Cenário das Fraudes e do Spam no Brasil · Historico e cen´ ario atual´ Malware Phishing Spam...
Transcript of Cenário das Fraudes e do Spam no Brasil · Historico e cen´ ario atual´ Malware Phishing Spam...
Cenario das Fraudes edo Spam no Brasil
Klaus [email protected]
Marcelo H. P. C. [email protected]
Esta apresentacao:http://www.cert.br/docs/palestras/
Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no BrasilNucleo de Informacao e Coordenacao do Ponto br
Comite Gestor da Internet no BrasilCampus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 1/27
Sobre o CERT.brCriado em 1997 como ponto focal nacional para tratarincidentes de seguranca relacionados com as redesconectadas a Internet no Brasil
Incidentes
− Cursos− Palestras− Documentação− Reuniões
Análise deTendências
− Articulação
− Estatísticas
− Apoio à recuperação
− Consórcio de Honeypots− SpamPots
Treinamento e
CERT.br
ConscientizaçãoTratamento de
http://www.cert.br/missao.htmlCampus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 2/27
Estrutura do CGI.br
01- Ministerio da Ciencia e Tecnologia02- Ministerio das Comunicacoes03- Casa Civil da Presidencia da Republica04- Ministerio do Planejamento, Orcamento e Gestao05- Ministerio do Desenvolvimento, Industria e Comercio Exterior06- Ministerio da Defesa07- Agencia Nacional de Telecomunicacoes08- Conselho Nacional de Desenvolvimento Cientıfico e Tecnologico09- Conselho Nacional de Secretarios Estaduais para Assuntos de
Ciencia e Tecnologia
10- Notorio Saber11- Provedores de Acesso e Conteudo12- Provedores de Infra-estrutura de
Telecomunicacoes13- Industria TICs (Tecnologia da Infor-
macao e Comunicacao) e Software14- Empresas Usuarias
15-18- Terceiro Setor19-21- Academia
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 3/27
Atribuicoes do CGI.brEntre as diversas atribuicoes e responsabilidadesdefinidas no Decreto Presidencial no 4.829, destacam-se:
• a proposicao de normas e procedimentos relativos aregulamentacao das atividades na internet
• a recomendacao de padroes e procedimentos tecnicosoperacionais para a internet no Brasil
• o estabelecimento de diretrizes estrategicas relacionadas aouso e desenvolvimento da internet no Brasil
• a promocao de estudos e padroes tecnicos para aseguranca das redes e servicos no paıs
• a coordenacao da atribuicao de enderecos internet (IPs) e doregistro de nomes de domınios usando <.br>
• a coleta, organizacao e disseminacao de informacoes sobreos servicos internet, incluindo indicadores e estatısticas
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 4/27
Agenda
FraudesHistorico e cenario atualMalwarePhishing
SpamReclamacoes ao CERT.br em 2009Abuso de Proxies em PCs InfectadosBrasil na CBLGerencia de Porta 25
Referencias
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 5/27
Fraudes
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 6/27
Historico e cenario atual (1/2)
2001 Keyloggers enviados por e-mail, ataques de forca bruta
2002–2003 Phishing e uso disseminado de DNSscomprometidos
2003–2004 Aumento dos casos de phishing mais sofisticados- Sites coletores: processamento/envio de dados p/ contas dee-mail
2005–2006 Spams em nome de diversas entidades/temasvariados- Links para cavalos de troia hospedados em diversos sites- Vıtima raramente associa o spam com a fraude financeira
2007 downloads involuntarios (via JavaScript, ActiveX, etc) -Continuidade das tendencias de 2005–2006
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 7/27
Historico e cenario atual (2/2)2008–hoje
• Continuidade das tendencias de 2005–2007• downloads involuntarios mais frequentes, inclusive em grandes
sites– casos publicados na mıdia nos ultimos meses incluem:
sites principais da Vivo, da Oi e da Ambev• links patrocinados do Google usando a palavra “banco” e
nomes de instituicoes como “AdWords”• Malware modificando arquivo hosts – antigo, mas ainda efetivo• Malware modificando configuracao de proxy em navegadores
(arquivos PAC)• Malware se registrando como Browser Helper Objects (BHO)
em navegadores• Malware validando, no site real, os dados capturados
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 8/27
Sistema de Monitoramento de Malware
confirmed URLs
Fetch and store malware
Using AV, confirm if file is
Create a list with the
still onlineorder to check if it is
the new date and statusof the malware URL
Try to fetch malware in
Update stats DB including
notification
URLs from emailsExtract suspicious
candidate
really a malware(confirmed)
email with themalware copy email with the
Select new malwarefrom malware´s list
Send malware copyto each AV vendorthat does not detectthe malware yet
email template
asking to removethe malware
list entry data and a
Send notification
Create email with the
Get IP contacts
URLs
emails
add new URLs
IP, date, URL,AV signature
list entrymalware files
istronline
trojanfilter
notifysm2av trojancheck
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 9/27
Estatısticas de Malware (1/3)
Tentativas de fraude tratadas envolvendo malware*:
Categoria 2006 2007 2008 2009
URLs unicas 25.087 19.981 17.376 10.864Codigos maliciosos unicos (hashes unicos) 19.148 16.946 14.256 8.151Assinaturas de Antivırus (unicas) 1.988 3.032 6.085 4.101Assinaturas de Antivırus (“famılia”) 140 109 63 93Extensoes de arquivos usadas 73 112 112 100Domınios 5.587 7.795 5.916 4.447Enderecos IP unicos 3.859 4.415 3.921 3.233Paıses de origem 75 83 78 76Emails de notificacao enviados pelo CERT.br 18.839 17.483 15.499 9.935
(*) Incluem keyloggers, screen loggers, trojan downloaders – nao incluem bots/botnets, worms
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 10/27
Estatısticas de Malware (2/3)Taxas de Deteccao dos Antivırus em 2009:
0
20
40
60
80
100
01 02 03 04 05 06 07 08 09 10 11 12
Months (2009)
AV Vendors Detection Rate (%) [2009-01-01 -- 2009-12-31]
Vendor KVendor C
Vendor ADVendor Z
Vendor FVendor R
Vendor MVendor AM
Vendor Q
21% dos antivırus de-tectaram mais de 70%dos exemplares
72% dos antivırus de-tectaram menos de50% dos exemplares
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 11/27
Estatısticas de Malware (3/3)Malwares enviados para 25+ Antivırus em 2009:
0
100
200
300
400
500
600
700
800
900
01 02 03 04 05 06 07 08 09 10 11 12
Months (2009)
Trojan Samples Sent [2009-01-01 -- 2009-12-31]
Vendor KVendor C
Vendor ADVendor Z
Vendor FVendor R
Vendor MVendor AM
Vendor Qreference
Casos de fraude rela-cionados a malwarereduziram 23% do anode 2008 para 2009,mas aumentaram 14%do terceiro para oquarto trimestre de2009
Casos de paginas dephishing aumentaram112% do ano de 2008para 2009
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 12/27
Sistema de Monitoramento de Phishing
casesonline
casesclosed
alert IH aboutthe change
refeed thesystem
phishing
data
donation
data
archive
PhishingURLs
IH manuallychecks thenew status
Download a copy ofeach phishing page
Extract and storedata in a DB
Donate data topartners
Check status
Update uptime
validator
testerfetcher
status
status is
changed?
offline?
no
yes
no yes
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 13/27
Estatısticas de Phishing (1/2)Tentativas de fraude tratadas envolvendo phishing em 2009
Casos total 3332online 51off-line 3281bancos (BR) 1916
Alvos total 177bancos (BR) 32
URLs unicas 3215Hashes unicos 1671Domınios 1619Enderecos IP 1344CIDRs 452Paıses (CCs) 49
tempo de vidaMaximo 218d 05h 26mMınimo 0d 00h 00mMedia 4d 07h 12mDesvio padrao 11d 01h 25m
casos por tempo de vida<= 15 minutos (-15m) 24<= 1 hora (-1h) 324<= 6 horas (-6h) 765<= 12 horas (-12h) 259<= 1 dia (-1d) 361<= 1 semana (-1s) 1100> 1 semana (+1s) 499
−15m 0.7%
−1h 9.7%
−6h 23.0%
−12h 7.8%
−1d 10.8%
−1s 33.0%
+1s 15.0%
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 14/27
Estatısticas de Phishing (2/2)Tentativas de fraude tratadas envolvendo phishing em 2009
Bancos Brasileiros
tempo de vidaMax. 149d 22h 06mMın. 0d 00h 00mMedia 4d 13h 54mD. P. 10d 13h 08m
casos por tempo de vida<= 15 minutos (-15m) 9<= 1 hora (-1h) 151<= 6 horas (-6h) 416<= 12 horas (-12h) 175<= 1 dia (-1d) 216<= 1 semana (-1s) 642> 1 semana (+1s) 307
−15m 0.5%
−1h 7.9%
−6h 21.7%−12h 9.1%
−1d 11.3%
−1s 33.5%
+1s 16.0%
Outras Entidades
tempo de vidaMax 218d 05h 26mMın. 0d 00h 00mMedia 3d 22h 09mD. P. 11d 17h 46m
casos por tempo de vida<= 15 minutos (-15m) 15<= 1 hora (-1h) 173<= 6 horas (-6h) 349<= 12 horas (-12h) 84<= 1 dia (-1d) 145<= 1 semana (-1s) 458> 1 semana (+1s) 192
−15m 1.1%
−1h 12.2%
−6h 24.6%
−12h 5.9%
−1d 10.2%
−1s 32.3%
+1s 13.6%
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 15/27
Spam
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 16/27
Reclamacoes ao CERT.br em 2009
0
2000000
4000000
6000000
8000000
10000000
12000000
14000000
16000000
18000000
2003 2004 2005 2006 2007 2008 2009
Ano (2003 a 2009)
Spams Reportados ao CERT.br por Ano
AbusixSpamCopTotal
4072334
3661569
4156382
36652002414200
1989902
3403430
1889658
2446154
1729037
3297973
2012987
17221200
2327388
12574732
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 17/27
Abuso de Proxies em PCs Infectados
0
10
20
30
40
50
60
70
80
90
01/2006 07/2006 01/2007 07/2007 01/2008 07/2008 01/2009 07/2009
Po
rcen
tag
em
Meses (janeiro de 2006 a dezembro de 2009)
Porcentagem de Spams Reportados ao CERT.brCategorias mais Comuns sobre o Total Recebido do SpamCop
Proxy Aberto Envio Direto de Spam Spamvertized Website
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 18/27
Brasil na CBL
Dados gerados em: Fri Jan 22 11:58:37 2010 UTC/GMT
Composite Blocking List http://cbl.abuseat.org/
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 19/27
Resultados do Projeto SpamPotsMetricas sobre o Abuso de Redes de Banda Larga para o Envio de Spam
Perıodo de coleta 10/06/2006a 18/09/2007
Dias coletados 466Total de emails 524.585.779Emails/dia 1,2 milhoesDestinatarios 4.805.521.964Destinatarios/spam 9,16IPs unicos 216.888ASNs unicos 3.006Country Codes 165
Principais Resultados:• 99.84% das conexoes eram
originadas do exterior• os spammers consumiam toda a
banda de upload disponıvel;• mais de 90% dos spams eram
destinados a redes de outrospaıses.
• Projeto mantido pelo CGI.br/NIC.br, como parte da CT-Spam• 10 sensores (honeypots de baixa interatividade)
– 5 operadoras diferentes de cabo e DSL– em conexoes residenciais e comerciais
http://www.cert.br/docs/whitepapers/spampots/
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 20/27
Abuso - Cenario Atual
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
Provedor
Fraudadores
de E−mail
Z
Provedor
de E−mail
X
Provedor
de E−mail
Y
Provedor
de E−mail
B8000/TCP
1080/TCP
25/TCP
25/TCP
80/TCP
80/TCP
25/TCP
25/TCP
25/TCP
25/TCP
25/TCP
25/TCP
25/TCP
25/TCPde E−mail
A
Provedor
25/TCP
3382/TCP
6588/TCP
de E−mail
C
Provedor
dos Destinatários (MTAs)Provedores de E−mail
dos Remetentes (MTAs)Provedores de E−mailRedes Residenciais
(DSL, Cabo, Dial−up, etc)Malware
Spammers
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 21/27
Acoes para Reducaodo Problema
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 22/27
Acoes para Reducao do Problema
Acoes por parte das Operadoras de Telecomunicacoes eProvedores de Acesso a Internet
• Implementar, em acao coordenada, aGerencia de Porta 25
Acoes por parte dos Usuarios de Servicos de E-mail• Alterar suas configuracoes de e-mail, conforme
instrucoes de seu provedor de e-mail• Seguir as recomendacoes de seguranca para evitar
a infeccao de seus computadores
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 23/27
Gerencia de Porta 25Diferenciar a submissao de e-mails do cliente para o servidor,da transmissao de e-mails entre servidores.
Implementacao depende da aplicacao de medidas porprovedores e operadoras:
• Provedores de servicos de correio eletronico:– Implementar o padrao de Message Submission,
tipicamente na porta 587/TCP (RFC 4409), eimplementar SMTP autenticado
• Operadoras de banda larga/dial up de perfil residencial(usuario final):
– Impedir envio direto de mensagens eletronicas(atraves da filtragem da saıda de trafego com destinoa porta 25/TCP)
Detalhes em: http://www.antispam.br/admin/porta25/Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 24/27
Gerencia de Porta 25 e seu Impacto
Primergy
Primergy
Primergy
Primergy
Primergy
Primergy
C
Provedor
Provedor
dos DestinatáriosProvedores de E−mail
de E−mail
A
Provedor
dos RemetentesProvedores de E−mailRedes Residenciais
(DSL, Cabo, Dial−up, etc)Malware
SpammersFraudadores
25/TCP
587/TCP (MSA)
587/TCP (MSA)
80/TCP (MSA)
80/TCP (MSA)
(MTA) (MTA)
(MTA)
(MTA)
(MTA) (MTA)
(MTA) (MTA)
de E−mail
B
de E−mail
Z
Provedor
de E−mail
X
Provedor
de E−mail
Y
Provedor
de E−mail8000/TCP
1080/TCP
25/TCP
25/TCP
25/TCP
25/TCP
3382/TCP
6588/TCP
25/TCP
25/TCP
25/TCP
587/TCP (MSA)
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 25/27
Benefıcios da Gerencia de Porta 25
• Melhores condicoes de utilizacao da rede
– ha melhores condicoes de utilizacao da rede com areducao do desperdıcio de banda para o envio despam
– sobram mais recursos computacionais para o usuariolegıtimo pelo fato do computador ser menos abusado
• Melhor qualidade de servico de e-mail
– como atua na submissao, antes da mensagem entrarna infra-estrutura de e-mail dos provedores, tem opotencial de aliviar a carga e melhorar a qualidade deservico para o usuario
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 26/27
Referencias• Esta Apresentacao:
http://www.cert.br/docs/palestras/
• Antispam.br: Gerencia de Porta 25http://www.antispam.br/admin/porta25/
• Resolucao CGI.br/RES/2009/002/P: Recomendacao para adocaode gerencia de Porta 25 em redes de carater residencialhttp://www.cgi.br/regulamentacao/resolucao2009-02.htm
• Comite Gestor da Internet no Brasil – CGI.brhttp://www.cgi.br/
• Nucleo de Informacao e Coordenacao do Ponto br – NIC.brhttp://www.nic.br/
• Centro de Estudos, Resposta e Tratamento de Incidentes deSeguranca no Brasil – CERT.brhttp://www.cert.br/
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 27/27