Cenario das Fraudes edo Spam no Brasil

Klaus Steding-Jessenjessen@cert.br

Marcelo H. P. C. Chavesmhp@cert.br

Esta apresentacao:http://www.cert.br/docs/palestras/

Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no BrasilNucleo de Informacao e Coordenacao do Ponto br

Comite Gestor da Internet no BrasilCampus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 1/27

Sobre o CERT.brCriado em 1997 como ponto focal nacional para tratarincidentes de seguranca relacionados com as redesconectadas a Internet no Brasil

Incidentes

− Cursos− Palestras− Documentação− Reuniões

Análise deTendências

− Articulação

− Estatísticas

− Apoio à recuperação

− Consórcio de Honeypots− SpamPots

Treinamento e

CERT.br

ConscientizaçãoTratamento de

http://www.cert.br/missao.htmlCampus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 2/27

Estrutura do CGI.br

01- Ministerio da Ciencia e Tecnologia02- Ministerio das Comunicacoes03- Casa Civil da Presidencia da Republica04- Ministerio do Planejamento, Orcamento e Gestao05- Ministerio do Desenvolvimento, Industria e Comercio Exterior06- Ministerio da Defesa07- Agencia Nacional de Telecomunicacoes08- Conselho Nacional de Desenvolvimento Cientıfico e Tecnologico09- Conselho Nacional de Secretarios Estaduais para Assuntos de

Ciencia e Tecnologia

10- Notorio Saber11- Provedores de Acesso e Conteudo12- Provedores de Infra-estrutura de

Telecomunicacoes13- Industria TICs (Tecnologia da Infor-

macao e Comunicacao) e Software14- Empresas Usuarias

15-18- Terceiro Setor19-21- Academia

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 3/27

Atribuicoes do CGI.brEntre as diversas atribuicoes e responsabilidadesdefinidas no Decreto Presidencial no 4.829, destacam-se:

• a proposicao de normas e procedimentos relativos aregulamentacao das atividades na internet

• a recomendacao de padroes e procedimentos tecnicosoperacionais para a internet no Brasil

• o estabelecimento de diretrizes estrategicas relacionadas aouso e desenvolvimento da internet no Brasil

• a promocao de estudos e padroes tecnicos para aseguranca das redes e servicos no paıs

• a coordenacao da atribuicao de enderecos internet (IPs) e doregistro de nomes de domınios usando <.br>

• a coleta, organizacao e disseminacao de informacoes sobreos servicos internet, incluindo indicadores e estatısticas

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 4/27

Agenda

FraudesHistorico e cenario atualMalwarePhishing

SpamReclamacoes ao CERT.br em 2009Abuso de Proxies em PCs InfectadosBrasil na CBLGerencia de Porta 25

Referencias

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 5/27

Fraudes

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 6/27

Historico e cenario atual (1/2)

2001 Keyloggers enviados por e-mail, ataques de forca bruta

2002–2003 Phishing e uso disseminado de DNSscomprometidos

2003–2004 Aumento dos casos de phishing mais sofisticados- Sites coletores: processamento/envio de dados p/ contas dee-mail

2005–2006 Spams em nome de diversas entidades/temasvariados- Links para cavalos de troia hospedados em diversos sites- Vıtima raramente associa o spam com a fraude financeira

2007 downloads involuntarios (via JavaScript, ActiveX, etc) -Continuidade das tendencias de 2005–2006

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 7/27

Historico e cenario atual (2/2)2008–hoje

• Continuidade das tendencias de 2005–2007• downloads involuntarios mais frequentes, inclusive em grandes

sites– casos publicados na mıdia nos ultimos meses incluem:

sites principais da Vivo, da Oi e da Ambev• links patrocinados do Google usando a palavra “banco” e

nomes de instituicoes como “AdWords”• Malware modificando arquivo hosts – antigo, mas ainda efetivo• Malware modificando configuracao de proxy em navegadores

(arquivos PAC)• Malware se registrando como Browser Helper Objects (BHO)

em navegadores• Malware validando, no site real, os dados capturados

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 8/27

Sistema de Monitoramento de Malware

confirmed URLs

Fetch and store malware

Using AV, confirm if file is

Create a list with the

still onlineorder to check if it is

the new date and statusof the malware URL

Try to fetch malware in

Update stats DB including

notification

URLs from emailsExtract suspicious

candidate

really a malware(confirmed)

email with themalware copy email with the

Select new malwarefrom malware´s list

Send malware copyto each AV vendorthat does not detectthe malware yet

email template

asking to removethe malware

list entry data and a

Send notification

Create email with the

Get IP contacts

URLs

emails

add new URLs

IP, date, URL,AV signature

list entrymalware files

istronline

trojanfilter

notifysm2av trojancheck

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 9/27

Estatısticas de Malware (1/3)

Tentativas de fraude tratadas envolvendo malware*:

Categoria 2006 2007 2008 2009

URLs unicas 25.087 19.981 17.376 10.864Codigos maliciosos unicos (hashes unicos) 19.148 16.946 14.256 8.151Assinaturas de Antivırus (unicas) 1.988 3.032 6.085 4.101Assinaturas de Antivırus (“famılia”) 140 109 63 93Extensoes de arquivos usadas 73 112 112 100Domınios 5.587 7.795 5.916 4.447Enderecos IP unicos 3.859 4.415 3.921 3.233Paıses de origem 75 83 78 76Emails de notificacao enviados pelo CERT.br 18.839 17.483 15.499 9.935

(*) Incluem keyloggers, screen loggers, trojan downloaders – nao incluem bots/botnets, worms

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 10/27

Estatısticas de Malware (2/3)Taxas de Deteccao dos Antivırus em 2009:

0

20

40

60

80

100

01 02 03 04 05 06 07 08 09 10 11 12

Months (2009)

AV Vendors Detection Rate (%) [2009-01-01 -- 2009-12-31]

Vendor KVendor C

Vendor ADVendor Z

Vendor FVendor R

Vendor MVendor AM

Vendor Q

21% dos antivırus de-tectaram mais de 70%dos exemplares

72% dos antivırus de-tectaram menos de50% dos exemplares

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 11/27

Estatısticas de Malware (3/3)Malwares enviados para 25+ Antivırus em 2009:

0

100

200

300

400

500

600

700

800

900

01 02 03 04 05 06 07 08 09 10 11 12

Months (2009)

Trojan Samples Sent [2009-01-01 -- 2009-12-31]

Vendor KVendor C

Vendor ADVendor Z

Vendor FVendor R

Vendor MVendor AM

Vendor Qreference

Casos de fraude rela-cionados a malwarereduziram 23% do anode 2008 para 2009,mas aumentaram 14%do terceiro para oquarto trimestre de2009

Casos de paginas dephishing aumentaram112% do ano de 2008para 2009

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 12/27

Sistema de Monitoramento de Phishing

casesonline

casesclosed

alert IH aboutthe change

refeed thesystem

phishing

data

donation

data

archive

PhishingURLs

IH manuallychecks thenew status

Download a copy ofeach phishing page

Extract and storedata in a DB

Donate data topartners

Check status

Update uptime

validator

testerfetcher

status

status is

changed?

offline?

no

yes

no yes

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 13/27

Estatısticas de Phishing (1/2)Tentativas de fraude tratadas envolvendo phishing em 2009

Casos total 3332online 51off-line 3281bancos (BR) 1916

Alvos total 177bancos (BR) 32

URLs unicas 3215Hashes unicos 1671Domınios 1619Enderecos IP 1344CIDRs 452Paıses (CCs) 49

tempo de vidaMaximo 218d 05h 26mMınimo 0d 00h 00mMedia 4d 07h 12mDesvio padrao 11d 01h 25m

casos por tempo de vida<= 15 minutos (-15m) 24<= 1 hora (-1h) 324<= 6 horas (-6h) 765<= 12 horas (-12h) 259<= 1 dia (-1d) 361<= 1 semana (-1s) 1100> 1 semana (+1s) 499

−15m 0.7%

−1h 9.7%

−6h 23.0%

−12h 7.8%

−1d 10.8%

−1s 33.0%

+1s 15.0%

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 14/27

Estatısticas de Phishing (2/2)Tentativas de fraude tratadas envolvendo phishing em 2009

Bancos Brasileiros

tempo de vidaMax. 149d 22h 06mMın. 0d 00h 00mMedia 4d 13h 54mD. P. 10d 13h 08m

casos por tempo de vida<= 15 minutos (-15m) 9<= 1 hora (-1h) 151<= 6 horas (-6h) 416<= 12 horas (-12h) 175<= 1 dia (-1d) 216<= 1 semana (-1s) 642> 1 semana (+1s) 307

−15m 0.5%

−1h 7.9%

−6h 21.7%−12h 9.1%

−1d 11.3%

−1s 33.5%

+1s 16.0%

Outras Entidades

tempo de vidaMax 218d 05h 26mMın. 0d 00h 00mMedia 3d 22h 09mD. P. 11d 17h 46m

casos por tempo de vida<= 15 minutos (-15m) 15<= 1 hora (-1h) 173<= 6 horas (-6h) 349<= 12 horas (-12h) 84<= 1 dia (-1d) 145<= 1 semana (-1s) 458> 1 semana (+1s) 192

−15m 1.1%

−1h 12.2%

−6h 24.6%

−12h 5.9%

−1d 10.2%

−1s 32.3%

+1s 13.6%

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 15/27

Spam

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 16/27

Reclamacoes ao CERT.br em 2009

0

2000000

4000000

6000000

8000000

10000000

12000000

14000000

16000000

18000000

2003 2004 2005 2006 2007 2008 2009

Ano (2003 a 2009)

Spams Reportados ao CERT.br por Ano

AbusixSpamCopTotal

4072334

3661569

4156382

36652002414200

1989902

3403430

1889658

2446154

1729037

3297973

2012987

17221200

2327388

12574732

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 17/27

Abuso de Proxies em PCs Infectados

0

10

20

30

40

50

60

70

80

90

01/2006 07/2006 01/2007 07/2007 01/2008 07/2008 01/2009 07/2009

Po

rcen

tag

em

Meses (janeiro de 2006 a dezembro de 2009)

Porcentagem de Spams Reportados ao CERT.brCategorias mais Comuns sobre o Total Recebido do SpamCop

Proxy Aberto Envio Direto de Spam Spamvertized Website

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 18/27

Brasil na CBL

Dados gerados em: Fri Jan 22 11:58:37 2010 UTC/GMT

Composite Blocking List http://cbl.abuseat.org/

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 19/27

Resultados do Projeto SpamPotsMetricas sobre o Abuso de Redes de Banda Larga para o Envio de Spam

Perıodo de coleta 10/06/2006a 18/09/2007

Dias coletados 466Total de emails 524.585.779Emails/dia 1,2 milhoesDestinatarios 4.805.521.964Destinatarios/spam 9,16IPs unicos 216.888ASNs unicos 3.006Country Codes 165

Principais Resultados:• 99.84% das conexoes eram

originadas do exterior• os spammers consumiam toda a

banda de upload disponıvel;• mais de 90% dos spams eram

destinados a redes de outrospaıses.

• Projeto mantido pelo CGI.br/NIC.br, como parte da CT-Spam• 10 sensores (honeypots de baixa interatividade)

– 5 operadoras diferentes de cabo e DSL– em conexoes residenciais e comerciais

http://www.cert.br/docs/whitepapers/spampots/

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 20/27

Abuso - Cenario Atual

Primergy

Primergy

Primergy

Primergy

Primergy

Primergy

Provedor

Fraudadores

de E−mail

Z

Provedor

de E−mail

X

Provedor

de E−mail

Y

Provedor

de E−mail

B8000/TCP

1080/TCP

25/TCP

25/TCP

80/TCP

80/TCP

25/TCP

25/TCP

25/TCP

25/TCP

25/TCP

25/TCP

25/TCP

25/TCPde E−mail

A

Provedor

25/TCP

3382/TCP

6588/TCP

de E−mail

C

Provedor

dos Destinatários (MTAs)Provedores de E−mail

dos Remetentes (MTAs)Provedores de E−mailRedes Residenciais

(DSL, Cabo, Dial−up, etc)Malware

Spammers

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 21/27

Acoes para Reducaodo Problema

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 22/27

Acoes para Reducao do Problema

Acoes por parte das Operadoras de Telecomunicacoes eProvedores de Acesso a Internet

• Implementar, em acao coordenada, aGerencia de Porta 25

Acoes por parte dos Usuarios de Servicos de E-mail• Alterar suas configuracoes de e-mail, conforme

instrucoes de seu provedor de e-mail• Seguir as recomendacoes de seguranca para evitar

a infeccao de seus computadores

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 23/27

Gerencia de Porta 25Diferenciar a submissao de e-mails do cliente para o servidor,da transmissao de e-mails entre servidores.

Implementacao depende da aplicacao de medidas porprovedores e operadoras:

• Provedores de servicos de correio eletronico:– Implementar o padrao de Message Submission,

tipicamente na porta 587/TCP (RFC 4409), eimplementar SMTP autenticado

• Operadoras de banda larga/dial up de perfil residencial(usuario final):

– Impedir envio direto de mensagens eletronicas(atraves da filtragem da saıda de trafego com destinoa porta 25/TCP)

Detalhes em: http://www.antispam.br/admin/porta25/Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 24/27

Gerencia de Porta 25 e seu Impacto

Primergy

Primergy

Primergy

Primergy

Primergy

Primergy

C

Provedor

Provedor

dos DestinatáriosProvedores de E−mail

de E−mail

A

Provedor

dos RemetentesProvedores de E−mailRedes Residenciais

(DSL, Cabo, Dial−up, etc)Malware

SpammersFraudadores

25/TCP

587/TCP (MSA)

587/TCP (MSA)

80/TCP (MSA)

80/TCP (MSA)

(MTA) (MTA)

(MTA)

(MTA)

(MTA) (MTA)

(MTA) (MTA)

de E−mail

B

de E−mail

Z

Provedor

de E−mail

X

Provedor

de E−mail

Y

Provedor

de E−mail8000/TCP

1080/TCP

25/TCP

25/TCP

25/TCP

25/TCP

3382/TCP

6588/TCP

25/TCP

25/TCP

25/TCP

587/TCP (MSA)

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 25/27

Benefıcios da Gerencia de Porta 25

• Melhores condicoes de utilizacao da rede

– ha melhores condicoes de utilizacao da rede com areducao do desperdıcio de banda para o envio despam

– sobram mais recursos computacionais para o usuariolegıtimo pelo fato do computador ser menos abusado

• Melhor qualidade de servico de e-mail

– como atua na submissao, antes da mensagem entrarna infra-estrutura de e-mail dos provedores, tem opotencial de aliviar a carga e melhorar a qualidade deservico para o usuario

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 26/27

Referencias• Esta Apresentacao:

http://www.cert.br/docs/palestras/

• Antispam.br: Gerencia de Porta 25http://www.antispam.br/admin/porta25/

• Resolucao CGI.br/RES/2009/002/P: Recomendacao para adocaode gerencia de Porta 25 em redes de carater residencialhttp://www.cgi.br/regulamentacao/resolucao2009-02.htm

• Comite Gestor da Internet no Brasil – CGI.brhttp://www.cgi.br/

• Nucleo de Informacao e Coordenacao do Ponto br – NIC.brhttp://www.nic.br/

• Centro de Estudos, Resposta e Tratamento de Incidentes deSeguranca no Brasil – CERT.brhttp://www.cert.br/

Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 27/27