polícia judiciária

Transcrição

polícia judiciária

POLÍCIA JUDICIÁRIA
SCICAT e GTI
15 de Maio de 2007
CRIMINALIDADE INFORMÁTICA
Em 2006, foram enviados para investigação à SCICAT, 655 inquéritos
sendo concluídos 526 o que revela uma percentagem de sucesso da
Investigação Criminal de 80,30%, ficando ainda para Investigação no ano
seguinte 522 inquéritos.
160
140
120
100
Entrados
80
Saídos
60
40
20
A
go
st
o
S
et
em
br
o
O
ut
ub
ro
N
ov
em
br
o
D
ez
em
br
o
Ju
llh
o
Ju
nh
o
M
ai
o
A
br
il
M
ar
ço
Ja
ne
iro
Fe
ve
re
iro
0
Com a criação, em Janeiro 2006 de um grupo técnico de apoio, para a
elaboração de exames informáticos forenses o GTI, no pressuposto de uma
equiparação ás congéneres Internacionais (Computer Forensic Lab) e de um
auxilio efectivo ao trabalho de Investigação Criminal na área da
Criminalidade de Alta Tecnologia, foi possível a esta subárea da SCICAT só
durante o ano de 2006 examinar de 10 Tb de informação ficando ainda para
examinar no ano seguinte ceca de16Tb de informação.
1800
1600
1400
1200
Eq. Exam.
1000
Volume GB
800
600
400
200
A
go
st
o
S
et
em
br
o
O
ut
ub
ro
N
ov
em
br
D
o
ez
em
br
o
Ju
llh
o
Ju
nh
o
M
ai
o
A
br
il
M
ar
ço
Ja
ne
iro
Fe
ve
re
iro
0
Principais Ameaças
Carding
Data jacking
Pedófilia na Internet
Phishing
Botnet’s

CARDING/SKIMMING
Contrafacção de Cartões de Crédito.
Contrafacção de Cartões de Crédito.
EXTORSÃO/DATAJACKING POR HACKING
?
PEDÓFILIA NA INTERNET
“Toda a criminalidade foi tocada pela modernidade”
E a Investigação Criminal?
Com que intensidade?
Como podem os métodos tradicionais de Polícia
investigar ou mesmo recolher prova, nesta nova era?
Deixámos efectivamente de poder contar unicamente com os métodos
tradicionais de recolha de prova, passando os suspeitos a representar um
conjunto de Bits & Bytes muitas vezes sem deixar qualquer rasto viável.
„Caso Lobo Mau“
Meios de prova
Return-Path: <[email protected]>
Received: from firewall.gauleses.pt ([194.243.108.194])
by fep01-svc.mail.telepac.pt
(InterMail vM.4.01.02.27 201-229-119-110) with ESMTP
id <20010521194759.GLEL8729.fep01svc.mail.telepac.pt@firewall.gauleses.pt>
for <[email protected]>;
Mon, 21 May 2001 20:47:59 +0100
Received: from gauleses.pt - 4.0.1.98 by firewall.gauleses.pt with
Microsoft SMTPSVC(5.5.1774.114.11);
Mon, 21 May 2001 21:22:27 +0200
Subject: FW: Teste ...
To: [email protected]
port(a)
21 - ftp
23 - telnet
25 - mail
80 - www - http
informação
Meios de prova
C:\WINNT\Profiles\temoteo\Desktop\manif.doc
Times New Roman 5
Symbol 3
Arial
boy love manifesto
Timoteo Arguido temoteo
\\hp
boy love manifesto
Timoteo Arguido
Normal
Microsoft Word 8.0
boy love manifesto Title
_PID_GUID { 6 8 2 1 B E 7 1 - 5 0 1 F - 1 1 D 5 - 8 2 8 E - 0 0 0 8 C 7 8 9 7 4 F 4 }
Root Entry
Table
WordDocument
Documento do Microsoft Word MSWordDoc Word.Document.8
INFORMAÇÃO RECOLHIDA SEM ABORDAGEM
•Utiliza um PC com software utilitário
•O PC está ligado em rede - SO Windows NT
•O PC imprime para uma impressora marca HP
•A rede deve ser uma LAN e o username é “temoteo”
•Processador texto Word em Português versão 8 (97)
•O doc “manif” está/esteve na directoria “desktop”
•O título do doc é(foi) “boy love manifesto”
•A placa de rede do PC é da marca “compaq”
Provavelmente usa o editor html “frontpage”
Muito provavelmente o PC é da marca “compaq”
O site está sediado nos USA
Investigação Cientifica
Phishing

Recorre ao envio massivo (SPAM) de mensagens de
e-mail que aparentam ter origem numa empresa ou
organização com a qual a potencial vítima tem negócios
(ISP, banco, serviços de pagamentos online ou
organismo governamental).
Tipicamente estes e-mails induzem o destinatário a
utilizar um link para uma página Web onde é levado a
introduzir ou confirmar informação sensível, como por
exemplo, códigos de acesso a serviços de banca
directa, cartões de crédito e débito, dados sobre contas
bancárias, etc.
Apesar destes web sites terem uma aparência legítima
(logos, páginas e navegação), efectivamente não o são.
Phishing
Spoofed e-mails
SPAM
Trojans contendo Keyloggers
SpyWare
BHO (DLL’s carregadas com o IE que
partilham o acesso e as permissões)

Phishing - Alertas

Linguagem usada na mensagem

Na maioria das vezes a mensagem fraudulenta apela a uma
acção urgente, a pretexto de risco de inibição do acesso às
contas.
É também frequente encontrar erros ortográficos ou expressões
pouco comuns na redacção destes e-mails.

Pedido de dados pessoais

Tipicamente estes emails pretendem a recolha de dados
pessoais e confidenciais, tais como números de contas, de
cartões de débito e de crédito, números de contrato e códigos
pessoais do Internet banking.
Páginas não seguras

O URL pode parecer muito semelhante ao autêntico
Pedido de dados confidenciais através de páginas não seguras
Phishing - Alertas

Nunca envie informação pessoal que lhe seja solicitada
por e-mail ou páginas Web
Não siga os links que vêm nos e-mails suspeitos
Em caso de dúvida, contacte a entidade para confirmar
a veracidade do e-mail
Certifique-se que o site é seguro, fazendo duplo clique
sobre o cadeado no canto inferior direito do browser ou
pelo endereço (URL), que deve começar por "https://"
Desconfie de e-mails impessoais (entidade bancária,
site de e-commerce ou qualquer instituição financeira)
Certifique-se que o seu SO e browser estão
actualizados e tem AV e firewall
Phishing - Projectos
Anti-Phishing Working Group (APWG)
Messaging Anti-Abuse Working Group
(MAAWG)

Publicaram
um documento ''Anti-Phishing
Best Practices for ISPs and Mailbox
Providers''.
PhishTank
DPN - Digital Phishnet Conference

Phishing - Estatísticas
Phishing - Estatísticas
Phishing
Phishing
Phishing
Phishing
Phishing
Phishing
Phishing
Phishing
Phishing
Botnet’s

As botnets (também conhecidas como exército de
zombies – o computador é um robot ou bot) são redes
de computadores (a grande maioria domésticos)
infectados com malware (essencialmente worms,
adware, virus ou trojans) que conseguem funcionar
autonomamente e receber comandos através de
diferentes canais (IRC, http…).
O computador infectado serve os intentos do seu master
sem que o legitimo dono do mesmo se aperceba da
situação.
Botnets

Os computadores são programados para redireccionar
transmissões:
Para um computador específico:

Para vários computadores:

Site que pode ser parado por não conseguir responder à
enorme quantidade de pedidos que lhe chegam (DDoS)
Spam
Phishing
Este tipo de redes são utilizadas para obtenção de
ganhos financeiros por parte dos seus criadores.
Botnets - Infecção

Um utilizador visita uma página Web infectada.
Se possuir algum programa com vulnerabilidades que as ferramentas do hacker possam
aproveitar (exploits, buffer overflows, RPC, etc),
é feito o download de um código que depois
será executado no computador.
Este código executável abrirá as portas para o
bot.
Botnets – Ameaça emergente
Fornecedores de antivírus e sistemas de
segurança, como a Kapersky Labs e
Symantec apontam as botnets como as
maiores ameaças na Internet.
De acordo com o Symantec Internet
Security Threat Report, nos primeiros seis
meses de 2006 encontravam-se activos
4,696,903 de computadores bot.

Botnets – Casos na Europa

Setembro de 2004 um ISP da Noruega descobre uma
rede de 10.000 PC’s.
Em Outubro de 2005 a Polícia Holandesa descobriu
uma botnet com 1,5 milhões de PC’s.
Fevereiro de 2007 - Condenação na Holanda de dois
hackers responsáveis pelo ToxBot que infectou 1,7
milhões de PC
Recentemente, foi desvendada uma aplicação chamada
Zunker, para controlar computadores zombie em
botnets. Caso descoberto pelos laboratórios da Panda, o
Zunker era utilizado para gerir uma rede de dezenas de
milhares de computadores em 54 países.
Botnets - Estatística
Direcção Central de Investigação
da Corrupção e Criminalidade
Económica e Financeira
SCICAT e GTI
Telefone + 351 21 8643900
Fax + 351 21 3160131
[email protected]
URL: http://www.pj.pt