2019/01/23

Google lança mini-jogo para identificação de phishing


O phishing é uma das técnicas habituais usadas para enganar vítimas e, para sensibilizar as pessoas para essa ameaça, a Google criou um mini-jogo que nos desafia a tentar reconhecer esse tipo de ataque.

No phishing, os atacantes vão "à pesca" de vítimas, normalmente com campanhas de spam em que enviam milhões de emails a tentarem fazer-se passar por serviços legítimos e com conteúdos que promovam a interacção: como dizer que há alguma dívida para pagar; ou que alguém tentou entrar numa conta nossa num qualquer serviço; ou que alteraram uma password; e que tentarão fazer com que a potencial vítima clique em links que explorem vulnerabilidades ou as redireccionem para sites falsos com aspecto idêntico aos dos sites legítimos, mas onde os atacantes poderão roubar os seus dados - e passwords.

Este teste de Phishing da Google não é demasiado complexo, chamando essencialmente a atenção para se olhar com bastante atenção para os remetentes dos emails e para os links utilizados - embora tenha a vantagem de, nas perguntas mais adiantadas, nos colocar perante o tipo de ataques que foram usados com sucesso em várias campanhas de ataques.

Não esquecer que, pior que os ataques de phishing, são os ataques de spearphishing. Neste caso, os atacantes investigam mais cuidadosamente a vítima, de forma a criar emails onde as contactem usado o seu nome e informação legítima (que poderá ter sido conseguida através das redes sociais, ou do crescente volume de informação que se vai acumulando dos roubos de dados). Isto permite a criação de emails mais credíveis, que até podem explorar situações que estejam a acontecer no momento - por exemplo, um desabafo numa rede social a queixarem-se de uma situação no banco X ou com o operador Y, poderá levar à criação de um email falso que aparentemente queira dar seguimento a essa questão... e com muito maior probabilidade de fazer com que a vítima descure o cuidado que deveria ter antes de clicar em qualquer lado.

Ninguém está livre de cair neste tipo de armadilhas... Importa estar atento e também ir sensibilizando os familiares e amigos para estes riscos.

10 comentários:

  1. Tem pelo menos 2 testes que estão muito mal feitos, não dão qualquer informação para fazer a escolha, podiam ser emails de phishing ou não, os emails em si não têm maneira de saber isso.

    Um deles é o que tem um pdf e começa com o nosso nome (phishing). Nada no email demonstra que é de phishing, esse era uma questão de se conhecemos ou não a pessoa e se estavamos à espera realmente dum pdf da parte deles. Como eles não dão qualquer informação não há realmente maneira de saber se é ou não legitimo.
    O outro é o último, em que é pedida a permissão para ver os nossos emails (legitimo). Mais uma vez, sem qualquer informação eu não sei se era suposto estar à espera dessa permissão ser pedida, eu não fui ao site dessa empresa, eu não utilizo esse produto, nem eles dizem que o faço, portanto como é que se podia saber que não era alguém a fazer esse pedido a partir duma pagina que estamos a usar, e que vão utilizar essa informação para coisas que não deviam, tipo é uma permissão para verem o meu email...

    ResponderEliminar
    Respostas
    1. No primeiro que referes tem lá na descrição:

      "That from address isn't right, though... it should definitely be “westmountdayschool.edu”."

      E o email vem de um sharon.mosley@westmountdayschool.org e diz "Please find attached the 2019 financial activity report for your perusal.", logo dando a entender que é de alguém que nos conhece e de um âmbito que nos é familiar.

      Portanto, há maneira de saber se é legítimo ou não.

      Eliminar
    2. O último é o tipo de janela que aparece quando se faz login com a conta Google num qualquer outro serviço e, efectivamente, nas suas permissões pede para ter acesso ao teu mail, o qual só autorizas se quiseres - depende se confias no programador/aplicação. Além disso o link "My Account" redirecciona correctamente para uma página da Google.

      Eliminar
    3. Não.
      Como é que sabes que esse email não é legitimo? Explica lá.
      Essa do familiar é treta, lá porque vem do email da escola não quer dizer que não conheças a pessoa, estás a brincar ou quê? Andaste na universidade? Metade dos professores mandam emails nesse tom.
      O facto do email ser .org ou .edu como razão para não ser legitimo é a maior baboseira alguma vez vista. org não é nenhum domínio duvidoso e não é fora do comum para uma instituição. Queres que te mande links de universidades que não têm edu no dominio? São só praticamente todas em portugal, é tudo .pt, então vou assumir que é falso certo? Pois...

      Esse segundo, sim eu sei o que é aquilo, e tal como disseste, aceitas se confiares, ou seja como não nos dizem que é suposto confiar, eu posso dizer, não confio, não uso esse serviço e não pedi nada, por isso não, e segundo eles está errado, porque esse é legitimo, ou seja, no primeiro é suposto partir do principio que alguém que não sabemos quem é (apesar de não termos qualquer informação nesse sentido) é phishing, no segundo mais uma vez sem qualquer informação já é legitimo.
      O facto dessa janela ser de fazer login na conta do google noutro serviço não quer dizer que é legitimo, já houve varios ataques que utilizavam esse sistema de login mas falso para te roubar as credenciais.

      Eliminar
    4. "O facto do email ser .org ou .edu como razão para não ser legitimo é a maior baboseira alguma vez vista"
      Nunca disse que ser ORG ou EDU era razão para não ser legítimo, o que faz com que se deva desconfiar é o facto de o domínio da escola ser EDU e o mail que estás a receber vem de ORG. Se frequentasse ou fosse trabalhador na referida escola e recebesse um email com aquele tom familiar vindo de um endereço cujo domínio não correspondesse ao que estaria habituado, deveria de ficar de pé atrás.

      E sim, andei na Universidade, numa daquelas que o domínio é PT. Felizmente quando lá cheguei, vindo da escola, já tinha aprendido a interpretar textos. Espero que tu ainda venhas a aprender, és capaz de estar a tempo e pode ser útil para a tua vida.

      Eliminar
    5. Relembro que os comentários - por aqui - deverão ser um espaço de discussão saudável (há seguramente coisas muito mais importantes com as quais se poderão "chatear").

      O intuito deste teste da Google é precisamente o de "obrigar" cada um a pensar na forma como encara estes diferentes emails, para se acautelar contra possíveis situações futuras que venha a enfrentar.

      Se se "caiu" neste email da escola, imagino que no mínimo vá fazer com que se pense duas vezes da próxima vez que se receber um email idêntico... e esse "pensar duas vezes" pode ser o suficiente para que evite clicar onde não deveria.

      Eliminar
    6. Este comentário foi removido pelo autor.

      Eliminar
  2. Qual é a dúvida? O domínio da escola e de onde deveria vir este email é westmountschool.edu e vem de westmountdayschool.org.
    Se andares na Universidade de Aveiro, sabendo que o dominio é ua.pt e receberes um email que em vez de vir de um @ua.pt vier de um @uaday.org parece-te legítimo?

    ResponderEliminar

[pub]