UNIVERSIDADE DE BRASLIA FACULDADE DE TECNOLOGIA DEPARTAMENTO DE ENGENHARIA ELTRICA

ANLISE DE TCNICAS DE PHISHING BANCRIOS

ROGRIO YOSHIKAZU MATSUDA

ORIENTADOR: LAERTE PEOTTA DE MELO

MONOGRAFIA DE GRADUAO EM ENGENHARIA DE REDES DE COMUNICAO

PUBLICAO: 1/2012

BRASLIA/DF: SETEMBRO/2012

UNIVERSIDADE DE BRASLIA FACULDADE DE TECNOLOGIA DEPARTAMENTO DE ENGENHARIA ELTRICA

ANLISE DE TCNICAS DE PHISHING BANCRIOS

ROGRIO YOSHIKAZU MATSUDA

MONOGRAFIA DE GRADUAO SUBMETIDA AO DEPARTAMENTO DE ENGENHARIA ELTRICA DA FACULDADE DE TECNOLOGIA DA UNIVERSIDADE DE BRASLIA, COMO PARTE DOS REQUISITOS NECESSRIOS PARA A OBTENO DO GRAU DE ENGENHARIA. APROVADA POR:

LAERTE PEOTTA DE MELO, Doutor, UnB (ORIENTADOR)

EDNA DIAS CANEDO, Doutora, UnB/FGA (EXAMINADOR EXTERNO)

DINO MACEDO AMARAL, MsC, UnB (EXAMINADOR INTERNO)

BRASLIA/DF, 28 DE SETEMBRO DE 2012

ii

FICHA CATALOGRFICA MATSUDA, ROGRIO ANLISE DE TCNICAS DE PHISHING BANCRIOS [Distrito Federal] 2012. XI, 57p., 297 mm (ENE/FT/UnB, Grau Obtido, Engenharia de Redes de Comunicao, 2012). Monografia de Graduao Universidade de Braslia, Faculdade de Tecnologia. Departamento de Engenharia Eltrica. 1. Phishing 3. Segurana de informao I. ENE/FT/UnB. 2. E-mail II. Ttulo (Srie)

REFERNCIA BIBLIOGRFICA MATSUDA, R. (2012). Anlise de Tcnicas de Phishing Bancrios. Monografia de Graduao em Engenharia de Redes de Comunicao. Departamento de Engenharia Eltrica, Universidade de Braslia, Braslia, DF, 57p.

CESSO DE DIREITOS AUTOR: Rogrio Yoshikazu Matsuda. TTULO: Anlise de Tcnicas de Phishing Bancrios.

GRAU: Graduao

ANO: 2012.

concedida Universidade de Braslia permisso para reproduzir cpias desta Monografia de Graduao e para emprestar ou vender tais cpias somente para propsitos acadmicos e cientficos. Do mesmo modo, a Universidade de Braslia tem permisso para divulgar este documento em biblioteca virtual, em formato que permita o acesso via redes de comunicao e a reproduo de cpias, desde que protegida a integridade do contedo dessas cpias e proibido o acesso a partes isoladas desse contedo. O autor reserva outros direitos de publicao e nenhuma parte deste documento pode ser reproduzida sem a autorizao por escrito do autor.

Rogrio Yoshikazu Matsuda QNH 5 CASA 30, Taguatinga CEP 72.130-550 Braslia DF - Brasil

Dedico aos meus pais pelo apoio, ajuda e compreenso durante a minha graduao. Sem a ajuda deles no seria possvel a minha graduao na faculdade.

iv

AGRADECIMENTOS

Ao meu orientador Prof. Dr. Laerte Peotta de Melo, pelo apoio, incentivo, dedicao e amizade essencial para o desenvolvimento deste trabalho e para o meu crescimento como graduando.

RESUMO ANLISE DE TCNICAS DE PHISHING BANCRIOS

Autor: Rogrio Yoshikazu Matsuda Orientador: Laerte Peotta de Melo Monografia de Graduao em Engenharia de Redes de Comunicao Braslia, setembro de 2012

O phishing um meio que os atacantes utilizam a fim de obter informaes sigilosas de vrios usurios de Internet. Com os dados de suas vtimas em mos, os phishers, como so chamados esses atacantes, tm acesso s contas bancrias, acessos restritos a determinados sistemas e outros aplicativos que exijam autenticao para o acesso. Por isso a tcnica phishing um poderoso ataque usado por hackers para obter acesso a informaes restritas. O trabalho descrito nesta monografia objetiva definir uma metodologia para anlise da tcnica phishing de e-mails bancrios. A metodologia definida comea da realizao de pesquisas em artigos, publicaes cientficas, peridicos e livros referentes a roubos de dados. A seguir desenvolvida uma soluo para proliferao dos e-mails phishing. A soluo ser elaborada atravs de cdigo em shell script. No final, ser feita uma anlise dos resultados encontrados para avaliar a eficcia da anlise.

vi

ABSTRACT ANALYSIS OF BANK PHISHING TECHNIQUES Author: Rogrio Yoshikazu Matsuda Supervisor: Laerte Peotta de Melo Monografia de Graduao em Engenharia de Redes de Comunicao Braslia, September de 2012

Phishing is a way that attackers use to obtain sensitive information from various Internet users. With the data in the hands of their victims, phishers, as they are called these attackers have access to bank accounts, restricted access to certain systems and other applications that require authentication for access. So the technique is a powerful phishing attack used by hackers to gain access to restricted information. The work described in this monograph attempts to define a methodology for analysis of technical phishing e-mails from banks. The methodology set begins conducting research articles, scientific publications, periodicals and books relating to identity theft. The following is a solution developed for the proliferation of phishing emails. The solution will be elaborated through code in shell script. At the end, is an analysis of the results for evaluating the efficacy of analysis.

vii

SUMRIO
1 - INTRODUO .............................................................................................................. 1 1.1 - OBJETIVOS ............................................................................................................ 4 1.2 - JUSTIFICATIVA .................................................................................................... 4 1.3 - METODOLOGIA .................................................................................................... 5 1.4 - ORGANIZAO DO TRABALHO ....................................................................... 6 2 - CONCEITOS E FUNDAMENTOS ............................................................................... 7 2.1 - CARACTERSTICAS DE PHISHING EM E-MAILS ........................................... 7 2.1.1 - Hyperlink visvel em formato de URL, mas apontando para uma URL diferente .................................................................................................................... 8 2.1.2 - Hyperlink visvel, porm apontando diretamente para um endereo IP como URL ................................................................................................................. 8 2.1.3 - Url muito longo .............................................................................................. 8 2.1.4 - E-mail com o corpo (body) codificado em formato HTML........................... 9 2.1.5 - Domnio do remetente do e-mail diferente do domnio da URL que est dentro do corpo do e-mail......................................................................................... 9 2.1.6 - Imagem carregada a partir de domnio diferente das URLs apresentadas no corpo e-mail ................................................................................... 9 2.1.7 - Uso de Javascript no corpo do e-mail.......................................................... 10 2.1.8 - Muitos hyperlinks dentro do corpo do e-mail............................................. 10 2.1.9 - Busca por palavras-chave no corpo do e-mail ............................................ 10 2.2 - TCNICA PHISHING COM USO DE MALWARES .......................................... 11 2.2.1 - Keyloggers e Screenloggers ......................................................................... 11 2.2.2 - Sequestro de Sesso ..................................................................................... 12 2.2.3 - Web Trojan .................................................................................................. 12
viii

2.2.4 - Envenenamento de arquivos de computadores .......................................... 12 2.2.5 - Ataques de reconfigurao de sistema ........................................................ 13 2.2.6 - Roubo de dados ............................................................................................ 13 2.2.7 - Phishing via DNS (Pharming) ................................................................. 14 2.2.8 - Phishing atravs de injeo de contedo..................................................... 14 2.2.9 - Phishing Man-in-the-Middle ....................................................................... 15 2.3 - ENGENHARIA SOCIAL ...................................................................................... 16 2.3.1 - Arte da manipulao ................................................................................... 17 2.3.2 - Tipos de ataques de Engenharia Social ....................................................... 17 2.3.2.1 - Engenharia Social com base humana ....................................................... 18 2.3.2.2 Engenharia Social com base computacional ........................................... 19 3 - REFERENCIAL TERICO ........................................................................................ 21 3.1 IDENTIFICANDO ATAQUES PHISHING EM SITES ...................................... 21 3.2 TCNICAS DE DETECO DE E-MAILS PHISHING BASEADAS EM CARACTERSTICAS................................................................................................... 21 3.3 TCNICAS DE DETECO DE PHISHING NO-BASEADAS EM CARACTERSTICAS................................................................................................... 25 4 DESENVOLVIMENTO E RESULTADOS ................................................................ 28 4.1 - DESENVOLVIMENTO ........................................................................................ 28 4.2 - RESULTADOS ...................................................................................................... 31 4.3 ANLISE DOS RESULTADOS ........................................................................... 36 5 - CONCLUSO............................................................................................................... 37 REFERNCIAS ................................................................................................................. 39

ix

ANEXO 1: SCRIPT PARA NALISE DE URLS CONTIDOS EM E-MAILS PHISHING ......................................................................................................................... 43 ANEXO 2: SCRIPT EM PYTHON DISPONIBILIZADO PELO VIRUSTOTAL (COM ADAPTAES) ..................................................................................................... 51 ANEXO 3: GERAO DE PLANILHAS DE DETECES ......................................... 52 ANEXO 4: URLS E SEUS NMEROS CORRESPONDENTES .................................... 55

LISTA DE TABELAS E QUADROS

TABELA 1 CONFIGURAES PARA BLOQUEAR E-MAILS COM DETERMINADAS PALAVRAS.... 28 TABELA 2 CONFIGURAES DO ARQUIVO LISTAPALAVRASBLOQUEADAS.LIST ................. 29 TABELA 3 - QUANTIDADE DE URLSCANNERS QUE DETECTARAM URLS MALICIOSOS ..........31 TABELA 4 - VALORES RELATIVOS DOS DIAS 01/06 A 03/06 ................................................. 32 TABELA 5 - VALORES RELATIVOS DOS DIAS 04/06 A 06/06 ................................................. 33 TABELA 6 - VALORES RELATIVOS DO DIA 07/06................................................................. 33 TABELA 7 - INFORMAES DE DOMNIO, ENDEREO IP E HOST EXTRADAS APS EXECUTAR O
COMANDO WHOIS ...................................................................................................... 34

TABELA 8 - INFORMAO DA LOCALIZAO E DISPONIBILIDADE DAS URLS ANALISADAS ... 35

xi

LISTA DE FIGURAS
FIGURA 1 - NMERO DE DETECES DE PHISHING ENTRE JULHO E DEZEMBRO DE 2011 (MODIFICADO - APWG, 2012) .....................................................................................1 FIGURA 2 - FLUXOGRAMA DE REGRAS................................................................................ 23 FIGURA 3 - PROCEDIMENTO PARA ANALISAR URLS EM E-MAILS..........................................30 FIGURA 4 - VALORES ABSOLUTOS DO NMERO DE DETECES ...........................................32 FIGURA 5 - VALORES RELATIVOS DO NMERO DE DETECES ............................................ 34

xii

1 - INTRODUO
O mtodo tradicional de segurana da informao focado em autenticao e criptografia, baseando-se tambm em privacidade, robustez e segurana contra adversrios mal intencionados. Em todos os casos, este modelo de segurana tem ignorado o fator humano e ataques combinados com a engenharia social (Jakobsson, 2005). Um dos desafios de segurana, presente atualmente, so os ataques phishing, ataques que incluem a manipulao do fator humano. Quem nunca recebeu na sua caixa de entrada de correio eletrnico e-mails pedindo senhas sigilosas como as de conta bancria. Essas mensagens eletrnicas so os chamados e-mails phishing que se proliferam pela Internet. A figura 1 mostra os ltimos seis meses de 2011 sobre o nmero de deteces de phishing extrado de relatrio levantado pelo (APWG, 2012).

Figura 1 - Nmero de deteces de phishing entre julho e dezembro de 2011 (modificado - APWG, 2012) 1

Phishing uma forma de ludibriar no qual um atacante ( hacker), se passando por uma entidade com boa ndole, tenta obter informaes sigilosas de modo fraudulento de uma vtima (Jagatic et al, 2007). Esse mecanismo criminoso usa tanto a engenharia social quanto tcnicas evasivas para roubar dados pessoais e financeiros. A engenharia social usa a proliferao de e-mails aparentemente legtimos, redirecionando as vtimas para websites forjados e tentam convenc-las a divulgar dados financeiros como nome de usurio e senha (APWG, 2012). O termo phishing, phishing scam ou phishing/scam, refere-se ao mtodo pelo qual e-mails so usados para capturar informaes de usurios da Internet, constituindo-se um ataque que tem como objetivo efetuar algo ilcito atravs do envio de mensagem no solicitada (Peotta et. Al, 2011). A tcnica phishing utiliza engenharia social para fazer vtimas, enganando-as com a meta de obter informaes sigilosas delas, causando prejuzo a elas. Em outras palavras, uma forma de adquirir dados pessoais, ao se passar por uma pessoa ou uma empresa confivel atravs de meios de comunicao eletrnica, por exemplo, o email. O phishing, na Internet, pode alcanar o usurio de vrias formas, atravs de uma janela pop-up do browser ou de e-mails. Os alvos dos ataques phishing so bastante diversificados desde rgos pblicos, empresas privadas a qualquer pessoa que tenha acesso a Internet. Um exemplo de um ataque phishing no dia-a-dia: um usurio convencido a clicar em um link, que instala algum malware ou redireciona para algum site fraudulento. Os malwares, por exemplo, podem ter spywares/keyloggers programa que copia telas ou copia as teclas pressionadas no teclado para um arquivo e depois envia ao atacante. Com o ataque phishing, a vtima pode ser induzida a acessar um site clonado, sem ter a noo disto, e deixar suas informaes pessoais no prprio site. O e-mail um dos servios mais usados atualmente, por isso dos principais meios utilizados para phishing. Umas das vantagens que os phishers, atacantes que utilizam a tcnica phishing, tm a seu favor que podem ser forjados os remetentes dos e-mails, portanto podem esconder o real remetente dos e-mails. Outra ferramenta muito utilizada
2

pelos atacantes o suporte HTML nativo que a maioria dos clientes de e-mail possui. Como o e-mail suporta HTML e tambm hyperlink (onde pode associar a um texto visvel uma URL invisvel), ambos tornam-se ferramentas poderosas para os phishers. A tcnica de envio difuso de e-mails phishing muito semelhante do spam. Por isso o phishing considerado uma subcategoria de spam. Uma diferena entre os dois que pode ser levantada que o phishing em geral tem como consequncia prejuzos financeiro vtima, enquanto o spam geralmente envia e-mails com propagandas e ofertas sobre diversos assuntos. Um dos temas que est mais se difundindo nos e-mails phishing aquele que usam nomes de bancos como Banco do Brasil e Santander. Os bancos sempre deixaram claro que nunca enviam e-mails para seus clientes, evitando o aproveitamento de possveis brechas por parte dos phishers. Porm, sempre h correntistas de bancos desavisados ou ingnuos que abrem as mensagens maliciosas que recebem em suas caixas eletrnicas. Geralmente, os emails supostamente enviados por bancos vm com avisos de atualizao de contas e senhas bancrias, pagamentos no efetuados, comprovantes de depsitos e recibos de pagamentos. O objetivo principal dos phishers ter acesso a informaes sigilosas de correntistas de bancos. O projeto tem a finalidade de detectar e-mails que usam tcnica phishing supostamente enviados por bancos. Essa deteco ser dividida em duas partes neste projeto. Na primeira parte ser feito um filtro de e-mails classificando-os em spam e no spam em servidor de emails utilizando a ferramenta SpamAssassin. Na segunda parte ser feito outra filtragem, desta vez separando quais e-mails so considerados phishing, usando filtro de palavraschaves como nomes de bancos conhecidos nacionalmente atravs de shell script. H poucas ferramentas automatizadas para analisar se um e-mail utiliza ou no o mtodo phishing. As ferramentas que existem, hoje em dia, para fazer essa anlise so criados por empresas de antivrus embutindo-as em seus produtos de segurana.

1.1 - OBJETIVOS

Este projeto voltado para a anlise dos e-mails phishing. No primeiro momento ser feito um levantamento dos estudos realizados em relao ao tema. Nesse estudo sero observadas as ferramentas e as solues criadas para solucionar ou contornar o problema. No prximo passo, ser elaborado um procedimento de anlise das mensagens phishing. Esse procedimento ser automatizado atravs de um script. Aps executado o script, ser analisado o resultado da atividade automatizada para verificar a eficcia do script.

1.2 - JUSTIFICATIVA A tcnica phishing muito usada para adquirir informaes sigilosas atravs de e-mails. As principais informaes que so visadas pelos hackers que utilizam essa tcnica so os dados bancrios das pessoas. Um dos filtros de e-mails tem a funo de detectar spam, que pode ser um meio de fazer uma primeira filtragem para a deteco de phishing. Um filtro para detectar spam bastante usado atualmente so os filtros Bayesianos, que fazem a classificao do contedo do email baseando-se na apario de determinadas palavras em determinada freqncia. H ferramentas de e-mails que utilizam listas de remetentes whitelist e blacklist. Geralmente, blacklist bloqueia endereos IP de servidores de e-mail (SMTP), domnios de origem ou endereos de remetentes de e-mail. Todavia o bloqueio de endereos IP de servidores SMTP ou domnios pode gerar problemas quando usurios utilizarem servidores de e-mails mundialmente conhecidos como Gmail ou Yahoo. J o bloqueio de endereos de remetentes pode ser ineficiente, pois pode ser forjados milhares de contas de correio eletrnico para enviarem e-mails maliciosos para diversas pessoas. Como foi citado, o phishing difcil bloquear por endereos de remetentes, pois os phishers utilizam tcnicas para usarem vrios endereos de origem para os e-mails phishing. Uma das tcnicas a utilizao de uma ferramenta que forja ou muda o endereo de origem dos e-mails para dificultar o rastreamento dos phishers. Por isso a utilizao das
4

listas blacklist para bloquear os remetentes ineficiente, j que utilizam diversos endereos de origem para no serem bloqueados. Podem-se fazer levantamentos de caractersticas para detectar ataque phishing nos e-mails. Porm se forem levantadas muitas caractersticas para serem analisadas, haver impacto direto no tempo de processamento do sistema de deteco de phishing. Dependendo do nmero de caractersticas levantado, o sistema de deteco pode-se tornar um gargalo no servidor de e-mail. Ainda h a questo dos falsos positivos, que normalmente aparece em filtros spam. Se um usurio do sistema de deteco de spam ou phishing comear a receber muitos alertas falsos, passar a ignor-los. Portanto melhor ter um detector que s gere alertas confiveis, do que um que gere muitos alertas no confiveis. A elaborao de um procedimento automtico de anlise de e-mails phishing eficaz facilitaria a verificao de atividades de roubo de dados sigilosos em mensagens eletrnicas.

1.3 - METODOLOGIA

Este projeto inclui o aspecto de pesquisa e de desenvolvimento para solucionar a proliferao dos e-mails phishing. O aspecto de pesquisa estar presente nos estudos de artigos, publicaes, peridicos e livros voltados ao assunto sobre tcnicas de roubos de dados sigilosos. A parte de desenvolvimento ser mostrada atravs do script elaborado para anlise de mensagens phishing. Alm disso, os conceitos e as referncias tericas sero elaborados a partir das referncias bibliogrficas citadas no final desta monografia. Na parte final do trabalho, ser feita uma anlise da eficcia da automatizao na anlise das tcnicas phishing em correios eletrnicos.

1.4 - ORGANIZAO DO TRABALHO

O captulo 1 apresenta vrios termos como Phishing, Spam e Engenharia Social. O projeto tem seus objetivos que so citados na introduo. A justificativa para implementar este projeto explicada citando os problemas enfrentados pelas pessoas que trabalham na rea de segurana da informao para detectar tcnicas phishing. A metodologia desta monografia explica como ela est estruturada. No captulo 2 conceituado a palavra phishing, mostra como essa tcnica usada e para qu. Dentro desta conceituao, h uma subdiviso em dois grupos, phishing e nophishing, que separa quais e-mails usam essa tcnica para capturar dados. Descreve algumas caractersticas da tcnica phishing. O captulo 3 cita vrias publicaes referentes a como combater ataques phishing. Alguns pontos levantados so como identificar ataques phishing em sites, tcnicas de deteco de e-mails phishing baseado e no-baseado em caractersticas. No captulo 4 descreve os procedimentos iniciais como a montagem do laboratrio e a configurao de arquivo de regra para filtro. A seguir mostrado o passo-a-passo do script que foi elaborado para analisar as URLs presentes nos e-mails phishing. O captulo 5 apresenta os resultados alcanados atravs de tabelas, grficos e imagens retiradas do laboratrio. Tambm feito anlise dos resultados avaliando a eficincia dos scripts.

2 - CONCEITOS E FUNDAMENTOS
Phishing uma tcnica da engenharia social usada para enganar pessoas com objetivo de capturar informaes sigilosas, geralmente dados utilizados para acessar contas bancrias. Neste captulo sero apresentados os principais conceitos e fundamentos relacionados s caractersticas desta pesquisa.

2.1 - CARACTERSTICAS DE PHISHING EM E-MAILS Um dos meios utilizados para disseminar o phishing o e-mail. Para evitar o uso em escala dessa tcnica, so levantadas caractersticas em comum em vrios e-mails phishing. Esse levantamento tem como finalidade fazer um filtro que separe os e-mails em dois grupos: phishing e no-phishing. As caractersticas levantadas podem ser simblicas (por exemplo, cor ou figuras geomtricas) ou numricas (tamanho ou posio). Outra caracterstica utilizada para filtrar e-mails phishing so aparies de determinadas palavras, por exemplo, Senha, Conta, Agncia, CPF, Telefone, Nome Completo e nomes de bancos (Banco do Brasil, Bradesco, Ita entre outros). Um filtro de e-mail bastante utilizado so os filtros bayesianos, que funcionam a partir das palavras e termos ortogrficos contidos em mensagens. Porm so ineficientes para bloquear e-mails maliciosos escritos em idiomas estrangeiros quando no h exemplares dos mesmos na base de treinamento. Os e-mails phishing tambm costumam mudar muito o contexto da mensagem, normalmente bem polmico e utilizado para chamar a ateno das vtimas. As estratgias usadas pelos phishers para tentar enganar um usurio de e-mail esto relacionadas a tcnicas que no so conhecidas pelas vtimas. Alguns mtodos de deteco de phishing esto baseados na identificao de um conjunto de caractersticas que envolvem o cabealho e o corpo (body) do e-mail. A seguir so levantadas algumas caractersticas phishing mais utilizados pelos phishers.

2.1.1 - Hyperlink visvel em formato de URL, mas apontando para uma URL diferente

<a href="http://bradescodiaenoites.servepics.com/"> http://www.bradesco.com.br/ </a>

O hyperlink visvel http://www.bradesco.com.br/, no entanto se um usurio clicar nesta URL ser carregado o endereo http://bradescodiaenoites.servepics.com/.

2.1.2 - Hyperlink visvel, porm apontando diretamente para um endereo IP como URL

Este recurso muito usado pelo phishers. Uma vez que no necessrio resolver um nome DNS, no expe os dados cadastrais de registro DNS dos hackers. <a href=http://200.192.214.15> http://www.itau.internetbank.com.br/ </a>

2.1.3 - Url muito longo

A visualizao de uma URL muito extensa normalmente confunde os usurios inexperientes, pois o domnio que est realmente sendo usado pode ser camuflado usando vrios subdomnios ou subdiretrios na URL. http://security.update.bancodobrasil.com/login/bb.com/login.php

2.1.4 - E-mail com o corpo (body) codificado em formato HTML

Um dos meios mais utilizados para disseminar a tcnica phishing a codificao HTML suportada na maioria das contas de e-mail, pois o hyperlink. O hyperlink quando mostrado para o usurio, oculta a URL sob um texto visvel. Em outras palavras, o endereo do site que ser carregado escondido quando ocorrer um clique de mouse no hyperlink. O formato HTML ainda permite o uso de outros recursos, por exemplo, a insero de formulrios. Atravs de formulrios que os phishers conseguem coletar dados sigilosos como senhas, nmero da conta bancria, nome completo do usurio e CPF. Por este motivo, o formato HTML muito utilizado em ataques phishing de e-mail.

2.1.5 - Domnio do remetente do e-mail diferente do domnio da URL que est dentro do corpo do e-mail

Para tentar coletar dados sigilosos, os phishers falsificam o remetente do e-mail para alcanar servidores de e-mail que utilizam blacklist (lista que discrimina os endereos que so considerados origens de phishing ou spam) em seus filtros. O objetivo de forjar um remetente para os e-mails no serem bloqueados pelos servidores de e-mails e disseminlos com URLs maliciosos no corpo das mensagens. Forjando os emissores dos e-mails, os phishers tentam usar domnios de remetentes conhecidos ou confiveis aos usurios das mensagens eletrnicas, para que eles sejam induzidos a acessarem URL maliciosos presentes no corpo dos e-mails.

2.1.6 - Imagem carregada a partir de domnio diferente das URLs apresentadas no corpo e-mail

Imagem carregada a partir de domnio diferente das URLs apresentadas no corpo e-mail: O corpo do e-mail h imagens, como logomarcas, que so oriundas de sites autnticos, mas
9

h URLs associadas a essas imagens que podem redirecionar para sites suspeitos ou fazer downloads de arquivos maliciosos. <img src=http://www.santander.com.br/imagens/index.jpg> Atualizao da base de dados dos cliente do banco Santander <a href=http://malicious_site.com/trojan.exe> Clique aqui para atualizao</a>

2.1.7 - Uso de Javascript no corpo do e-mail

A utilizao do Javascript pode, por exemplo, alterar informaes do cliente de e-mail ou de um navegador de Internet. Por isso, o Javascript uma ferramenta muito usada por phishers para induzir as suas vtimas, utilizando a interao com a interface grfica do usurio.

2.1.8 - Muitos hyperlinks dentro do corpo do e-mail

Para obter mais chances da vtima clicar em um hyperlink, o phisher aumenta a quantidade de hyperlinks no e-mail. Por conter uma grande quantidade de hyperlinks, pode-se suspeitar do e-mail.

2.1.9 - Busca por palavras-chave no corpo do e-mail

O phisher usa determinadas palavras em e-mails que enviado para suas vtimas. O uso de determinadas palavras justificado por estarem relacionadas a instituies financeiras ou rgos pblicos. O objetivo atrair a ateno de suas vtimas relatando, por exemplo, que a conta bancria foi bloqueada ou que precisa fazer uma atualizao de segurana em seu computador. Com estas situaes expostas, as vtimas ficam receosas e preenchem formulrios com nmero da conta e senha bancria ou fazem downloads de executveis suspeitos.
10

2.2 - TCNICA PHISHING COM USO DE MALWARES

Os malwares voltados para phishing referem-se normalmente a qualquer ferramenta com inteno de roubar dados sigilosos que funciona em softwares maliciosos localizados em computadores de vtimas. Esses malwares podem ter diversas formas. Os malwares espalham-se atravs da engenharia social ou por explorao de vulnerabilidades de segurana. Um ataque de engenharia social consiste em convencer a vtima a abrir um anexo de um e-mail ou fazer download de um arquivo de um site, geralmente descrevendo que o anexo de contedo pornogrfico, contm fotos exclusivas ou fofocas de celebridades. Alguns softwares de downloads tambm podem conter malwares. Os malwares espalham-se atravs de falhas de segurana propagando worms ou vrus que tm vantagem sobre vulnerabilidades da mquina da vtima. A explorao pode ser direcionada para um website malicioso atravs da engenharia social usando mensagens spams que prometem algum contedo interessante em um site ou inserem contedo malicioso em um website legtimo explorando falhas de segurana como vulnerabilidades a XSS (cross-site scripting).

2.2.1 - Keyloggers e Screenloggers

Os keyloggers so um tipo de malware que instalado em um web browser ou como drive de dispositivo em uma mquina alvo. Os keyloggers normalmente monitoram envio e recebimento de dados relevantes como dados enviados para sites de credenciamento. Esses dados so enviados para um servidor phishing. Keyloggers usam diferentes tecnologias e podem ser implementados de diversas maneiras como: - Um auxiliador de navegador que detecta mudanas na URL e informaes de logs quando a URL est em uma coleo de sites predeterminados; - Um drive de dispositivo que monitora as entradas do teclado e do mouse em conjunto com a monitorao das atividades do usurio e; - Um screenlogger que monitora tanto as entradas do usurio quanto as telas de exibio de medidas de segurana.
11

Os keyloggers podem coletar dados para uma vasta variedade de sites. Eles so frequentemente usados para localizar usurio que apenas transmitem dados para sites particulares. Centenas de sites de busca so alvos, incluindo instituies, portais de informaes e VPNs de corporativas. Vrios perigos secundrios podem aparecer depois da instalao de keyloggers.

2.2.2 - Sequestro de Sesso

Session hijackers (sequestro de sesso) referem-se a um ataque em que as atividades de um usurio so monitoradas, tipicamente por um componente de browser malicioso. Quando um usurio faz login em sua conta ou inicializa uma transao, o software malicioso hijacks pratica aes maliciosas uma vez que o usurio tenha estabilizado sua sesso. Os sequestradores de sesso pode acessar um computador local de um usurio via malware ou pode executar acesso remoto como parte de um ataque man-in-the-middle que ser mostrado mais a diante. Quando acessar localmente por malware, session hijacking pode ver que o site alvo exatamente como se fosse um usurio interagindo com o site.

2.2.3 - Web Trojan

Os web trojans so programas maliciosos que mostram telas de login para coletar dados pessoais. O usurio acredita que est dando as informaes para um website, mas na verdade est sendo enviado para os phishers.

2.2.4 - Envenenamento de arquivos de computadores

Se um usurio acessa www.virustotal.com na sua barra de endereo, precisa-se traduzir o endereo para um endereo IP antes de visitar o site. Muitos sistemas operacionais, como o Windows, tem um arquivo hosts para procurar os nomes de hosts antes do DNS (Domain Name System) fazer a traduo. O arquivo hosts pode ser alterado modificando a traduo
12

de www.virustotal.com para um endereo malicioso. Quando o usurio faz o acesso ao site modificado no arquivo hosts, ele acha que o site legtimo e digita os dados sigilosos no site. Fornecido os dados, os hackers capturam-nos atravs do site forjado.

2.2.5 - Ataques de reconfigurao de sistema

Ataques de reconfigurao de sistema modificam as configuraes do computador do usurio comprometendo informaes armazenadas. Um tipo de ataque de reconfigurao de sistema a mudana do servidor DNS do usurio. Outro tipo de ataque reconfigurar o sistema para liberar o trfego web no proxy. Isso uma forma de ataque man-in-the-middle. Um tipo de ataque muito utilizado quando um usurio decide conectar a um ponto de acesso de rede sem fio malicioso, pois o ponto de acesso monitora o trfego de informaes confidenciais ou substitui as pginas requisitadas por outras pginas forjadas pelos hackers.

2.2.6 - Roubo de dados

Uma vez que o cdigo malicioso executado no computador de um usurio, podem-se roubar dados confidenciais armazenados no computador. Tais dados podem incluir senhas, chaves de ativao para software, informaes sigilosas de e-mails e outros dados que so armazenados no computador da vtima. Para usar filtros automticos de dados podem-se procurar informaes como senhas de contas bancrias, informaes sensveis que podem ser obtidas. Roubo de dados largamente utilizado por phishers em espionagem corporativa, partindo da ideia que os computadores pessoais frequentemente contm as mesmas informaes confidenciais armazenadas em computadores ou servidores muito bem protegidos. Atravs dessa espionagem, memorandos confidenciais ou documentos de projetos podem ser publicamente divulgados, causando perdas econmicas ou constrangimento.

13

2.2.7 - Phishing via DNS (Pharming)

Phishing via DNS qualquer forma de phishing que interfira com processo de resoluo de nomes. O arquivo hosts envenenado, que o arquivo de resoluo de nome alterado por hackers, est incluso neste tipo de phishing, apesar deste arquivo no fazer parte do DNS. Outra forma de usar phishiBng via DNS envolve o envenenamento do cach do DNS do usurio com informaes erradas que sero usados diretamente pelo usurio numa futura consulta do DNS.

2.2.8 - Phishing atravs de injeo de contedo

O phishing utilizado em injeo de contedo insere informaes maliciosas em um site legtimo. Essas informaes maliciosas podem redirecionar para outros sites, resultando em instalao de malware no computador da vtima ou insere quadro de informaes que redirecionam dados para servidor phishing. Existem trs tipos primrios de phishing que usa injeo de contedo com vrias variaes em cada: - hackers podem comprometer um servidor aproveitando-se de uma vulnerabilidade de segurana ou aumentar contedos legtimos com programas maliciosos; - contedos maliciosos podem ser inseridos em um site atravs de vulnerabilidades para cross-site scripting (XSS). As vulnerabilidades para XSS so defeitos na programao de origem externo como um blog, uma anlise de usurio de um produto em um site de ecommerce, um leilo, uma mensagem em uma conversa instantnea, uma consulta de pesquisa ou um acesso ao webmail. Cada contedo externo fornecido pode ser um script malicioso ou outro contedo que no devidamente filtrado por software no servidor do site e o contedo funciona em um web browser de um usurio comum; - aes maliciosas podem ser executadas em um site atravs de vulnerabilidades a injeo de SQL. Esse um caminho usando comandos de bancos de dados para fazer um acesso remoto do servidor que pode causar vazamento de informaes. Como vulnerabilidades a XSS, vulnerabilidades a injeo de SQL so resultado de filtros imprprios.
14

XSS e injeo de SQL so propagadas atravs de vetores primrios diferentes. Em um dos vetores, o contedo malicioso injetado em base de dados de servidor web legtimo como anncio de leilo ou webmail. No outro vetor, o contedo malicioso incorporado a um URL que uma vtima visita aps clicar em um link. Este caso uma URL que aparecer na tela ou usado como parte de uma consulta de banco de dados, por exemplo, um argumento para pesquisa.

2.2.9 - Phishing Man-in-the-Middle

Um ataque man-in-the-middle (homem no meio) uma forma de phishing em que phisher posiciona-se entre a vtima e o site legtimo. As informaes requeridas pelo site so passadas para phishers, que salva essas informaes, depois passam-nas para o destino final. Os phishers ainda respondem de volta vtima. Os ataques man-in-the-middle podem tambm ser usados para sequestro de sesso, armazenando ou no credenciais comprometidos. Esses ataques so difceis de serem detectados por usurios, pois o site trabalhar normalmente e no existir nenhuma indicao que algo est errado. Diferentes tipos de phishing podem ser utilizados em ataques man-in-the-middle. Alguns formas de phishing como um ataque a proxy so inerentemente ataques man-in-the-middle. Propostas tm sido feitas para instituir um perodo seguro para novos registros de domnios, durante o qual detentores de marcas registradas podero opor-se a um novo registro antes de serem concedidos novos domnios. Isso poderia auxiliar no problema de domnios sem registros, mas no resolveria o problema de phishing para sites com domnio. A criao de servidores phishing frequentemente envolve o backup do site original que est sendo acessado. s vezes possvel analisar acessos padres em logs do site original e detecta aes phishing de downloads. Enquanto pginas num site pblico no podem, finalmente, ser mantidos por phishers, pode-se proporcionar o tempo necessrio em respostas para um ataque. Anlises baseados em endereos IP podem ser usados algumas vezes para acelerar uma investigao uma vez que um ataque est a caminho.
15

Alguns servios tentam procurar uma pgina e identificam um novo site phishing antes de acess-la. Esses servios podem frequentemente resultar em desativar um site phishing antes de estar ativa. Em muitos casos, entretanto, sites phishing podem no ser acessado por ferramentas de pesquisas. Os sites phishing, em mdia, no ficam ativos mais que dois dias, ou seja, no ficam ativados por muito tempo. Phishers tm desenvolvido uma variedade de tecnologias para manter servidores phishers ativos por longo perodo. Por exemplo, phishing usando um domnio que prprio phishers pode direcionar para endereos IP arbitrrios por atualizaes de informaes nos servidores DNS. Phishers tem customizados servidores DNS e providenciando endereos IP em forma de rodzio para muitas mquinas comprometidas. Sempre que um servidor phishing retirado do rodzio outra mquina comprometida colocada. Isto tem o efeito de exigir uma queda atravs do registro de domnio, que pode ser um esforo mais complicado e demorado que retira uma mquina atravs de um ISP. Alguns phishers tambm ativam redirecionamento de portas em mquinas comprometidas que as vtimas so redirecionadas, funcionando como balanceadores de cargas e permitir que a substituio de servidores de phishing quando so desabilitados.

2.3 - ENGENHARIA SOCIAL

Engenharia Social conhecida comumente como a arte de manipular pessoas para que realizem aes ou divulguem informaes confidenciais (Vieira, 2011). Embora seja parecid-o a um truque ou fraude, o termo aplica-se normalmente com propsito de obter informaes atravs da persuaso. um processo para enganar os usurios de um sistema e convencer eles a realizar atos teis para o hacker, por exemplo, como dando informaes que podem ser usados para burlar mecanismos de segurana de empresas. Engenharia social importante ser entendido, pois hackers podem us-lo para atacar um elemento humano de um sistema e contornar tcnicas de medidas de segurana. Esse mtodo pode ser usado para reunir informaes antes ou durante um ataque.

16

Um engenheiro social normalmente usa o telefone ou Internet para enganar pessoas a revelarem informaes sigilosas ou coleta deles algo que desfavorvel a segurana poltica da organizao. Por este mtodo, engenheiros sociais exploraram a tendncia natural de uma pessoa confiar suas palavras, em vez de explorar falhas de segurana computacional. Geralmente aceito que os usurios so a parte vulnervel na segurana. Este princpio o que faz a engenharia social possvel. A parte mais perigosa da engenharia social que empresas com processos de autenticao, firewalls, redes privados virtuais (VPN) e software de monitorao de rede so ainda vulnerveis a ataques, pois engenharia social no explora medidas de segurana diretamente. Em vez disso, a engenharia social evita burlar equipamentos de segurana e ataca o elemento humano em uma organizao.

2.3.1 - Arte da manipulao

A engenharia social manipula as qualidades naturais humanas, como o desejo de ajudar, a tendncia em confiar nas pessoas e o receio de adquirir problemas. Hackers so hbeis para se colocar no dia-a-dia das vtimas e parecer que faz parte de uma organizao, ataques que so os mais bem sucedidos na engenharia social. Essa habilidade de ter contato direto com as vtimas normalmente chamada como a arte da manipulao. As pessoas so o elo mais fraco no sistema de segurana. Uma defesa com sucesso depende de ter boas polticas no local e ensinar funcionalidades dessas polticas. Engenharia social a forma mais difcil de ataque para se defender, pois a empresa no pode proteger-se com apenas hardware e software.

2.3.2 - Tipos de ataques de Engenharia Social

Engenharia social pode ser dividida em duas partes com base: 1. Humana: refere-se interao pessoa com pessoa para obter informao desejada.

Um exemplo chamar um suporte tcnico e tentar encontrar uma senha;

17

2.

Computacional: refere-se a ter um software computacional que tente encontrar

informaes sigilosas. Um exemplo enviar um login em um e-mail e perguntar sobre a senha em uma pgina web e confirm-lo. Esse tipo de ataque de engenharia social tambm conhecido como phishing.

2.3.2.1 - Engenharia Social com base humana

As tcnicas da engenharia social com base humana pode ser amplamente categorizado como: 1. Representar como papel de funcionrio ou usurio vlido: Neste tipo de ataque de

engenharia social, os hacker pretende ser um funcionrio ou usurio vlido no sistema. Um hacker pode ter um acesso fsico sendo porteiro, funcionrio ou contratante. Por um lado a facilidade, o hacker rene informaes da lixeira, desktops ou sistemas computacionais; 2. Posicionar como um importante usurio: O hacker pretende ser um importante

usurio como um executivo ou gerente de alto-nvel que necessitam de imediata ajuda para adquirir acesso a um sistema ou arquivos. O hacker usa intimidao de modo que trabalhador de baixo-nvel como funcionrio de help desk prestar assistncia na obteno do acesso ao sistema. Maioria dos funcionrio de baixo-nvel no questionam algum que parea estar numa posio de autoridade; 3. Usar uma terceira pessoa: Um hacker pretende ter permisso de uma autoridade

para usar um sistema. Este ataque especialmente efetivo se a susposta autoridade est de frias ou no pode ser contactado para verificao; 4. Chamar suporte tcnico: Chamar suporte tcnico para assistncia uma tcnica

clssica de engenharia social. Help desk e suporte tcnico personalizado so treinados para ajudar os usurios, que so timas vtimas para ataques de engenharia social; 5. Anlise de lixeira: Procurar na lixeira informaes escritas em pedaos de papel ou

cpias impressas. O hacker pode frequentemente encontrar senhas, nomes de arquivos ou informaes confidenciais. Um mtodo avanado para obter informaes ilcitas conhecido como engenharia social reversa. Usando esta tcnica, um hacker cria um perfil que aparente estar numa posio de
18

autoridade em que funcionrios perguntem ao hacker informaes em vez de usar outro artifcio. Por exemplo, um hacker pode se passar por um funcionrio de help desk e oferece ao usurio informaes como uma senha.

2.3.2.2 Engenharia Social com base computacional

Ataques de engenharia social com base computacional pode ser econtrados em: - anexos de e-mails; - pginas web falsos; - janelas pop-up. Ataques internos: se um hacker no pode encontrar uma maneira para hackear uma empresa, a melhor opo infiltrar-se atravs de contratao como empregado ou encontrar um funcionrio descontente para auxiliar no ataque. Ataques internos podem ser perigosos pois funcionrios tm acesso fsico e esto aptos a se mover livremente na organizao. Um exemplo poderia disfarar-se como entregador vestindo um uniforme e obter acesso sala de entrega ou carregamento. Outra possibilidade se colocar como funcionrio de limpeza, que possui acesso ao interior do prdio e tambm podem se locomover nas salas. E como ltimo recurso, um hacker pode subornar ou caso contrrio coagir um funcionrio a participar no ataque providenciando informaes com as senhas. Roubo de identidade: Um hacker pode infiltrar como funcionrio ou roubar identidade de um funcionrio para efetuar o ataque. Informaes reunidas na anlise de lixeira em combinao com criao de falsos usurios podem obter entrada de hacker em uma empresa. Criar um perfil que possa entrar sem contestao no edifcio o objetivo do roubo de identidade. Ataques phishing: Phishing implica envio de e-mail, normalmente com origem forjada no nome de banco, empresa de carto de crdito ou outras organizaes financeiras. Os requisitos de e-mail que o destinatrio confirme informaes bancrias ou resete as senhas ou PINs. O usurio clique em link no e-mail e redirecionado para uma pgina web forjada. O hacker ento hbil para capturar informaes e usado para ganho financeiro perpetrar outro ataque. E-mails que diz que os remetentes possuem um montante de
19

dinheiro mas necessita de ajuda para pegar o montante fora do pas de origem so exemplos de ataques phishing. Estes ataques visam pessoas comuns e so objetivos dos hackers de capturar cdigos de acesso de conta bancria ou outras informaes confidenciais. Scams online: Alguns websites que fazem ofertas gratuitas ou outros negcios especiais podem atrair uma vtima para entrar com seu login e senha que pode ser os mesmos dados que so usados por ela para acessar um sistema do seu trabalho. Anexos de e-mail podem ser usados para enviar cdigos maliciosos para sistema de uma vtima, que pode automaticamente executar algo como um software de keylogger para capturar senhas. Vrus, trojans e worms podem ser includos em e-mails para seduzir uma vtima para abrir o anexo.

20

3 - REFERENCIAL TERICO
Este trabalho baseou-se em vrios artigos e trabalhos relacionados tcnica phishing e formas de como detect-la. A seguir so apresentados alguns pontos abordados nesses artigos e trabalhos.

3.1 IDENTIFICANDO ATAQUES PHISHING EM SITES

Segundo (APWG Committed to Wiping Out Internet Scams and Fraud, 2009), empresas descobrem ataques phishing em suas pginas web. Na publicao cita vrios tipos de monitoramento que pode auxiliar nas descobertas de ataques phishing: a) Monitoramento de trfego: Os responsveis pelo site podem monitorar acesso indevido, volume de trfego anormal de acesso ao prprio site ou monitorar trfego oriundo do servidor web onde est hospedada a pgina web. b) Verificao de arquivos do sistema: Atravs de verificao rotineira, podem-se identificar arquivos suspeitos ou programas executveis maliciosos em sistema onde est armazenada a pgina web. c) Inspeo da configurao de servidores web: Os responsveis pelos servidores web podem detectar acessos no autorizados ou mudanas imprevistas em seus servidores.

3.2 TCNICAS DE DETECO DE E-MAILS PHISHING BASEADAS EM CARACTERSTICAS

De acordo com (Olivo, 2010), algumas caractersticas de e-mail phishing que so escolhidas podem ser utilizadas para produzir um classificador a fim de que se possam diferenciar mensagens eletrnicas consideradas phishing das no-phishing. Algumas caractersticas j foram levantadas anteriormente nos conceitos, como: Hyperlink visvel em formato de URL, mas apontando para uma URL diferente;
21

 e-mail;

Hyperlink visvel, porm apontando diretamente para um endereo IP como URL; URL muito longo; E-mail com o corpo (body) codificado em formato HTML; Domnio do remetente do e-mail diferente do domnio da URL que est dentro do

corpo do e-mail; Imagem carregada a partir de domnio diferente das URLs apresentadas no corpo

Uso de Javascript no corpo do e-mail; Muitos hyperlinks dentro do corpo do e-mail; Busca por palavras-chave no corpo do e-mail.

Esta ltima caracterstica ser usada para filtrar e-mails supostamente enviados por bancos como Banco do Brasil e Bradesco. Outra caracterstica que ser analisada so os hyperlinks usados no corpo dos e-mails em HTML. (Olivo, 2010) tambm relata um procedimento interessante a ser feito: consulta a servio externo ao sistema de e-mail. Vrios servios externos podem ser consultados para obter informaes detalhadas sobre uma URI que origem do e-mail. Consultar por uma URL em um site de pesquisa, fazer uma consulta ao servio de DNS, usar servio whois para fazer consulta so alguns exemplos de servios ou ferramentas a serem utilizados para obter mais informaes sobre uma determinada URL. Outros trabalhos relacionados a deteco de phishing citado por (Olivo, 2010). Por exemplo, (Chen e Guo 2006) criaram uma anlise de mensagem feita principalmente atravs dos links contidos no corpo do e-mail. Se caso o hyperlink tenha forma de uma URL, provavelmente seja um texto ou uma imagem, o domnio do remetente consultado em whitelist e blacklist. Caso o domnio do remetente no conste em nenhuma lista, analisa se o domnio do hyperlink diferente com o do remetente. Se sim, a mensagem classificada como suspeita. De acordo com os autores, a tcnica de deteco proposta conseguiu um percentual de acerto de 96%, porm valor foi obtido analisando uma base de phishing com 203 mensagens. Outro ponto levantado foi de realizar testes com mensagens legtimas ou confiveis para analisar a taxa de falsos positivos. A vantagem dessa tcnica

22

que no necessria uma etapa de aprendizagem. No entanto, se as caractersticas de phishing mudarem, a deteco pode tornar-se ineficiente. (Cook, Gurbani, e Daniluk 2008) propuseram uma tcnica que conseguiram 95,72% de taxa de acerto em uma base com 81 e-mails phishing e 36 legtimos, usando um classificador com 11 caractersticas. A tcnica est baseada na figura 2.

Figura 2 - Fluxograma de regras

As regras da figura 2 so explicadas a seguir. Regra 1: verificado se a URL inserido no e-mail est direcionando o usurio para

um endereo diferente da empresa que originou a mensagem; Regra 2: em e-mails no formato HTML verificado se a URL visvel usa TLS,

depois comparada a URL com a URI. Se esta ltima no usar TLS, a caracterstica indicativa de phishing; URL; Regra 3: verificado se usado endereo IP ao invs de um nome de domnio na

23

Regra 4: verificado se o nome da empresa que aparece na URL est fora da

poro correspondente ao nome do domnio; Regra 5: em e-mails no formato HTML verificado se o texto ncora do link tem o Regra 6: no cabealho do e-mail, os campos Received so checados para

formato de uma URL e ento comparado com o endereo para o qual o mesmo aponta;

averiguar se o caminho pelo qual a mensagem passou inclui um servidor de e-mail da entidade em nome da qual o e-mail se identifica; Regra 7: uma busca feita no corpo da mensagem para encontrar divergncias

entre o domnio da URL de login com o domnio das demais URLs da mensagem. Se alguma divergncia for encontrada, essa caracterstica classificada como verdadeira para phishing; Regra 8: informaes so obtidas sobre o domnio da pgina de login usando o

servio de whois. feito o mesmo procedimento para os demais URLs. Se tiver divergncias entre as informaes do domnio da pgina de login com o domnio das demais URLs do e-mail, esta caracterstica verdadeira; Regra 9: de forma bastante semelhante regra 7, feita uma busca por divergncias

ou inconsistncias entre os domnios das URLs das imagens. Se isso ocorrer, essa caracterstica verdadeira; Regra 10: de maneira semelhante a regra 8, feita uma busca por inconsistncias

entre as informaes da consulta ao whois dos domnios das URLs de imagens. Se houver alguma inconsistncia essa caracterstica verdadeira para phishing; Regra 11: se a pgina web do link estiver inacessvel, esta regra considerada como

verdadeira. Alguns pontos negativos foram levantados sobre a tcnica de (Cook, Gurbani, e Daniluk 2008). O tamanho da base de teste foi limitado, com 81 e-mails phishing e 36 legtimos, tornando-se questionvel os resultados obtidos. No houve tambm separao da base para a realizao das etapas de treinamento e teste, o que pode tornar o resultado viciado, pois o ajuste da ferramenta realizado com as mesmas mensagens que originaram o percentual de acerto. Sem mencionar que so efetuados acessos a informaes em fontes externas ao

24

servio de correio eletrnico, o que pode aumentar o tempo necessrio para a anlise de cada e-mail. Outro trabalho estudado de (Basnet, Mukkamala, e Sung 2008) com uma taxa de acerto de 97,99% de acerto em uma base com 973 e-mails phishing e 3027 e-mails legtimos. Eles usaram vrias caractersticas, entre elas, grupos de palavras-chave e utilizao de servios externos. A caracterstica de utilizao de palavras-chave contabiliza o nmero de repeties no e-mail. O prximo procedimento dividir o nmero total de palavras do email pelo nmero contabilizado de palavras-chave. Esta razo considerada uma caracterstica contnua. Essa anlise proposta por (Basnet, Mukkamala, e Sung 2008) pode tornar muito lenta a deteco em sistemas reais por usar vrias caractersticas e servios. Alm disso, o conjunto de palavras, geralmente, restringe-se a vocabulrios ou termos ligados ao setor financeiro. Porm, nos ltimos anos, houve um aumento de e-mails suspeitos com suposto origem comercial e governamental. (Fette, Sadeh e Tomasic, 2007) utilizam uma ferramenta anti-spam em uma base que contm 6950 e-mails legtimos e 860 phishing de e-mail. Segundo os autores, a tcnica possui uma taxa de acerto de 99,5%. O mtodo de classificao usado como referncia foi florestas aleatrias, que um mtodo com vrias rvores de deciso. O filtro anti-spam escolhido foi o SpamAssassin. Esse filtro foi usado sem treinamento num determinado momento, ou seja, usa regras padres de deteco, e no outro momento com treinamento. Apesar da alta taxa de acerto, essa tcnica precisa usar vrias caractersticas, ferramentas anti-spam e fazer consultas externas usando o servio do whois. Por isso, pode aumentar consideravelmente o tempo de anlise de cada e-mail, tornando invivel a tcnica em um gateway SMTP que receba uma grande quantidade de mensagens.

3.3 TCNICAS DE DETECO DE PHISHING NO-BASEADAS EM CARACTERSTICAS

Segundo (Castillo, Iglesias e Serrano, 2007) abordam uma classificao de e-mails baseada em trs filtros: 1. filtro Bayesiano: classifica o contedo do corpo do e-mail (classificao textual);
25

2. filtro de dados no-textuais: filtra dados baseados em regras no-textuais; 3. filtro de respostas de sites: classifica as respostas de sites relacionados aos links contidos em e-mails. Baseado nesses filtros, os e-mails podem ser classificados como legtimos ou maliciosos. Para evitar falsos positivos, se houver falta de informaes para analisar os e-mails, o classificador acima os destina a uma categoria ou pasta que permita fazer uma anlise mais detalhada futuramente. No filtro Bayesiano, configurado um filtro de contedo que classifica o e-mail como de contedo financeiro ou no. As mensagens que no possuem esse tipo de contedo no passam para a prxima fase da classificao. Porm a tcnica phishing no se aplica apenas para ter acesso a contas bancrias, tambm usado para outros objetivos. Por isso, filtrar apenas mensagens voltadas para assuntos financeiros acarretaria em um grande nmero de falsos negativos. O filtro trabalha com probabilidade de ocorrncia de alguns termos ou palavras no assunto ou no corpo do e-mail. No entanto, essa execuo complexa quando trabalha com vrios idiomas. Se o corpo da mensagem contiver apenas imagens, o filtro avalia apenas o assunto. Outra considerao foi em relao eficincia do filtro de respostas recebidas. Quando so enviados os dados requisitados por um e-mail, nada garante que a mensagem de confirmao de recebimento dos dados seja autntica. Por exemplo, uma resposta pode ser retornada, propositadamente, de forma que o filtro torne-se ineficiente. Uma abordagem para deteco de phishing simulando as aes de usurios de correios eletrnicos apresentado em (Chandrasekaran et al, 2006). O projeto analisa o contedo do e-mail recebido, vasculhando formulrios HTML e links. Caso o e-mail possua formulrio requisitando informaes sigilosas, ele classificado como malicioso. Em relao aos links, so verificados atravs de uma simulao de acesso a eles. Se o e-mail no possuir nenhuma das caractersticas anteriores, a anlise finalizada. A simulao de acesso consiste em verificar se os links direcionam a formulrios. Encontrados formulrios, eles so preenchidos com dados fictcios. Como um site forjado para atividades ilcitas, na maioria das vezes, no distingue informaes vlidas das invlidas, aceitar as informaes recebidas. Caso o site envie uma mensagem
26

confirmando o recebimento dos dados, ela enviada ao sistema de deciso para anlise. Confirmado a autenticidade dos links, o usurio pode ter acesso ao e-mail. Porm, essa ltima anlise possui a mesma falha citada anteriormente no projeto de (Castillo et al, 2007): comprovao da autenticidade da resposta. Outra limitao que h na anlise de formulrios que ataques phishing no se restringe a utilizao de formulrios para coletar dados sigilosos, tendo outros mtodos para obter dados e burlar sistemas de defesas.

27

4 DESENVOLVIMENTO E RESULTADOS
Nesta parte do trabalho sero explicados todos os procedimentos realizados para desenvolvimento do projeto. Aps isso, sero expostos os resultados e tambm sero analisados os valores obtidos.

4.1 - DESENVOLVIMENTO

Inicialmente foi criado um laboratrio para efetuar a pesquisa do projeto. Neste laboratrio, foi instalado um servidor de e-mail Postfix, onde foi configurado um domnio, conta de usurio e outras configuraes necessrias. Aps configurar o servidor de e-mails, foi instalado o filtro de spam SpamAssassin. Dentro do SpamAssassin, mais precisamente no diretrio etc/mail/spamassassin, foi configurado um arquivo para bloquear e-mails que contenham determinadas palavras. As palavras contidas nesse arquivo recebem 250 pontos de score. Como o valor do score fica acima de determinado limite, 5 por default, a mensagem colocada numa pasta chamada bulk dentro da pasta mail do usurio. Caso contrrio, se o score for inferior a 5, a mensagem deixada na pasta de entrada (Inbox). Por isso, se determinada palavra se encaixar nas regras de bloqueio, receber 250 pontos de score e ser enviado para a pasta bulk por ter ultrapassado o score default. Na Tabela 1, h dois tipos de configuraes:
Tabela 1 Configuraes para bloquear e-mails com determinadas palavras

Regras de bloqueio de e-mails

Explicao das regras Score pontua ou repontua algumas regras do SpamAssassin. BAD_WORDS

-score BAD_WORDS 250

contm as palavras que so baseadas no bloqueio de e-mails. 250 o valor que atribudo quando uma palavra listada for encontrada em uma mensagem.

-body BAD_WORDS/blackword/i

Body avalia o corpo do e-mail.

28

/blackword/ a palavra que filtrada no bloqueio. A opo i significa que case sensitive, que tanto faz ser a palavras ser maiscula ou minscula.

A Tabela 2 mostra configurao baseada na configurao da Tabela 1, feita no arquivo ListaPalavrasBloqueadas.list.

Tabela 2 Configuraes do arquivo ListaPalavrasBloqueadas.list

score body body body body

BAD_WORDS 250 BAD_WORDS /Banco do Brasil/i BAD_WORDS /Bradesco/i BAD_WORDS /Santander/i BAD_WORDS /Itau/i

Feitas as devidas configuraes, foram enviados 50 e-mails, 13 e-mails bancrios e 37 nobancrios, coletados de outras contas para a conta criada no servidor de e-mail instalado no laboratrio. Na caixa de entrada na conta de e-mail, foram encontrados apenas os e-mails no-bancrios. Os 13 e-mails bancrios foram encontrados na pasta bulk, como esperado. Com os e-mails de interesse em mos, foi elaborado um cdigo em shell script para procurar por links dentro das mensagens. Esses links so, geralmente, endereos HTTP que redirecionam para um site fraudulento ou suspeito. O script que foi elaborado para analisar as URLs a partir dos e-mails phishing esto no anexo 1. Na figura 3 mostra os procedimentos para anlise de URLs.

29

Figura 3 - Procedimento para analisar URLs em e-mails

O procedimento 5 deveria ser desnecessrio caso a quantidade detectada nos relatrios fosse verdadeira. O nmero correspondente a quantidade detectada, de acordo com a maioria dos relatrios, foi 1. No entanto, este nmero no corresponde quantidade de URLscanner que acusaram as URLs como suspeitos ou perigosos. Por isso, o procedimento 5 realizado, para contabilizar o nmero de certo deteces realizados. Para isso, o script procura os termos malicious, phishing e malware, pois quando aparecem estes termos nos relatrios quer dizer que os URLscanner avaliaram as URLs em malicious site, phishing site ou malware site. Ainda h caso em que os URLscanner no define se uma URL confivel ou no, provavelmente porque no possui ela em seu banco de dados. Quando acontece isso, a avaliao da URL unrated site. Para as anlises neste projeto, computou-se essa avaliao junto com os outros trs termos. Este script executado durante sete dias consecutivos para levantar uma quantidade de amostras de informaes.

30

4.2 - RESULTADOS

Na Tabela 3 consta o nmero de deteces feito pelas URLscanners para todos as URL analisadas durante sete dias seguidos. O campo URLs possui nmeros e cada um destes corresponde a uma URL como pode ser verificado no anexo 4.

Tabela 3 - Quantidade de URLscanners que detectaram URLs maliciosos URLs 1 2 3 4 5 6 7 8 9 10 11 12 01/06/201 2 3 0 4 2 4 6 4 4 3 4 2 3 02/06/201 2 3 0 4 2 4 7 4 3 3 4 2 2 03/06/201 2 3 0 4 2 4 6 4 3 3 4 2 3 04/06/201 2 3 0 4 2 4 8 4 3 4 4 2 3 05/06/201 2 3 0 4 2 4 7 5 4 3 4 2 3 06/06/201 2 3 0 4 2 4 8 5 4 4 4 2 3 07/06/201 2 3 0 4 2 4 8 4 3 3 4 2 3

partir da Tabela 3, foi elaborado o grfico da figura 4 com valores absolutos de quantidades de URLscanners em funo das datas em que foram coletadas.

31

Figura 4 - Valores absolutos do nmero de deteces

Para analisar os dados coletados de outra forma, foram montados as Tabela 4, 5 e 6 com os nmeros de deteces, os nmeros de URLscanners que fizeram as anlises e os valores relativos que a razo entre o nmero de deteces e o nmero de URLscanners para cada URL.

Tabela 4 - Valores Relativos dos dias 01/06 a 03/06

01/06/2012 URLs 1 2 3 4 5 6 7 8 9 10 11 3 0 4 2 4 6 4 4 3 4 2 27 27 26 26 26 27 26 27 27 27 0,111 0 0,148 0,074 0,154 0,231 0,154 0,148 0,115 0,148 0,074 3 0 4 2 4 7 4 3 3 4 2

02/06/2012 27 27 27 26 27 26 27 26 27 27 0,111 0 0,148 0,074 0,154 0,259 0,154 0,111 0,115 0,148 0,074 3 0 4 2 4 6 4 3 3 4 2

03/06/2012 27 27 27 26 26 26 27 26 27 27
32

NDetec NScanURL ValorRel NDetec NScanURL ValorRel NDetec NScanURL ValorRel 0,111 0 0,148 0,074 0,154 0,231 0,154 0,111 0,115 0,148 0,074

12

27

0,111

26

0,077

27

0,111

Tabela 5 - Valores Relativos dos dias 04/06 a 06/06

04/06/2012 URLs 1 2 3 4 5 6 7 8 9 10 11 12 NDetec NScanURL ValorRel 3 0 4 2 4 8 4 3 4 4 2 3 26 26 25 26 25 26 26 26 26 26 26 0,115 0 0,154 0,077 0,16 0,308 0,16 0,115 0,154 0,154 0,077 0,115 NDetec 3 0 4 2 4 7 5 4 3 4 2 3

05/06/2012 26 26 26 25 26 26 26 25 26 26 26 0,115 0 0,154 0,077 0,16 0,269 0,192 0,154 0,12 0,154 0,077 0,115 3 0 4 2 4 8 5 4 4 4 2 3

06/06/2012 27 27 27 26 27 27 27 27 27 27 27 0,111 0 0,148 0,074 0,154 0,296 0,185 0,148 0,148 0,148 0,074 0,111

NScanURL ValorRel NDetec NScanURL ValorRel

Tabela 6 - Valores Relativos do dia 07/06

07/06/2012 URLs 1 2 3 4 5 6 7 8 9 10 11 12 NDetec 3 0 4 2 4 8 4 3 3 4 2 3 NScanURL ValorRel 27 27 27 26 27 26 27 26 27 27 27 0,111 0 0,148 0,074 0,154 0,296 0,154 0,111 0,115 0,148 0,074 0,111

33

Na linha da URL 2 da Tabela 4 no contm o nmero de URLscanners pois ocorreu erro na anlise da URL. Esse erro no foi relatado nos relatrios. Por isso, provavelmente, que no foi detectado nenhuma caracterstica de maliciosa pelos URLscanners. O grfico da figura 5 foi baseado nas Tabelas 4, 5 e 6.

Figura 5 - Valores relativos do nmero de deteces

Os grficos da figura 4 e 5 apesar de usarem valores diferentes, o primeiro utiliza valores absolutos e o segundo, valores relativos, as curvas do grficos so praticamente os mesmos. O prximo procedimento foi verificar as informaes das URLs analisados que pode ser feito usando o comando de consulta WHOIS. A tabela 7 possui a numerao, domnio, endereo IP e host correspondente as URLs. A tabela 8 apresenta a localizao e a disponibilidade de cada URL.

Tabela 7 - Informaes de domnio, endereo IP e host extradas aps executar o comando whois

Nmero URL 1 2

Domnio servepics.com xoom.it

Endereo IP 8.23.224.110 212.48.10.58

Host www.no-ip.com 212.48.10.58

34

3 4 5 6 7 8 9 10 11 12

oriflame-kl.ru casatoro.com dibraschi.com 96.240.18.2 telemont.com.br firstmodel.com.pl liderdepo.com ccdarque.org zapto.org co.cc

109.120.141.167 70.59.126.212 74.55.98.138 96.240.18.2 201.18.107.83 88.198.10.70 85.17.91.118 8.23.224.110 112.175.243.10

109.120.141.167.addr.datapoint.ru 70.59.126.212 mail.01.001hosting.com static-96-240-18-2.nwrknj.fios.verizon.net 201.18.107.83 s72.linuxpl.com 85.17.91.118 www.no-ip.com 112.175.243.10

Tabela 8 - Informao da localizao e disponibilidade das URLs analisadas

Nmero URL 1 2 3 4 5 6 7 8 9 10 11 12

Localizao US, United States IT, Italy RU, Russian Federation US, United States US, United States US, United States BR, Brazil DE, Germany NL, Netherlands PT, Portugal US, United States KR, Korea, Republic of

Disponibilidade No No No No No No No No No No No No

Analisando a tabela 8, pode ser notado que nenhuma URL est disponvel para ser acessado. Provavelmente elas foram retiradas aps terem sido denunciadas por possurem finalidades maliciosas. Na tabela 7, no foi encontrar o endereo IP e o host da URL 10, pois, possivelmente, deve ter sido retirada do servidor onde estava armazenada.

35

4.3 ANLISE DOS RESULTADOS

O script elaborado funcionou satisfatoriamente. A nica URL que no possvel ser analisada com sucesso pelo URLscanners foi a URL 2. Comparando a URL capturada pelo script com a URL contida no seu respectivo e-mail, foi notado que o script capturou apenas uma parte da URL. Provavelmente no foi possvel capturar toda URL, pois ela muito longa, ocupando duas linhas no cdigo do e-mail. Aps verificar este problema, tentou-se melhorar o cdigo para capturar URL longos que ocupem mais de uma linha. No entanto, no foi possvel configurar a captura de URL com essa caracterstica. Com exceo da URL 2, as URLs foram capturadas e analisadas com sucesso. O script gerou o resultado do nmero de URLscanners que detectaram ameaas ou que no foi possvel analisar as URLs.

36

5 - CONCLUSO
O primeiro objetivo do projeto era fazer um estudo sobre as tcnicas de phishing utilizados em emails. Foi feito uma anlise de como so freqentes ataques para coletar dados sigilosos sobre usurios de e-mails. Pelo e-mail ser muito utilizado pelas pessoas e pela facilidade de forjar os remetentes, os phishers usam esse meio de comunicao para proliferar a tcnica phishing. Outro artifcio muito usado junto com esse ataque a engenharia social, que uma tcnica para ludibriar ou enganar a vtima para obter informaes confidenciais. E-mails phishing uma subcategoria do spam, pois so enviados difusamente como este. A diferena entre os dois que a tcnica phishing tem como meta surrupiar valores financeiros de vtimas, enquanto o spam tem como objetivo propagar propagandas e ofertas. Um tema bastante usado em ataques phishing aquele relacionado a assuntos bancrios, como atualizao de contas e senhas bancrias ou pagamentos no executados. Este tema usado pelos hackers para chamar ateno de suas vtimas. O estudo ainda incluiu pesquisa de ferramentas e solues existentes para resolver ou contornar os problemas provenientes do phishing. Aps o levantamento de referncias em pesquisas, foi criado um procedimento de anlise dos e-mails phishing. Para executar a anlise dos e-mails foi criado um laboratrio com servidor de e-mail Postfix e seu filtro de spam SpamAssassin. Aps esses procedimentos, foram elaborados arquivos e cdigos para executar a anlise dos e-mails do servidor. Esses cdigos, em shell script, representa a automatizao da anlise. Executados os cdigos, foram analisados os resultados gerados. O projeto funcionou satisfatoriamente desde a anlise de cada e-mail at a gerao do resultado. A exceo foi a anlise da URL 2 pois o cdigo no conseguiu analisar uma URL muito longa que ocupasse mais de uma linha no cdigo do e-mail. Foram elaborados dois tipos de grfico: grfico 4 usa valores absolutos e o grfico 5, valores relativos. No entanto, usando valores diferentes, as curvas dos dois grficos so parecidas.

37

No final, foi usado o comando WHOIS para verificar informaes sobre as URLs analisadas. Somente no foi possvel encontrar o endereo IP e o host da URL 10, pois deve ter sido desabilitada. Nenhuma URL foi acessada, pois, provavelmente, devem ter sido retiradas aps denunciarem o propsito malicioso delas. Como trabalhos futuros, para continuar o melhoramento da anlise de phishing bancrios, uma sugesto seria aperfeioar os scripts com outras funcionalidades como envio de emails maliciosos em anexo para um Grupo de Resposta a Incidente de Segurana em Computador (CSIRT). Alm disso, a partir dos scripts, pode-se criar um software que trabalhe de modo semelhante aos prprios scripts elaborados para este projeto.

38

Referncias
1. FETTE, Ian et al. Learning to Detect Phishing Emails. Disponvel em: <http://tinyurl.com/ccaasoh>. Acesso em: 14 de junho, 2012.

2. OLIVO,

Cleber

K. DE

AVALIAO PHISHING

DE DE

CARACTERSTICAS EMAIL. Disponvel

PARA em:

DETECO

<http://tinyurl.com/c2k2en8>. Acesso em: 20 de fevereiro, 2012.

3. JAGATIC,

Tom

N.

et

al.

SOCIAL

PHISHING.

Disponvel

em:

<http://tinyurl.com/hbtop>. Acesso em: 12 de maro, 2012. 4. ANTI-PHISHING WORKING GROUP. APWG Committed to Wiping Out Internet Scams and Fraud. Disponvel em: <http://tinyurl.com/7fkclmt>. Acesso em: 11 de janeiro, 2012.

5. MELO, Laerte P. et al. Anlise de Malware: Investigao de Cdigos Maliciosos Atravs de uma Abordagem Prtica. Disponvel em:

<http://tinyurl.com/93u75ut>. Acesso em: 15 de maro, 2012.

6. ANTI-PHISHING WORKING GROUP. APWG Unifying the Global Response To Cybercrime. Disponvel em: <http://tinyurl.com/8rbgon4>. Acesso em: 18 de maio, 2012.

7. VIEIRA, Luiz. Engenharia Social Como hackear a mente humana. Disponvel em: <http://tinyurl.com/8cdmzkk>. Acesso: 31 de maio de 2012.

8. ALI, Shakeel; HERIYANTO, Tedi. BackTrack 4: Assuring Security by Penetration Testing. Birmingham: Packt, 2011. 371p.

39

9. DAVIS, Michael A. et al. HACKING EXPOSED Malware & Rootkits Secrets & Solutions. Nova York: McGraw-Hill, 2010. 377p.

10. GERHARD, Andr. Deteco e Anlise de phishing scams Brasileiros. Disponvel em: <http://tinyurl.com/cgvbw56>. Acesso em: 16 de maro, 2012.

11. ANDERSON, Ross J. Security Engineering. 2. ed. Indianapolis: Wiley Publishing, 2008. 1040p.

12. MITNICK, Kevin D.; SIMON, William L. A arte de invadir. Traduo de Maria Lucia G. L. Rosa. So Paulo: Prentice Hall, 2006. 236p.

13. GRAVES, Kimberly. Certified Ethical Hacker Study Guide. Indianapolis: Wiley Publishing, 2010. 48p.

14. POSTFIX. Disponvel em: <http://www.postfix.org/>. Acesso em: 15 de maio, 2012.

15. COMPUTER SECURITY INCIDENT RESPONSE TEAM. Disponvel em: <http://www.csirt.org/rfc_csirt/index.html>. Acesso em: 23 de janeiro, 2012.

16. SYMANTEC. Symantec Intelligence Report: June 2012. Disponvel em: <http://tinyurl.com/8gznk5n>. Acesso em: 14 de julho, 2012.

17. VIRUSTOTAL. Disponvel em: <https://www.virustotal.com/documentation/>. Acesso em: 12 de fevereiro, 2012.

18. PHISH TANK. Disponvel em: <http://www.phishtank.com>. Acesso em: 11 de dezembro, 2011.

40

19. CENTRO

DE

DIFUSO

DE

TECNOLOGIA

CONHECIMENTO.

SpamAssassin. Disponvel em: <http://tinyurl.com/8s647df>. Acesso em: 29 de abril, 2012. 20. SCHWARTZ, Alan. SpamAssassin. Califrnia: OReilly Media, 2004. 68p.

41

42

Anexo 1: Script para nalise de URLs contidos em e-mails phishing

#!/bin/bash

#Remove o arquivo ListaEnderecosHTTP.txt se existir rm ListaEnderecosHTTP.txt

#Lista os arquivos que esto na pasta Emails_Phishing no arquivo ListaEmails.txt ls Emails_Phishing > ListaEmails.txt

#Conta a quantidade de e-mails que foi salvo em ListaEmails.txt e guarda na varivel #$numero_de_email numero_de_email=`cat ListaEmails.txt | wc -l`

#Imprime a quantidade de e-mails echo "H $numero_de_email e-mails na pasta"

#Copia o arquivo ListaEmails para ListaEmails_teste cp ListaEmails.txt ListaEmails_teste.txt

#Pega nome dos emails da ListaEmails_teste um de cada vez for i in $(seq $numero_de_email) do #Pega a primeira linha do arquivo arquivo[$i]=`head -1 ListaEmails_teste.txt`

#Apaga a primeira linha de ListaEmails_teste.txt sed -i 1d ListaEmails_teste.txt done

43

########### Analisa cada arquivo de e-mail e captura o link phishing ################

for i in $(seq $numero_de_email) do fgrep --max-count=1 'href="http://' "Emails_Phishing/${arquivo[i]}" 's/.*href="// ; s/".*//' >>ListaEnderecosHTTP.txt #fgrep captura a linha onde tenha o termo 'href="http://' nos emails phishing. O comando 'sed 's/.*href="//' vai apagar tudo que vier at href="//. O comando sed 's/".*//' apaga tudo o que vier depois das aspas. A opo --max-count=1 faz o comando fgrep executar apenas uma vez #O vetor url_phishing guarda todas as URLs encontradas na anlise acima url_phishing[$i]=`fgrep 'href="http://' "Emails_Phishing/${arquivo[i]}" | sed 's/.*href="// ; s/".*//'` done | sed

#Faz uma cpia do arquivo ListaEnderecosHTTP.txt cp ListaEnderecosHTTP.txt ListaEnderecosHTTP_teste.txt

#Captura o nmero de URL existentes no arquivo ListaEnderecosHTTP_teste.txt numero_de_URL=`cat ListaEnderecosHTTP_teste.txt | wc -l`

#################### Cria os pedidos de anlise de URL ########################

#Remove a pasta Pedido_Analise_URL mesmo se tiver arquivos rm -fr Pedido_Analise_URL

#Cria uma nova pasta Pedido_Analise_URL mkdir Pedido_Analise_URL

44

#Faz cpia de ListaEnderecosHTTP.txt cp ListaEnderecosHTTP.txt ListaEnderecosHTTP_teste.txt

#Faz o pedido de analise de url for i in $(seq $numero_de_URL) do

#Captura as 8 primeiras linhas do arquivo Relatorio_Url_Virustotal.py e copia para o seu respectivo relatrio awk 'NR>=0 && NR<=8' Relatorio_Url_Virustotal.py>>Pedido_Analise_URL / Pedido_Analise_URL{$i}.py

#Captura a primeira linha do arquivo ListaEnderecosHTTP.txt n=`awk 'NR == 1' ListaEnderecosHTTP_teste.txt` echo '"'$n'"' >> Pedido_Analise_URL/Pedido_Analise_URL{$i}.py

#Captura as linhas entre as linas 10 e 16 do arquivo Relatorio_Url_Virustotal.py awk 'NR>=10 && NR<=16'

Relatorio_Url_Virustotal.py>>Pedido_Analise_URL / Pedido_Analise_URL{$i}.py

#apaga a primeira linha de ListaEnderecosHTTP.txt sed -i 1d ListaEnderecosHTTP_teste.txt done

############# Salvam em arquivos os relatorios do Virustotal #####################

#Remove a pasta Pedido_Analise_URL mesmo se tiver arquivos rm -fr Relatorios_VirusTotal

#Cria uma nova pasta Pedido_Analise_URL

45

mkdir Relatorios_VirusTotal

#Gera os relatorios do VirusTotal for i in $(seq $numero_de_URL) do python Pedido_Analise_URL/Pedido_Analise_URL{$i}.py >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt

#Formata o relatorio com url, data do scan e detalhes de mensagem awk -F '"' '{print "\n" $6 $7 $8}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_final.txt awk -F '"' '{print $12 $13

$14}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_final.txt awk -F '"' '{print $20 $21

$22}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_final.txt

#Formatao para quantidades de resultados positivos e total de URLscanner utilizados ser feita separada para retirar virgula no final da linha awk -F '"' '{print $26 $27}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/teste.txt awk -F '"' '{print $28 $29

"\n\n"}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/teste.txt awk -F ',' '{print $1}' Relatorios_VirusTotal/teste.txt

>>

Relatorios_VirusTotal / Relatorio_VirusTotal{$i}_final.txt

#Apaga o arquivo para nao acumular dados quando lao for funcionar novamente
46

rm Relatorios_VirusTotal/teste.txt

#Imprime o primeiro URLscanner que fez o scan awk -F '{' '{print ", " Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal_teste.txt awk -F '}' '{print

$3

"{"

$4

}' >>

$1"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal_teste.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt #Imprime [ "CLEAN MX": {"detected": false, "result": "clean site"} ].

#Apaga o arquivo para nao acumular dados quando lao for funcionar novamente rm Relatorios_VirusTotal/Relatorio_VirusTotal_teste.txt

#Imprime o scan do segundo URLscanner awk -F '}' '{print $2"}" }' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt >> Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt #imprime [ , "MalwarePatrol": {"detected": false, "result": "clean site"} ]

#Imprime o scan do restante dos URLscanner awk -F '}' '{print $3"}" }' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt >> Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $4"}" }' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt >> Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $5"}" }' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt >> Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $6"}" }' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt >> Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $7"}" }' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt >> Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt
47

awk -F '}' '{print $8"}" }' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt >> Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $9"}" }' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt >> Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $10"}" }' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $11"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $12"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $13"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $14"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $15"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $16"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $17"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $18"}"

}' >>
48

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt

awk

-F

'}'

'{print

$19"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $20"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $21"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $22"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $23"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $24"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt awk -F '}' '{print $25"}"

}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt

#Retira

de

virgula

do

comeo

da

linha

dos

arquivos

Relatorio_VirusTotal_medio.txt awk -F ',' '{print $1 $2"," $3}' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio1.txt

#Apaga as linhas onde no tiver " dos arquivos Relatorio_VirusTotal_medio1.txt sed '/"/!d' Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio1.txt >>
49

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio2.txt

#Coloca um espao em branco Relatorio_VirusTotal_medio2.txt awk -F '}' '{print

entre $1

cada

linha "}"

dos "\n"

arquivos }' >>

Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio2.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio3.txt

#Concatena

os

arquivos

Relatorio_VirusTotal_medio3.txt

Relatorio_VirusTotal_final.txt cat Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio3.txt >>

Relatorios_VirusTotal / Relatorio_VirusTotal{$i}_final.txt

#Apaga os arquivos intermedirios rm Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio1.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio2.txt Relatorios_VirusTotal/Relatorio_VirusTotal{$i}_medio3.txt

#Apaga os relatorios sem formatao criados pelo VirusTotal rm Relatorios_VirusTotal/Relatorio_VirusTotal{$i}.txt

done

50

Anexo 2: Script em python disponibilizado pelo VirusTotal (com adaptaes)

#!/usr/local/bin/python

import simplejson import urllib import urllib2

url = "https://www.virustotal.com/vtapi/v2/url/report" parameters = {"resource": "http://www.virustotal.com" , "apikey": "5f1c61287773b70c441671ed5723087355f09bd6c840ecc95db4d2495910cfd9"} data = urllib.urlencode(parameters) req = urllib2.Request(url,data) response = urllib2.urlopen(req) json = response.read() print json

51

Anexo 3: Gerao de Planilhas de Deteces

#!/bin/bash

data=$(date +'%Y-%m-%d')

#Captura os relatrios do Site VirusTotal python virustotal.py --mode report --type url --output

Relatorios/report_$data.txt ListaEnderecosHTTP.txt

########### Script para encontrar o nmero de Deteces do VirusTotal ############### #remove o arquivo ListaEnderecosHTTP_teste.txt rm ListaEnderecosHTTP_teste.txt

#Pega o nmero de URLs que se encontra no arquivo ListaEnderecosHTTP.txt numero_de_URL=`cat ListaEnderecosHTTP.txt | wc -l`

#Copia o arquivo ListaEnderecosHTTP.txt para ListaEnderecosHTTP_teste.txt cp ListaEnderecosHTTP.txt ListaEnderecosHTTP_teste.txt

#Copia o arquivo report_$data.txt para report_$data_teste.txt cp Relatorios/report_$data.txt Relatorios/report_$data-teste.txt

#Pega as URLs do arquivo ListaEnderecosHTTP_teste.txt um de cada vez for i in $(seq $numero_de_URL) do #Pega a primeira linha do arquivo URL=`head -1 ListaEnderecosHTTP_teste.txt`

52

#Remove o arquivo arquivo_teste.txt rm Relatorios/arquivo_teste.txt

#Agora, necessita-se usar a funoZZ #Para esta funo abaixe funcoeszz-10.12.sh #Mude o nome do arquivo para "funcoeszz": mv funcoeszz-10.12.sh funcoeszz #Torne executvel o arquivo das funes: chmod +x funcoeszz #Copie o arquivo para o diretrio de ferramentas do sistema: cp funcoeszz /usr/bin #Caso voc no consiga gravar arquivos no /usr/bin, escolha qualquer outro diretrio que esteja listado no seu PATH. Para saber quais so estes diretrios, execute o seguinte comando: echo $PATH | tr : \\n

echo $URL

#Pega um relatrio, filtra qual linha possui a URL interessada e grava no arquivo arquivo_teste.txt cat Relatorios/report_$data.txt | grep $URL >> Relatorios/arquivo_teste.txt

#Funo conta palavra(-i:trata maisculas e minsculas como iguais) cont_phishing=`funcoeszz Relatorios/arquivo_teste.txt` cont_malware=`funcoeszz Relatorios/arquivo_teste.txt` cont_malicious=`funcoeszz Relatorios/arquivo_teste.txt` cont_unrated=`funcoeszz Relatorios/arquivo_teste.txt` contapalavra -i unrated contapalavra -i malicious contapalavra -i malware contapalavra -i phishing

#Soma os valores encontrados dos cont_phishing, cont_malware e cont_malicious cont_total=`funcoeszz calcula $cont_phishing + $cont_malware +
53

$cont_malicious + $cont_unrated`

echo $cont_total

echo $URL "

" $cont_total "

" `head -1 Relatorios/report_$data-teste.txt |

awk -F ',' '{print $3}'`>>PlanilhasDeteces/NumeroDeteces_$data.ods

#Apaga a primeira linha de ListaEmails_teste.txt sed -i 1d ListaEnderecosHTTP_teste.txt

#Apaga a primeira linha de report_$data_teste.txt sed -i 1d Relatorios/report_$data-teste.txt

done

#Remove o arquivo report rm Relatorios/report_$data-teste.txt

#Remove o arquivo arquivo_teste.txt rm Relatorios/arquivo_teste.txt

54

Anexo 4: URLs e seus nmeros correspondentes

URLs http://bradescodiaenoites.servepics.com/Atualizacao2010/perfil/ http://ativacao2011.xoom.it/PessoaFisica/6309322209499994222/SITESEGURO/Feitoparavoce/Atualizao.htm? http://www.oriflame-kl.ru//administrator/includes/js/ThemeOffice/Index1.php http://www.casatoro.com/userfiles/image/Adesao.php#Adesa-Obrigatorio http://www.dibraschi.com/images/index.asp http://96.240.18.2/images/r1/index.asp http://www.telemont.com.br/_js/_notes/BB/login http://firstmodel.com.pl/kontakt/unit_itau.php?ID_Itau=xxx-00162514145A http://liderdepo.com/css/BancodoBrasil/ http://www.ccdarque.org/components/template/ http://bancosantander1.zapto.org/?novo_procedimento#cliente#Santander/ http://bradesco.seguranca.co.cc/instalar.php?wa=386654 NumeroURL 1 2 3 4 5 6 7 8 9 10 11 12

55