O que é o spoofing? Definição de spoofing
O spoofing, no que diz respeito à cibersegurança, é quando alguém ou alguma coisa finge ser outra na tentativa de ganhar a nossa confiança, obter acesso aos nossos sistemas, roubar dados, roubar dinheiro ou espalhar malware. Os ataques de spoofing assumem muitas formas, incluindo:
- Falsificação de correio eletrónico
- Falsificação de sítios Web e/ou URL
- Falsificação do identificador de chamadas
- Falsificação de mensagens de texto
- Falsificação de GPS
- Ataques Man-in-the-middle
- Falsificação de extensão
- Falsificação de IP
- Falsificação facial
Então, como é que os cibercriminosos nos enganam? Muitas vezes, a simples invocação do nome de uma grande organização de confiança é suficiente para nos levar a fornecer informações ou a tomar algum tipo de ação. Por exemplo, um e-mail falsificado do PayPal ou da Amazon pode fazer perguntas sobre compras que nunca fez. Preocupado com a sua conta, pode sentir-se motivado a clicar no link incluído.
A partir dessa ligação maliciosa, os burlões enviam-no para uma página Web com um download de malware ou uma página de início de sessão falsa - com um logótipo familiar e um URLfalsificado - como objetivo de recolher o seu nome de utilizador e palavra-passe.
Há muitas outras formas de um ataque de falsificação. Em todas elas, os burlões contam com o facto de as vítimas se deixarem enganar pela falsificação. Se nunca duvidar da legitimidade de um sítio Web e nunca suspeitar que uma mensagem de correio eletrónico é falsa, pode vir a ser vítima de um ataque de falsificação.
Para esse efeito, esta página é sobre falsificação. Iremos informá-lo sobre os tipos de spoofing, como funciona o spoofing, como distinguir e-mails e sites legítimos dos falsos e como evitar tornar-se um alvo de fraudadores.
"Spoofing, no que diz respeito à cibersegurança, é quando alguém ou alguma coisa finge ser outra coisa na tentativa de ganhar a nossa confiança, obter acesso aos nossos sistemas, roubar dados, roubar dinheiro ou espalhar malware."
Tipos de falsificação
Falsificação de correio eletrónico
A falsificação de e-mail é o ato de enviar e-mails com endereços de remetente falsos, normalmente como parte de um ataque de phishing concebido para roubar as suas informações, infetar o seu computador com malware ou simplesmente pedir dinheiro. Os payloads típicos de e-mails maliciosos incluem ransomware, adware, cryptojackers, cavalos de Troia (como o Emotet) ou malware que escraviza o seu computador numa botnet (ver DDoS).
Mas um endereço de correio eletrónico falsificado nem sempre é suficiente para enganar a pessoa comum. Imagine que recebe um e-mail de phishing com o que parece ser um endereço do Facebook no campo do remetente, mas o corpo do e-mail está escrito em texto básico, sem design ou HTML, nem mesmo um logótipo. Isto não é algo que estejamos habituados a receber do Facebook e deve levantar alguns sinais de alerta. Por conseguinte, os e-mails de phishing incluem normalmente uma combinação de caraterísticas enganadoras:
- Endereço de remetente falso concebido para parecer que é de alguém que conhece e em quem confia - possivelmente um amigo, colega de trabalho, familiar ou empresa com a qual faz negócios.
- No caso de uma empresa ou organização, a mensagem de correio eletrónico pode incluir uma marca familiar; por exemplo, logótipo, cores, tipo de letra, botão de chamada para ação, etc.
- Os ataques de Spear phishing visam um indivíduo ou um pequeno grupo dentro de uma empresa e incluem linguagem personalizada e dirigem-se ao destinatário pelo nome.
- Erros de digitação - muitos deles. Por muito que tentem enganar-nos, os burlões de correio eletrónico não passam muito tempo a rever o seu próprio trabalho. As falsificações de correio eletrónico têm frequentemente erros de digitação ou parecem que alguém traduziu o texto através do Google Translate. Tenha cuidado com as construções de frases invulgares; é pouco provável que empresas como o Facebook ou o PayPal cometam tais erros nos seus e-mails aos clientes.
A falsificação de correio eletrónico desempenha um papel fundamental nos esquemas de sextortion. Estas fraudes levam-nos a pensar que as nossas câmaras Web foram sequestradas com spyware e utilizadas para nos gravar a ver pornografia. Estes e-mails falsificados dirão algo como "Tenho estado a ver-te ver pornografia", o que é uma coisa incrivelmente estranha de se dizer. Quem é o verdadeiro cretino neste cenário?
Os golpistas exigem então uma certa quantia de Bitcoin ou outra criptomoeda, caso contrário, enviarão o vídeo a todos os seus contactos. Para criar a impressão de legitimidade, os e-mails podem também incluir uma palavra-passe desactualizada de alguma violação de dados anterior. A falsificação entra em jogo quando os burlões disfarçam o campo do remetente do e-mail para parecer que está a ser enviado da sua conta de e-mail supostamente violada. Fique descansado, é provável que ninguém o esteja a observar.
Falsificação de sítios Web
A falsificação de sites consiste em fazer com que um site malicioso se pareça com um site legítimo. O site falsificado parecerá a página de início de sessão de um site que frequenta - até à marca, interface de utilizador e até um nome de domínio falsificado que, à primeira vista, parece o mesmo. Os cibercriminosos utilizam sites falsos para capturar o seu nome de utilizador e a sua palavra-passe (também conhecido como falsificação de início de sessão) ou para introduzir malware no seu computador (um download drive-by). Um sítio Web falsificado é geralmente utilizado em conjunto com uma falsificação de correio eletrónico, em que o correio eletrónico liga ao sítio Web.
Também é importante notar que um site falsificado não é o mesmo que um site pirateado. No caso de um site pirateado, o site real foi comprometido e tomado por cibercriminosos - sem falsificação ou falsificação envolvida. Da mesma forma, o malvertising é a sua própria marca de malware. Neste caso, os cibercriminosos aproveitaram-se de canais de publicidade legítimos para apresentar anúncios maliciosos em sítios Web fiáveis. Estes anúncios carregam secretamente malware no computador da vítima.
Falsificação do identificador de chamadas
A falsificação do identificador de chamadas acontece quando os burlões enganam o seu identificador de chamadas, fazendo com que a chamada pareça vir de um local que não é. Os burlões aprenderam que é mais provável que atenda o telefone se o identificador de chamadas mostrar um código de área igual ou próximo do seu. Nalguns casos, os burlões chegam mesmo a falsificar os primeiros dígitos do seu número de telefone, para além do indicativo de área, para criar a impressão de que a chamada é proveniente da sua vizinhança (também conhecido como neighbor spoofing).
Falsificação de mensagens de texto
A falsificação de mensagens de texto ou falsificação de SMS consiste em enviar uma mensagem de texto com o número de telefone ou a ID de remetente de outra pessoa. Se alguma vez enviou uma mensagem de texto a partir do seu computador portátil, falsificou o seu próprio número de telefone para enviar o texto, uma vez que o texto não teve realmente origem no seu telefone.
As empresas falsificam frequentemente os seus próprios números, para efeitos de marketing e conveniência para o consumidor, substituindo o número longo por um ID de remetente alfanumérico curto e fácil de memorizar. Os burlões fazem a mesma coisa - escondem a sua verdadeira identidade por detrás de uma identificação alfanumérica do remetente, fazendo-se frequentemente passar por uma empresa ou organização legítima. Os textos falsificados incluem frequentemente ligações para sítios de phishing por SMS (smishing) ou downloads de malware.
Os burlões das mensagens de texto podem tirar partido do mercado de trabalho fazendo-se passar por agências de recrutamento, enviando às vítimas ofertas de emprego que são boas para serem verdadeiras. Num exemplo, uma posição de trabalho a partir de casa na Amazon incluía um "Toyota Corrola novinho em folha". Em primeiro lugar, para que é que alguém precisa de um carro da empresa se está a trabalhar a partir de casa? Em segundo lugar, um Toyota "Corrola" é uma versão genérica do Toyota Corolla? Boa tentativa, aldrabões.
Falsificação de GPS
A falsificação de GPS ocorre quando se engana o GPS do dispositivo, fazendo-o pensar que se está num determinado local, quando na realidade se está noutro local. Porque é que alguém quereria fazer spoofing de GPS? Duas palavras: Pokémon GO.
Utilizando a falsificação de GPS, os batoteiros do Pokémon GO conseguem fazer com que o popular jogo para telemóvel pense que estão perto de um ginásio do jogo e que o conquistam (ganhando moeda do jogo). Na realidade, os batoteiros estão num local - ou país - completamente diferente. Da mesma forma, podem ser encontrados vídeos no YouTube que mostram jogadores de Pokémon GO a apanharem vários Pokémon sem saírem de casa. Embora a falsificação de GPS possa parecer uma brincadeira de crianças, não é difícil imaginar que os autores de ameaças possam utilizar este truque para actos mais nefastos do que ganhar moeda de jogo móvel.
Ataque Man-in-the-Middle (MitM)
Os ataques Man-in-the-Middle (MitM) podem acontecer quando utiliza a rede Wi-Fi gratuita no seu café local. Já pensou no que aconteceria se um cibercriminoso invadisse a rede Wi-Fi ou criasse outra rede Wi-Fi fraudulenta no mesmo local? Em ambos os casos, temos a configuração perfeita para um ataque man-in-the-middle, assim chamado porque os cibercriminosos conseguem intercetar o tráfego Web entre duas partes. A falsificação entra em jogo quando os criminosos alteram a comunicação entre as partes para redirecionar fundos ou solicitar informações pessoais sensíveis, como números de cartões de crédito ou logins.
Nota lateral: Embora os ataques MitM interceptem normalmente os dados na rede Wi-Fi, outra forma de ataque MitM intercepta os dados no browser. A isto chama-se um ataque do tipo "man in the browser " (MitB).
Falsificação de extensão
A falsificação de extensão ocorre quando os cibercriminosos precisam de disfarçar ficheiros de malware executáveis. Um truque comum de falsificação de extensão que os criminosos gostam de usar é nomear o ficheiro como "filename.txt.exe". Os criminosos sabem que as extensões dos ficheiros estão ocultas por defeito no Windows , por isso, para o utilizador médio Windows , este ficheiro executável aparecerá como "filename.txt".
Falsificação de IP
A falsificação de IP é utilizada quando alguém pretende ocultar ou disfarçar a localização a partir da qual está a enviar ou a solicitar dados online. No que se refere às ciberameaças, a falsificação de endereços IP é utilizada em ataques distribuídos de negação de serviço (DDoS) para evitar que o tráfego malicioso seja filtrado e para ocultar a localização do atacante.
Falsificação facial
A falsificação facial pode ser a mais pessoal, devido às implicações que tem para o futuro da tecnologia e para as nossas vidas pessoais. Atualmente, a tecnologia de identificação facial é bastante limitada. Utilizamos os nossos rostos para desbloquear os nossos dispositivos móveis e computadores portáteis, e não muito mais. No entanto, em breve, poderemos dar por nós a fazer pagamentos e a assinar documentos com o nosso rosto. Imaginem as ramificações quando pudermos abrir uma linha de crédito com o nosso rosto. Coisa assustadora.
Os investigadores demonstraram como os modelos faciais em 3D criados a partir das suas fotografias nas redes sociais já podem ser utilizados para invadir um dispositivo bloqueado através da identificação facial. Dando um passo em frente, Malwarebytes Labs informou que a tecnologiadeepfake está a ser utilizada para criar vídeos de notícias falsas e cassetes de sexo falsas, com as vozes e semelhanças de políticos e celebridades, respetivamente.
Como funciona o spoofing?
Já explorámos as várias formas de spoofing e passámos em revista a mecânica de cada uma delas. No caso da falsificação de correio eletrónico, no entanto, vale a pena analisar um pouco mais. Existem algumas formas de os cibercriminosos conseguirem esconder a sua verdadeira identidade numa falsificação de e-mail. A opção mais infalível é invadir um servidor de correio não seguro. Neste caso, o e-mail é, do ponto de vista técnico, proveniente do suposto remetente.
A opção de baixa tecnologia é simplesmente colocar qualquer endereço no campo "De". O único problema é que, se a vítima responder ou se o e-mail não puder ser enviado por algum motivo, a resposta será enviada para quem estiver listado no campo "De" - não para o atacante. Esta técnica é normalmente utilizada por spammers para utilizar mensagens de correio eletrónico legítimas para passar pelos filtros de spam. Se alguma vez recebeu respostas a e-mails que nunca enviou, esta é uma razão possível, para além de a sua conta de e-mail ter sido pirateada. A isto chama-se backscatter ou spam colateral.
Outra forma comum de os atacantes falsificarem e-mails é registando um nome de domínio semelhante ao que estão a tentar falsificar, o que se designa por ataque homógrafo ou falsificação visual. Por exemplo, "rna1warebytes.com". Note-se a utilização do número "1" em vez da letra "l". Observe também o uso das letras "r" e "n" para falsificar a letra "m". Isto tem a vantagem adicional de dar ao atacante um domínio que pode usar para criar um site falsificado.
Seja qual for a falsificação, nem sempre é suficiente lançar um site ou e-mail falso no mundo e esperar pelo melhor. Para ser bem sucedido, o spoofing requer uma combinação do próprio spoofing e da engenharia social. A engenharia social refere-se aos métodos que os cibercriminosos utilizam para nos induzir a fornecer informações pessoais, clicar numa ligação maliciosa ou abrir um anexo carregado de malware.
Há muitas jogadas no manual da engenharia social. Os cibercriminosos estão a contar com as vulnerabilidades que todos nós temos enquanto seres humanos, como o medo, a ingenuidade, a ganância e a vaidade, para nos convencerem a fazer algo que não deveríamos fazer. No caso de um esquema de sextorção, por exemplo, pode enviar Bitcoin ao burlão porque teme que a sua proverbial roupa suja seja exposta para que todos a vejam.
As vulnerabilidades humanas também nem sempre são más. A curiosidade e a empatia são geralmente boas qualidades, mas os criminosos adoram visar as pessoas que as exibem.
É o caso da burla dos netos encalhados, em que um ente querido está alegadamente na prisão ou no hospital num país estrangeiro e precisa de dinheiro rapidamente. Uma mensagem de correio eletrónico ou de texto pode dizer: "Avô Joe, fui preso por contrabando de droga em [inserir nome do país]. Por favor, envie-me dinheiro. E, a propósito, não diga nada aos meus pais. És o melhor [três emojis de cara feliz a piscar o olho]!" Neste caso, os burlões estão a contar com o desconhecimento geral dos avós sobre o paradeiro do neto em qualquer altura.
"O spoofing bem sucedido requer uma combinação do spoofing em si e da engenharia social. A engenharia social refere-se aos métodos que os cibercriminosos utilizam para nos induzir a fornecer informações pessoais, clicar numa ligação maliciosa ou abrir um anexo carregado de malware."
Como é que detecto a falsificação?
Eis os sinais de que está a ser vítima de spoofing. Se vir estes indicadores, carregue no botão apagar, clique no botão voltar, feche o seu browser, não deixe passar.
Falsificação de sítios Web
- Sem símbolo de cadeado ou barra verde. Todos os sítios Web seguros e de boa reputação têm de ter um certificado SSL, o que significa que uma autoridade de certificação de terceiros verificou que o endereço Web pertence efetivamente à organização que está a ser verificada. Um aspeto a ter em conta é que os certificados SSL são agora gratuitos e fáceis de obter. Embora um site possa ter um cadeado, isso não significa que seja verdadeiro. Lembre-se de que nada é 100% seguro na Internet.
- O sítio Web não está a utilizar encriptação de ficheiros. O HTTP, ou Protocolo de Transferência de Hipertexto, é tão antigo como a Internet e refere-se às regras utilizadas na partilha de ficheiros na Web. Os sites legítimos utilizam quase sempre HTTPS, a versão encriptada do HTTP, quando transferem dados para trás e para a frente. Se estiver numa página de início de sessão e vir "http" em vez de "https" na barra de endereços do seu browser, deve suspeitar.
- Utilize um gestor de palavras-passe. Um gestor de palavras-passe como o 1Password preenche automaticamente as suas credenciais de início de sessão para qualquer site legítimo que guarde no seu cofre de palavras-passe. No entanto, se navegar para um site falsificado, o seu gestor de palavras-passe não reconhecerá o site e não preencherá os campos de nome de utilizador e palavra-passe por si - um bom sinal de que está a ser falsificado.
Falsificação de correio eletrónico
- Verifique novamente o endereço do remetente. Como já foi referido, os burlões registam domínios falsos que são muito semelhantes aos legítimos.
- Pesquise no Google o conteúdo da mensagem de correio eletrónico. Uma pesquisa rápida pode mostrar-lhe se um e-mail de phishing conhecido está a circular na Web.
- As ligações incorporadas têm URLs invulgares. Verifique os URLs antes de clicar, passando o cursor por cima deles.
- Erros de digitação, má gramática e sintaxe invulgar. Muitas vezes, os burlões não revêem o seu trabalho.
- O conteúdo da mensagem de correio eletrónico é demasiado bom para ser verdade.
- Existem anexos. Desconfie de anexos - especialmente se vierem de um remetente desconhecido.
Falsificação do identificador de chamadas
- O identificador de chamadas é facilmente falsificado. É triste que os nossos telefones fixos se tenham tornado um foco de chamadas fraudulentas. É especialmente preocupante quando se considera que a maioria das pessoas que ainda têm telefone fixo são os idosos - o grupo mais suscetível a chamadas fraudulentas. Deixe as chamadas para a linha fixa de desconhecidos irem para o voicemail ou para o atendedor de chamadas.
Como posso proteger-me contra a falsificação?
Antes de mais, deve aprender a detetar um ataque de spoofing. Caso tenha saltado a secção "Como detecto o spoofing?", deve voltar atrás e lê-la agora.
Active o seu filtro de spam. Isto impedirá que a maioria dos e-mails falsos cheguem à sua caixa de entrada.
Não clique em ligações ou abra anexos em mensagens de correio eletrónico se a mensagem vier de um remetente desconhecido. Se houver uma hipótese de a mensagem ser legítima, contacte o remetente através de outro canal e confirme o conteúdo da mensagem.
Inicie sessão através de um separador ou janela separados. Se receber um e-mail ou uma mensagem de texto suspeitos, solicitando que inicie sessão na sua conta e efectue algum tipo de ação, por exemplo, verificar as suas informações, não clique na ligação fornecida. Em vez disso, abra outro separador ou janela e navegue diretamente para o sítio. Em alternativa, inicie sessão através da aplicação específica no seu telemóvel ou tablet.
Pegue no telefone. Se recebeu um e-mail suspeito, supostamente de alguém que conhece, não tenha receio de telefonar ou enviar uma mensagem de texto ao remetente e confirmar que foi ele, de facto, que enviou o e-mail. Este conselho é especialmente verdadeiro se o remetente fizer um pedido fora do normal, como "Ei, pode comprar 100 cartões de oferta do iTunes e enviar-me os números dos cartões por e-mail? Obrigado, seu chefe".
Mostrar as extensões dos ficheiros no Windows. Por predefinição, Windows não mostra as extensões dos ficheiros, mas pode alterar essa definição clicando no separador "Ver" no Explorador de Ficheiros e, em seguida, marcando a caixa para mostrar as extensões dos ficheiros. Embora isto não impeça os cibercriminosos de falsificarem as extensões dos ficheiros, pelo menos poderá ver as extensões falsificadas e evitar abrir esses ficheiros maliciosos.
Invista num bom programa antivírus. No caso de clicar numa ligação ou anexo incorreto, não se preocupe, um bom programa antivírus será capaz de o alertar para a ameaça, parar o download e impedir que o malware se instale no seu sistema ou rede. Malwarebytes, por exemplo, tem produtos antivírus/anti-malware que pode experimentar gratuitamente antes de subscrever.
Notícias sobre spoofing
- Os burlões estão a falsificar números de telefone de bancos para roubar as vítimas
- Phishers falsificam uma empresa fiável de formação em cibersegurança para obter cliques
- Endereços falsos e envios anónimos: os novos erros do Gmail são fáceis de apanhar
- Quando três não é uma multidão: Explicação dos ataques Man-in-the-Middle (MitM)
- Truques menos conhecidos de falsificação de extensões
Para ler mais sobre spoofing e todas as últimas notícias sobre ciberameaças, visite o blogueMalwarebytes Labs .
História do spoofing
A falsificação não tem nada de novo. De facto, a palavra "spoof", como forma de truque, remonta a mais de um século. De acordo com o dicionário online Merriam-Webster, a palavra "spoof" é atribuída ao comediante inglês do século XIX, Arthur Roberts, em referência a um jogo de truques e enganos criado por Robert. As regras do jogo perderam-se no tempo. Podemos apenas supor que o jogo não era muito divertido ou que os ingleses da época não gostavam de ser gozados. Seja qual for o caso, o nome pegou, mas o jogo não.
Só no início do século XX é que o termo "spoof" se tornou sinónimo de paródia. Durante várias décadas, sempre que alguém mencionava "spoof" ou "spoofing", referia-se a algo engraçado e positivo - como o último filme de Mel Brooks ou o álbum de comédia de "Weird Al" Yankovic.
Atualmente, o termo spoofing é mais frequentemente utilizado quando se fala de cibercrime. Sempre que um burlão ou uma ameaça cibernética finge ser alguém ou algo que não é, trata-se de spoofing.