Os phishers balançam uma isca novinha em folha

Em setembro de 2009, alguns visitantes infelizes no site do New York Times clicaram em um anúncio que tentava instalar malware. O anúncio exibia uma janela pop-up que informava os leitores de que seu computador poderia estar infectado por um vírus; somente comprando um novo produto antivírus eles poderiam ter certeza de ter um sistema limpo. O The Times mais tarde reconheceu o golpe em uma postagem em seu site: "Alguns leitores do NYTimes.com viram uma caixa de aviso avisando-os sobre um vírus e direcioná-los a um site que alega oferecer um software antivírus … Se você vir esse aviso, sugerimos que não clique nele. Em vez disso, saia e reinicie o navegador da Web. " Os phishers e scammers usam essa e outras novas táticas para enganar vítimas inocentes.

Phishing 2.0

Phishing

refere-se a uma tentativa de coletar nomes de usuário, senhas e dados de cartão de crédito como uma parte legítima e confiável. Muitas vezes, o engano envolve o uso de e-mails enviados por um endereço confiável. Originalmente, o phishing aplicava-se apenas ao setor bancário e de pagamentos, mas agora também abrange o roubo de credenciais de login em jogos e senhas pessoais de redes sociais como Facebook e Twitter. [Outras leituras: Como remover malware do seu PC Windows]

A maioria das pessoas não revelaria seu número de seguridade social ou nome de solteira da mãe em um site estranho. Navegadores modernos e softwares de segurança sinalizam esse conteúdo e perguntam se você tem certeza de que deseja enviá-lo; alguns bloqueiam com uma etiqueta de aviso vermelha e preta. Portanto, os phishers adotaram novas táticas.

Software antivírus falso, um problema emergente

Os produtos antivírus não autorizados estão entre os mais recentes instrumentos de phishing a aparecer, e muitos são bem convincentes. Tendo nomes como Antivirus 2009, AntiVirmin 2009 e AntiSpyware 2009, eles têm interfaces semelhantes às de aplicativos antivírus reais. Alguns produtos antivírus falsos têm suas próprias palavras-chave nos mecanismos de busca e citam avaliações falsas recomendando-as (incluindo uma que eu supostamente escrevi).

O produto antivírus falso que apareceu no site do New York Times instalou um malware que, se executado, baixou as configurações de segurança no Internet Explorer, executou arquivos executáveis ​​e alterou o Registro do sistema. Tais ações por malwares de phishing são bastante comuns. Os verdadeiros aplicativos de segurança também sabiam: Os fornecedores de antivírus legítimos AVG, Comodo, Kaspersky, McAfee, Microsoft, Nod32 e Sophos, (entre outros) detectaram essa peça específica de malware nas primeiras horas.

Fakes de atendimento ao cliente

Outro gambito de phishing é uma variação de um golpe antigo: os bandidos enviam um e-mail aparentemente personalizado, aparentemente de um banco, contendo uma falsa opção de bate-papo on-line.

Neste "chat-in-the -médio ", assim que a vítima digita um nome de usuário e senha no site on-line designado, uma janela de bate-papo é aberta e um golpista posando como representante de atendimento ao cliente no banco solicita informações pessoais adicionais para confirmar a identidade de o titular da conta. Ao fornecer esses detalhes, a vítima fornece dados cruciais ao ladrão.

Small Potatoes

Roger Thompson, diretor de pesquisa da AVG, diz que produtos antivírus nocivos são comuns: "Os bandidos estão claramente ganhando dinheiro com isso". Além de se beneficiarem antecipadamente da venda de um produto antivírus nocivo, eles coletam informações de cartão de crédito para futuras fraudes de identidade.

Jon Miller, diretor da Accuvant Labs, empresa de consultoria em segurança que trabalha com empresas da Fortune 500 e vários fornecedores do governo americano, diz o incidente do New York Times não é incomum. Além disso, ele observa que viu um aumento no uso de malwares feito sob medida para clientes de determinados bancos e outras instituições financeiras.

Protect Yourself

A AVG faz um produto gratuito chamado LinkScanner que bloqueia novos ataques de phishing e ainda permite aos usuários para visualizar com segurança qualquer site. Para ataques de phishing, como falsos bate-papos e palavras-chave falsas, diz Thompson, da AVG, os usuários precisam desenvolver uma dose saudável de ceticismo e aprender a matar o navegador usando o Gerenciador de Tarefas. Isso não impedirá as explorações baseadas na Web, mas lhe dará uma maneira de derrotar os ataques de engenharia social.

Miller, da Accuvant, recomenda várias estratégias antiphishing de senso comum:

Use um navegador forte. De acordo com Miller, o Internet Explorer é o navegador mais fraco, enquanto o Firefox e o Google Chrome são relativamente fortes.

• Use uma plataforma resistente a malware, como Mac OS ou Linux. Embora nenhum dos dois seja imune a ataques, é menos provável que cada um seja alvo do que o sistema operacional Windows convencional.
• Use o software antimalware; Miller diz que seu programa de escolha é o Webroot Internet Security Essentials.
• Atualize seu software pronta e regularmente, mas não dependa de atualizações como a única forma de garantir a segurança do seu sistema. Como Miller observa, "o malware tende a ficar à frente".
• Seja cauteloso e vigilante ao usar sites de redes sociais de alto perfil, como o Facebook e o Twitter.