domingo, 5 de agosto de 2007

Phishing que fazer depois do azar

  1. investigue o e-mail e o website do phishing:

    1. obtenha amostras das mensagens de e-mail maliciosas com o cabeçalho completo.
    2. analise a mensagem em busca de URLs, endereços IP e endereços de e-mail do remetente. É bem comum que haja dois URLs envolvidos: um com o site que se faz passar pelo do banco e outro para o qual dos dados do formulário são submetidos. O segundo URL normalmente é encontrado dentro do código da página de phishing, normalmente nas seções de submit de botões de formulários.
    3. visite o website do phishing para saber a que nível de ataque seus clientes estão sendo submetidos, mas antes se prepare. No tratamento de incidentes de phishing, o CAIS raramente se deparou com um ataque sofisticado de phishing a clientes de instituições brasileiras, ou seja, que envolvesse vulnerabilidades do browser ou pharming. Mesmo assim, os especialistas do grupo recomendam evitar a utilização do Internet Explorer, pois o navegador é alvo da maioria dos ataques devido a considerável quantidade de vulnerabilidades. Se possível, o CAIS/RNP sugere o uso do Mozilla/Firefox ou mesmo um browser em modo texto, como o lynx. O ideal é que se copie apenas o código-fonte do site. Segundo os especialistas, isto pode ser feito com os utilitários wget e lynx, presentes na maioria das distribuições Linux.
  1. blacklists - submeta o endereço IP do host responsável pelo spam para blacklists para diminuir o número de vítimas em potencial. Embora radical, esta medida é mais eficaz do que apenas entrar em contato com a organização que hospeda o servidor de e-mail. Esta última opção toma tempo e é menos eficaz do que a primeira medida, especialmente porque na maioria das vezes os sites são hospedados em outros países;
  2. entre em contato com provedores de acesso à Internet - eles podem providenciar filtro para hosts que hospedam phishing em seus backbones, daí a importância de se estabelecer contatos previamente;
  3. envolva a área de comunicação de sua empresa - geralmente, a imprensa toma logo conhecimento desses ataques e vai procurar a área de Relações Públicas de sua empresa para saber mais sobre o assunto. Assim, procure manter a área de comunicação ciente do assunto desde o começo, além de passar todas as informações possíveis sobre esse processo. Isso pode evitar que a imagem de sua empresa seja comprometida;
  4. informe seus clientes - cada empresa sabe a melhor maneira de contactar seus clientes. Uma pequena chamada na página principal do site da instituição pode ser o suficiente;
  5. avise outras equipes de segurança sobre os ataques - essa atitude pode ajudar no processo de minimização dos ataques;
  6. informe a polícia e órgãos de combate a phishing - alguns departamentos de polícia já possuem experiência necessária para tratar este tipo de incidente e ajudar sua equipe de segurança nesse momento;
  7. entre em contato com o provedor que hospeda o site falso - a maioria desses sites falsos fica hospedado fora do país alvo do ataque. Procure descobrir o responsável pela administração do provedor que hospeda o site malicioso para que ele seja desativado;
  8. tente obter logs - depois de conseguir retirar o website de operação, procure conseguir com o provedor os arquivos de logs do servidor web. Através deles, pode-se obter os endereços IP de consumidores que foram possíveis vítimas do ataque, bem como saber quem "plantou" o ataque.
Postado por às
Marcadores:

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Google