Monitoramento e Detecção de Ameaças

IPDI - Instituto de Peritos em Tecnologias Digitais e Telecomunicações

Como prevenir e identificar ameaças digitais

• Visão Geral

• Características das Ameaças

Digitais

• Características dos Atacantes

• Facilitadores para este

Cenário

• Exemplos de Ameaças

• Considerações Finais

Visão Geral

• Ações fraudulentas são um processo integrado envolvendo grupos com atribuições bem definidas e segregadas

• Combate a fraudes eletrônicas tem como um dos seus pilares a autenticação positiva – baseada em dados pessoais / cadastrais do usuário do sistemacadastrais do usuário do sistema

• Este processo obrigou fraudadores a ter acesso a bases cadastrais com informações pessoais atualizadas para realização da fraude

• Utiliza credenciais roubadas para acesso por duas razões:– Custo zero– Dificulta o rastreamento

Motivadores de Ataque a bases de dados cadastrais

• Fraudes Eletrônicas

– Internet Banking

– Cartões de Crédito

– Telefonia Celular

– Comercio Eletrônico

• Roubo de Identidade

• Engenharia Social

Problemas a serem enfrentados

• Novas tecnologias utilizadas

• Melhoria nos processos de execução das ações não autorizadas ou ilegais

• Grupos organizados especializados atuando de forma segregada e de difícil identificação e captura

• Insiders

Problemas a serem enfrentados

• Ação a Distancia

• Automação dos Ataques

• Propagação da Técnica

ResultadoResultadoCrescimento continuo das ações não autorizadas e fraudes nos últimos anos

Características das Ameaças Digitais

• Amplo uso de ferramentas automatizadas de ataque usadas para:– envio de scams

– Phishing

• Redes (servidores e computadores) • Redes (servidores e computadores) mal configurados sendo atacados para realização destas atividades sem o conhecimento dos responsáveis

• Usuários finais são o principal alvo

Características dos Atacantes

• Pessoas com pouco conhecimento técnico que utilizam ferramentas prontas

• Profissionais altamente especializados utilizando ferramentas próprias e explorando vulnerabilidades privadasvulnerabilidades privadas

• Trocam informações no underground

• Utilizam diversos canais eletrônicos para ofertar e trocar seus serviços e dados capturados de forma fraudulenta

• Crime organizado- Aliciando spammers, invasores e insiders

- Injetando dinheiro no “mundo underground”

Facilitadores para este Cenário

• Pouco ou nenhum enfoque em monitoramento de transações

• Pouca monitoração permite que o uso indevido das credenciais perdure por horas, dias, semanas ou mesesdias, semanas ou meses

• Processos e controles para enfrentar estas ameaças inexistentes ou inadequados

• Mecanismos de autenticação de usuários finais frágeis

• Falta de políticas de conscientização dos usuários finais

Principais Ameaças

�Venda de Senhas

�Consultas fraudulentas

�Trojans para captura de credenciais�Trojans para captura de credenciais

�Remoção de Pendências

�Phishing para captura de credencias

Principais Canais de Divulgação

�Comunidades Eletrônicas

�Classificados on-line (Leilão ou não)�Classificados on-line (Leilão ou não)

�Redes IRC

�Fóruns, Blogs e Discos Virtuais

Comunidade Eletronica

Classificados on-line

******* TRANSCRIÇÃO VIA IRC PUBLIC MODE *******

18:45:24 <Nick1> Quem Ae Precisa de Spammer? Scan? Senhas XXXExtraidor de Email's? Enviador Smtp? List E-mail? Msg-Me

13:06:45 <Nick2> Troco Senhas, XXX, YYY, ZZZ,Por Recarga XXXX

16:22:28 <Nick 3> Tenho Cards XX-YY-ZZ, Senhas XX, YY, InBoX,

IRC - Internet Relay Chat

16:22:28 <Nick 3> Tenho Cards XX-YY-ZZ, Senhas XX, YY, InBoX, Source, Gero Boleto, HospedaGem, Registro De DominiosNacioNais, XX Voip, Loader, Conta Premium PVT Ai Pessoal.

01:10:33 <Nick 4> Tenho CredXXX, senhas xxx, yyyy, quero CCs USA!

15:01:23 <Nick 5> Tenho _XXX, SenhasYYY troco em Credito em Cel, Tenho inbox pvt-me

20:08:56 <Nick 6> Faço negocios em logins de consulta(XXX, YYY, ZZZ etc). Venham aqui no PVT!

Discos Virtuais

Outros = Fóruns, Blogs e Discos Virtuais (Rapidshare, 4shared)

Considerações Finais

• Ataques a usuários finais de bases cadastrais é uma ameaça crescente

• Diversidade de objetivos para acesso fraudulento a dados de bases cadastrais levou estes ataques a um novo nível de sofisticação e a uma escala crescente de tentativas de comprometimento

• Empresas devem ter mecanismos de monitoramento e • Empresas devem ter mecanismos de monitoramento e detecção de uso não autorizado de suas bases que permitam a detecção e interrupção deste acesso num curto espaço de tempo

• Conscientização dos clientes e usuários finais é parte fundamental da estratégia de prevenção destas ameaças

• Este é um processo permanente

Muito ObrigadoOtavio Luiz ArturOtavio Luiz Artur

otavio.artur@ipdi.com.br+55 11 3294-4734+55 11 9606-2473