluído em Blacklists de Spammers:

Aviso a vítimas em potencial:

Recomenda-se incluir no site da instituição um aviso (ou mandar um e-mail) informando os usuários que existem fraudes circulando por e-mail na Internet em nome da instituição, e que a mesma não envia e-mails com determinadas características para os seus funcionários, colaboradores ou clientes.

Mudança de credenciais de acesso:

Caso o objetivo do ataque tenha sido o de tentar recuperar credenciais de acesso, recomenda-se que, caso seja possível, as credenciais de todos os usuários de todos os sistemas envolvidos no Phishing sejam alteradas.

Se o ataque for classificado como Spear Phishing (em especial os ataques direcionados aos funcionários de uma determinada empresa na qual o atacante tenta se passar por alguém da própria instituição), uma das poucas ações preventivas que podem ser tomadas seria a realização de campanhas de treinamento e conscientização dos funcionários, de modo que saibam reconhecer os sinais de um e-mail/site falso e evitar que eles caiam em armadilhas deste tipo (para isso, eis aqui um site bem interessante).

Além disso, recomenda-se a utilização de algum dos diversos softwares Anti-phishing existentes no mercado.

Para maiores informações sobre o que Phishing SCAM e como se proteger deste tipo de ataque acesse os seguintes links:

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Tímido Visitante Anônimo | 2012-02-01 19:24:25 | permalink | topo

Excelente artigo! Parabéns!