Por Tim Rains - Microsoft  

 

Nós recentemente publicamos o volume 15 do Microsoft Security Intelligence Report. Este volume do relatório contém dados detalhados sobre os tipos de ataques de phishing nos produtos Microsoft que ajudou a bloquear durante o primeiro semestre de 2013. Pela primeira vez, o relatório também contém dados sobre ataques de phishing destinados aos usuários de dispositivos móveis; dados sobre os sites de phishing que Windows Phone 8 dispositivos encontrados fornece informações valiosas em um dos caminhos os invasores estão tentando tirar proveito do rápido aumento do número de dispositivos móveis que estão entrando on-line. 

O Phishing é um método de roubo de credenciais que engana os usuários da Internet a revelar informações sensíveis, como informações pessoais ou financeiras, on-line. Qualquer sistema ou dispositivo que envia e recebe e-mail e permite aos usuários navegar na Internet, colocar em risco com este tipo de ataque. Uma forma que a Microsoft ajuda a proteger os clientes contra ataques de phishing é a tentativa de identificar sites de phishing e avisar as pessoas que tentam visitá-los. A Microsoft obtém informações sobre sites de phishing e impressões de usuários que optam por habilitar o Filtro de Phishing ou Filtro SmartScreen no Internet Explorer. Um phishing de impressão é uma única instância de um usuário que tenta acessar um site de phishing conhecido com o Internet Explorer e sendo bloqueado. Se você estiver interessado em mais detalhes sobre como isso funciona, por favor, veja um artigo que publiquei um tempo atrás chamado Phishing Financial Institutions & Social Networks.

Figura 1: Filtro SmartScreen no Internet Explorer bloqueia phishing e sites de distribuição de malware para proteger os usuários

O Volume de ataques
O número de sites de phishing ativos e impressões raramente se correlacionam fortemente com uns com os outros. Os "phishers" às vezes participam em campanhas que temporariamente conduzem mais tráfego a cada página de phishing sem necessariamente aumentar o número total de páginas ativas, de phishing mantido ao mesmo tempo. Como pode ser visto na Figura 2, houve um pico de impressões em todos os dispositivos (PCs e dispositivos móveis) em Maio, quando as impressões subiu para 153,6 por cento da média mensal. Esta é uma característica padrão que pode ter sido causada por uma ou mais campanhas de phishing. Com exceção do pico de impressões em Maio, ambos os sites e as impressões foram, na sua maioria estável ao longo do primeiro semestre de 2013, com a diminuição gradual entre Janeiro e Junho.

Figura 2: sites de phishing e as impressões relatadas pelo filtro do SmartScreen em todos os dispositivos (PCs e Windows Phone 8), de Janeiro Junho de 2013, em relação à média mensal para cada um - como publicado no Relatório de Inteligência de Segurança da Microsoft volume 15

 b

 

O crescimento da adoção de dispositivos conectados à Internet móvel continua, portanto, o volume de incidências de phishing a partir de dispositivos móveis. Incidências de phishing relatados pelo Internet Explorer no Windows Phone 8 variaram significativamente de mês a mês durante o primeiro semestre de 2013; como a Figura 3 ilustra, o número de impressões relatadas em Junho (o mês com o maior número de impressões) foi mais que o dobro do número informado em Abril (o mês com menor número de impressões).  O número de sites de phishing encontrado por usuários de dispositivos móveis mais do que dobrou entre os meses de Fevereiro e Junho.

Figura 3: sites de phishing e as impressões relatadas pelo filtro do SmartScreen no Windows Phone 8, Janeiro-Junho de 2013, em relação à média mensal para cada um - como publicado no Relatório de Inteligência de Segurança da Microsoft volume 15

Os alvos dos ataques
Historicamente, ataques de phishing têm tendência ao alvo das instituições financeiras e redes sociais mais do que outros tipos de sites, como ilustrado na figura 4. As instituições financeiras sempre foram alvos populares de phishing por causa de seu potencial para fornecer directamente acesso ilegal às contas bancárias das vítimas". O aumento do número de instituições financeiras em incidências de phishing em Março e Abril, juntamente com o respectivo mergulho no número relativo de rede social incidências de phishing, sugerem a existência de uma ou mais campanhas organizadas de phishing dirigida às instituições financeiras durante esses meses. Há muito menos redes sociais de instituições financeiras, ou seja, existem milhares de bancos, mas apenas um Facebook, LinkedIn, Twitter, etc. Posteriormente, a maioria das atividades em redes sociais envolve um pequeno número de sites populares, permitindo que os "phishers" fazer mais  facilmente o alvo grandes números de vítimas, sem ter que manter vários sites de phishing. Em contraste, atividade financeira no mundo realiza-se ao longo de um número muito maior de sites, e os atacantes precisam adequar seus sites de phishing-alvo individualmente para cada um. Isso explica o motivo pelo qual a porcentagem de sites de phishing dirigida às instituições financeiras é muito maior do que a porcentagem que visam as redes sociais, como pode ser visto na Figura 5.

Mas em Janeiro de 2013, vimos que as coisas começaram a mudar. Como as Figuras 4 e 5 ilustram, os invasores têm também vindo a concentrar-se no sentido de orientar os serviços on-line, como aconteceu recentemente com a porcentagem de ambas as incidências de phishing e sites de phishing mais do que duplicou no primeiro semestre de 2013; o número de sites de phishing ativos que os serviços on-line aumentou de forma constante ao longo do primeiro semestre de 2013, de 15,4 por cento de todos os sites de phishing em Janeiro para 33,8 por cento em Junho. Impressões aumentou enormemente, de 8,7 por cento de todas as impressões em Janeiro para 20,1 por cento em Junho. 

A Figura 4 (à esquerda): as impressões em todos os dispositivos (PCs e Windows Phone 8) para cada tipo de site de phishing, de Janeiro-Junho de 2013, conforme relatado pelo filtro do SmartScreen ,

Figura 5 (à direita): phishing únicas URLs visitados pelo Internet Explorer funcionando em todos os dispositivos (PCs e Windows Phone 8) para cada tipo de site de phishing, de Janeiro a Junho de 2013

A imagem para os usuários de dispositivos móveis foi um pouco diferente. A popularidade das redes sociais em plataformas móveis é refletida na incidência de phishing relatados pelos dispositivos com Windows Phone 8. Sites de phishing que sites de redes sociais foram responsáveis por mais de três vezes no número de impressões  de telemóveis como todos os outros sites de phishing combinados para a maioria dos meses no primeiro semestre de 2013. O número de redes sociais com impressões mantiveram-se em alta durante todo o período, mesmo que o número de phishing URLs únicas redes sociais específicas que diminuiu mais de metade entre Janeiro e Junho. O número de sites de phishing destinados aos serviços on-line que está sendo acessada por usuários móveis aumentou significativamente entre os meses de Março e Junho, como visto na Figura 7.

A Figura 6 (à esquerda): as impressões relatadas pelo filtro do SmartScreen no Windows Phone 8 para cada tipo de site de phishing, Janeiro-Junho de 2013; Figura 7 (à direita): phishing únicas URLs visitados pelo Internet Explorer no Windows Phone 8 para cada tipo de site de phishing, de Janeiro Junho de 2013, por tipo de destino

 

  

A origem dos ataques de phishing
Sites de phishing estão hospedados em todo o mundo em sites de hospedagem gratuita, em servidores da web comprometidos e em muitos outros contextos. Locais e concentrações relativas dos sites de phishing são dinâmicos e podem mudar rapidamente. No segundo trimestre de 2013, os locais com concentrações superiores à média dos sites de phishing incluídos na Indonésia (11,6 por 1.000 hosts de Internet), Ucrânia (10,9), e a Rússia (8,5).  Locais com baixas concentrações de sites de phishing incluído Taiwan (1,2), Japão (1,3), e a Coreia (1,9).

A Figura 8 (à esquerda): sites de phishing por 1.000 hosts de Internet para diversos locais em todo o mundo no primeiro trimestre de 2013; 

Figura 9 (à direita): sites de phishing por 1.000 hosts de Internet para locais ao redor do mundo no segundo trimestre de 2013

Nos Estados Unidos, os estados com maior concentração de sites de phishing no segundo trimestre de 2013, incluiu Utah (13,4 por 1.000 hosts de Internet em 4Q12), Geórgia (10,0), e do Arizona (7,7).  Os estados com baixas concentrações de sites de phishing incluídos West Virginia (0,4), Maranhão (0,9), e Dakota do Norte (1,0).

A Figura 10 (à esquerda): sites de phishing por 1.000 hosts de Internet para estados dos EUA no primeiro trimestre de 2013;

Figura 11. (à direita): sites de phishing por 1.000 hosts de Internet para estados dos EUA no segundo trimestre de 2013

 

 

 

Defesa contra  ataques de phishing
Aos "phishers" em geral, não interessa o navegador, sistema operacional, ou dispositivo móvel que as potenciais vítimas estão usando. Como já referi anteriormente, se seu(s) sistema(s) ou dispositivo móvel(s) são utilizados para navegar na web e/ou enviar e receber e-mails, você deve estar em guarda para ataques de phishing. Aqui estão algumas diretrizes para ajudá-lo a proteger-se e à  sua organização.

Tim Rains
Diretor 
Trustworthy Computing