Em computao, phishing e uma forma de fraude electronica, caracterizada por tentativas de adquirir informaes sensiveis, tais como senhas e numeros de carto de credito, ao se fazer passar como uma pessoa confiavel ou uma empresa enviando uma comunicao electronica oficial, como um correio ou uma mensagem instantanea. O termo Phishing surge das cada vez mais sofisticadas artimanhas para "pescar" (do ingles fish) as informaes sensiveis dos usuarios.

O que e?

Phishing e um tipo de fraude electronica projectada para roubar informaes particulares que sejam valiosas para cometer um roubo ou fraude posteriormente. O golpe de phishing (tambem conhecido como phishing scam, ou apenas scam) e realizado por uma pessoa mal-intencionada atraves da criao de um website falso e/ou do envio de uma mensagem electronica falsa, geralmente um e-mail ou recado atraves de scrapbooks como no sitio Orkut, entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informaes sensiveis (numeros de cartes de credito, senhas, dados de contas bancarias, entre outras). Uma variante mais actual e o Pharming. Nele, o usuario e induzido a baixar e executar arquivos que permitam o roubo futuro de informaes ou o acesso no autorizado ao sistema da vitima, podendo ate mesmo redireccionar a pagina da instituio) para os sites falsificados.

Tipos de roubo de informaes pessoais:

Roubo de identidade

Uma tecnica popular e o roubo de identidade via e-mail. Estelionatarios enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensiveis, tais como nome completo, enderee, numero da seguranes de credito, numeros de conta bancaria, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras.

A identidade usada nessas mensagens, geralmente, e de orgos governamentais, bancos e empresas de carto de credito. No corpo da mensagem, normalmente, existem ligaes que apontam para sitios falsos, normalmente muito parecidos com os sitios verdadeiros, onde existem formularios que a vitima deve preencher com as informaes solicitadas. O conteudo preenchido no formulario e enviado ao estelionatario.

Roubo de informaes bancarias

A forma de persuaso e semelhante a do roubo de identidade, porem a mensagem recebida contem ligaes que apontam para sitios que contem programas de computador que, se instalados, podem permitir a captura de informaes, principalmente numeros de conta e senhas bancarias. A instalao desses programas e, na maioria absoluta dos casos, feita manualmente pelo usuario. Tecnicamente, pode existir a possibilidade da instalao automatica desses programas apenas pela leitura da mensagem, mas isso depende de uma combinao de muitos factores, que raramente acontece (e que no vale a pena ser explicada aqui).

No Brasil, o phishing via e-mail no usados diversos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligao contida junto ao corpo do e-mail. Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas. Na verdade, a ligao contem fotos, mas sim um arquivo executavel, que ao ser baixado e executado instala um cavalo de Troia (trojan) bancario no computador do usuario.

Outro tema muito comum e os cartes virtuais. Eles so um bom chamariz, visto que e comum as pessoas trocarem cartes virtuais via e-mails supostos cartes virtuais, normalmente, tem a sua identidade associada a de algum sitio popular de cartes virtuais. Isso ajuda a tentativa de legitimar o golpe e tenta dar mais credibilidade a farsa. A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos sitios de cartes virtuais. Um detalhe em que o usuario deve prestar a ateno e os erros de gramatica que essas mensagens geralmente apresentam.

Outro detalhe fundamental e que ao clicar em ligaes contidas nessas mensagens quase sempre e aberta uma janela para download de arquivo. Nenhum sitio serio de cartes requer que o usuario baixe qualquer arquivo!

O cientista Noruegues Dan Owelus define bullying em tres termos essenciais

1.O comportamento e agressivo e

2.O comportamento e executado repetidamente;

3.O comportamento ocorre num relacionamento onde ha um desequilibrio de poder entre as partes envolvidas.

O bullying divide-se em duas categorias:

1.Bullying directo;

2.Bullying indirecto, tambem conhecido como agresso social;

3. O bullying directo e a forma mais comum entre os agressores (bullies) masculinos.

o social ou bullying indirecto e a forma mais comum em bullies do sexo feminino e crianas pequenas, e e caracterizada por forar a vitima ao isolamento social.

Este isolamento e obtido atraves de uma vasta variedade de tecnicas, que incluem:

Recusa em se socializar com a vitima;

Criticar o modo de vestir ou outros aspectos socialmente significativos (incluindo a etnia da vitima, religio, incapacidades etc).

O bullying pode ocorrer em situaes envolvendo a escola ou faculdade/universidade, o local de trabalho, os vizinhos e ate mesmo paises. Qualquer que seja a situao, a estrutura de poder e tipicamente evidente entre o agressor (bully) e a vitima. Para aqueles fora do relacionamento, parece que o poder do agressor depende somente da percepo da vitima, que parece estar a mais intimidada para oferecer alguma resistencia. Todavia, a vitima geralmente tem motivos para temer o agressor, devido as ameaas ou concretizaes de violencia fisica/sexual, ou perda dos meios de subsistencia.

Bullying e um termo de origem inglesa utilizado para descrever actos de violencia fisica ou psicologica , intencionais e repetidos, praticados por um individuo (bully) ou grupo de individuos com o objectivo de intimidar ou agredir outro individuo (ou grupo de individuos) incapaz (es) de se defender. A palavra "Bully" significa "valentes. A vitima, ou alvo, e a que sofre os efeitos delas. Tambem existem as vitimas/agressoras, ou autores/alvos, que em determinados momentos cometem agresso vitimas de bullying.

No uso coloquial entre falantes de lingua inglesa , bullying e frequentemente usado para descrever uma forma de assedio interpretado por alguem que esta, de alguma forma, em condies de exercer o seu poder sobre alguem ou sobre um grupo mais fraco.

Caracterizao do bullying

Muitas vezes os chamados Hackers so vistos pelos leigos quase como seres sobrenaturais, uma especie de mistura de Mac-Giver com Mister M, mas veja uma frase postada em um grande grupo de discusso sobre Hacking:. You may wonder whether Hackers need expensive computer equipment and a shelf full of technical manuals. The answer is NO! Hacking can be surprisingly easy! numa traduo livre: Voce pode achar que os Hackers precisam de computadores caros e uma estante cheia de manuais tecnicos. A resposta e NO! Hackear pode ser surpreendentemente facil. Frases como esta no de se admirar, pois na verdade, a maioria dos ataques exploram falhas bobas de segurana ou mesmo a ingenuidade dos usuarios, no exigindo que o agressor tenha grandes conhecimentos. Pelo contrario, a maioria dos ataques so feitos por pessoas com pouco conhecimento, muitas vezes lanando os ataques a partir do micro de casa. Ultimamente tem sido descobertos varios ataques a sites, como por exemplo, o do Instituto de Previdencia dos Servidores Militares do Estado de Minas Gerais, da Escola de Equitao do Exercito, Faculdade Santa Marta e ate mesmo do Ministerio do Trabalho, onde as paginas principais eram substituidas por outras contendo o nome do invasor e alguns palavres. Muitas destas invases foram feitas aproveitando uma falha de segurana (ja corrigida) do Front Page 2000, que sob certas condies permite a qualquer pessoa alterar as paginas mesmo sem a senha de acesso. Outro caso famoso foi o de um site pornografico Americano, que apesar de ser anunciado como um site gratuito, pedia o numero do carto de credito do visitante apenas como uma comprovao de que ele era maior de 18 anos. No e preciso dizer o que faziam com os numeros no e? Hackers de verdade sar ataques reais a servidores aparentemente protegidos, mas sempre lana dos sistemas, ou ento, tentando adivinhar senhas de acesso. Uma vez dentro do sistema, a primeira preocupao e apagar evidencias da invaso gravadas nos arquivos de log do sistema. Estes arquivos so alterados ou mesmo apagados, evitando que o administrador possa localizar o invasor. Em seguida, o atacante tenta conseguir mais senhas de aceso ao sistema, abrindo os arquivos do servidor que as armazenam. Caso consiga descobrir a senha do administrador, ou conseguir acesso completo explorando uma falha de segurana, pode ate mesmo se fazer passar pelo administrador e atacar outras maquinas as quais a primeira tenha acesso. Para se proteger deste tipo de invaso, basta criar senhas dificeis de serem adivinhadas, se possivel misturando letras e numeros com caracteres especiais, como @$#% etc . e usar um sistema seguro, com todas as correa instaladas. Um bom programa de firewall completa o time. Outras estrategias de invaso e roubo de dados, so usar programas keytrap (rastreadores de teclado que armazenam tudo que e digitado, inclusive senhas, em um arquivo que pode ser recuperado pelo invasor), cavalos de Troia, monitores de rede, ou outros programas que permitam ao invasor ter acesso a maquina invadida. Para isto, basta enviar o arquivo ao usuario junto com algum artificio que possa convence-lo a executar o programa que abrira as portas do sistema, permitindo seu acesso remoto. Um bom exemplo deste tipo de programa e o back orifice.

Como se proteger

Hoje em dia, Segurana na Internet parece ser um tema de grande interesse, talvez pela complexidade (ou simplicidade, dependendo do ponto de vista) ou talvez pela pouca quantidade de informaes disponiveis sobre o tema. Tanto que entre os 10 livros de informatica mais vendidos, 3 tem como tema os Hackers. O meu objetivo neste artigo e passar um pouco da minha experiencia pessoal sobre o assunto.

Existem varias formas de se roubar dados ou invadir computadores. 99% das invases se da devido a um (ou varios) dos seguintes factores:

Trojans como o Back-orifice instalados no micro

Bugs de segurana do Windows, IE, Netscape, ICQ ou de qualquer programa que estiver instalado no micro.

Portas TCP abertas

Descuido ou ingenuidade do usuario.

Internet

Esta zona contem Web sites que no no computador ou na intranet local ou que ainda no esto atribuidos a outra zona. O nivel de segurana predefinido e Media .

Sites fidedignos

Esta zona contem Web sites que considera como sendo fidedignos (tais como Web sites que se encontram na intranet da organizao fornecidos por empresas estabelecidas nas quais tem confiana). Quando adiciona um Web site a zona de sites fidedignos, acredita que os ficheiros que transferir ou executar a partir desse Web site no danificar o seu computador ou os respectivos dados. Por predefinio existem Web sites atribuidos a zona Sites fidedignos ( Trusted Sites ) e o nivel de segurana esta definido como Baixa .

Sites restritos

Esta zona contem Web sites nos quais no confia. Quando adiciona um Web site a zona de sites restritos, acredita que os ficheiros que transferir ou executar a partir desse Web site podero danificar o seu computador ou os dados. Por predefinio existem Web sites atribuidos a zona Sites restritos e o nivel de segurana esta definido como Alta . A zona Sites restrita contem Web sites que no no computador ou na intranet local ou que ainda no atribuidos a outra zona. O nivel de segurana predefinido e Media .

Nota: as definia so so aplicadas aos ficheiros existentes no computador na pasta Temporary Internet Files . Estas definies utilizam o nivel de segurana do Web site a partir do qual os ficheiros foram obtidos. O sistema parte do principio de que todos os outros ficheiros so seguros.