Você conhece o spear phishing, vishing, whaling e clone phishing? Então aprenda a identificar esses ataques de phishing. Afina, cada violação de dados e ataque online envolve algum tipo de tentativa de phishing.
Mas o que é phishing, afinal?
Phishing é um ataque com o intuito de roubar credenciais de senha. Dessa forma, é possível lançar transações fraudulentas ou enganar alguém para fazer download de malware. De fato, o Relatório de Investigações de Violação de Dados de 2020 da Verizon concluiu o seguinte:
O phishing é a principal ação de ameaça associada a violações.
Dessa forma, as empresas estão sempre lembrando os usuários sobre como identificar ataques de phishing. Contudo, muitos deles não sabem realmente como reconhecê-los. Além disso, humanos tendem a ser ruins em reconhecer golpes. Confira o resultado do relatório 2020 State of the Phish, da Proofpoint:
65% das organizações dos EUA experimentaram um ataque de phishing bem-sucedido em 2019.
Ou seja, a sofisticação dos invasores está aumentando. Portanto, é preciso um treinamento de conscientização de segurança igualmente sofisticado. Entretanto, nem todos os golpes de phishing funcionam da mesma forma. Afinal, alguns são explosões de e-mail genéricas. Em paralelo, outros são cuidadosamente elaborados para atingir um tipo muito específico de pessoa. Com isso fica mais difícil treinar os usuários para saber quando uma mensagem é suspeita.
Então, que tal aprender a identificar ataques de phishing e se prevenir?
Phishing: e-mails para o mercado de massa
A forma mais comum de phishing é o tipo geral. Ou seja, o enviado em massa. Nele, alguém envia um e-mail fingindo ser outra pessoa e tenta enganar o destinatário ao fazer algo. Em geral, este precisa fazer login em um site ou baixar um malware.
Entretanto, os ataques frequentemente dependem de e-mail spoofing. Afinal, assim o usuário acredita que o e-mail foi enviado por um remetente confiável.
O que é e-mail spoofing?É um artifício utilizado por spammers. Na prática, ele falsifica o remetente de uma mensagem de e-mail. Nele, o envio de e-mails é baseado no protocolo SMTP. Ou seja, que não exige senha ou autenticação do remetente. |
No entanto, os ataques de phishing nem sempre se parecem com um e-mail de notificação de entrega da UPS. Tampouco com uma mensagem de aviso do PayPal sobre a expiração de senhas. Alguns ataques são criados para visar especificamente organizações e indivíduos. Portanto, dependem de métodos diferentes de e-mail.
Spear phishing: perseguindo alvos específicos
Nele, os fraudadores estão pescando vítimas aleatórias usando e-mail falsificado como isca. Por isso os ataques de spear phishing usam a analogia da pesca. Afinal, os invasores têm como alvo especificamente vítimas e organizações de alto valor. Portanto, ele não tenta obter credenciais bancárias de 1.000 consumidores. O invasor acha mais lucrativo atacar um punhado de empresas.
Exemplo 1
Um invasor de estado-nação pode ter como alvo um funcionário que trabalha para outra agência governamental. Ou, quem sabe, um oficial do governo. Afinal, seu intuito é roubar segredos de estado.
Saber identificar ataques de phishing é importante. Especialmente porque o spear phishing costuma ser bem-sucedido. Isso acontece justamente porque os invasores gastam muito tempo criando informações específicas do destinatário. Ele pode fazer referência a uma conferência da qual o destinatário acabou de participar. Também pode incluir um anexo malicioso com um assunto de interesse do destinatário.
Exemplo 2
Houve uma grande campanha de phishing em 2017. Nela, o Grupo 74 (também conhecido como Sofact, APT28, Fancy Bear) direcionou os profissionais de segurança cibernética com um e-mail. Este fingia estar relacionado à conferência Cyber Conflict US. Esse evento foi organizado pelo Army Cyber Institute da Academia Militar dos Estados Unidos, a OTAN Cooperative Cyber Military Academy e o Centro de Excelência Cooperativa de Defesa Cibernética da OTAN. A CyCon é uma conferência real. Contudo, o anexo era na verdade um documento contendo uma macro VBA (Visual Basic for Applications) maliciosa. Esta baixaria e executaria um malware de reconhecimento chamado Seduploader.
Whaling: indo atrás do grande
Vítimas diferentes, dias de pagamento diferentes. Um ataque de phishing visando especificamente os altos executivos de uma empresa é chamado de caça às baleias (Whaling). Afinal, a vítima é considerada de alto valor. Ou seja, as informações roubadas serão mais valiosas do que as de um funcionário regular. As credenciais da conta de um CEO abrirão mais portas do que um funcionário iniciante. Em geral, o objetivo é roubar dados, informações de funcionários e dinheiro.
Contudo, o Whaling também requer pesquisas adicionais. Afinal o invasor precisa saber com quem a vítima se comunica e o tipo de discussão que eles têm. Os exemplos fazem referências a:
- Reclamações de clientes;
- Intimações legais;
- Problemas na diretoria.
Os invasores geralmente começam com a engenharia social. Dessa forma, coletam informações sobre a vítima e a empresa. Então, cria a mensagem de phishing que será usada no ataque às baleias.
E-mail comercial comprometido (BEC): fingir ser o CEO
Os criminosos também visam indivíduos importantes nos departamentos de finanças e contabilidade. Eles o fazem por meio de golpes de comprometimento de e-mail comercial (BEC). Isso, além de fraude de e-mail do CEO. Ou seja, eles se fazem passar por executivos financeiros e CEOs. Então eles tentam enganar as vítimas para que façam transferências de dinheiro para contas não autorizadas.
Normalmente, os invasores comprometem a conta de e-mail de um executivo sênior ou diretor financeiro. Isso é feito ao explorar uma infecção existente. Contudo, pode ocorrer por meio de um ataque de spear phishing. Então, o invasor se esconde e monitora a atividade de e-mail do executivo por um tempo. Afinal, assim pode aprender sobre os processos e procedimentos da empresa.
Exemplo
O ataque real assume a forma de um e-mail falso que parece ter vindo da conta do executivo comprometido. Ele é enviado a um destinatário regular. O e-mail parece ser importante e urgente. Contudo, solicita que o destinatário envie uma transferência eletrônica para uma conta bancária externa ou desconhecida. Ou seja, o dinheiro acaba na conta bancária do atacante.
“A perda média de transferência eletrônica de ataques de comprometimento de e-mail comercial (BEC) está aumentando. A tentativa média de transferência eletrônica no segundo trimestre de 2020 foi de US $ 80.183.” – Relatório de Tendências de Atividade de Phishing do Grupo de Trabalho Anti-Phishing para o segundo trimestre de 2020.
Clone phishing: quando as cópias são igualmente eficazes
O clone phishing exige que o invasor crie uma réplica quase idêntica de uma mensagem legítima. Contudo, seu intuito é enganar a vítima e fazê-la pensar que é real.
Exemplo
O invasor envia um e-mail de um endereço semelhante ao do remetente legítimo. Até o corpo da mensagem é o mesmo da mensagem anterior. Contudo, ele troca o anexo ou link da mensagem por um malicioso. Portanto, o invasor pode dizer algo como ter que reenviar o original. Ou, quem sabe uma versão atualizada para explicar o reenvio da “mesma” mensagem.
Esse ataque é baseado em uma mensagem legítima vista anteriormente. Ou seja, torna mais provável que os usuários caiam no ataque. Além disso, o invasor que já infectou um usuário pode usar essa técnica contra outra pessoa. Especialmente uma que também recebeu a mensagem que está sendo clonada. Entretanto, há variações. Afinal, o invasor pode criar um site clonado com um domínio falsificado para enganar a vítima.
Vishing: Phishing por telefone
Vishing significa “phishing de voz”. Portanto, envolve o uso do telefone. Normalmente, a vítima recebe uma chamada com uma mensagem de voz. Esta é disfarçada de comunicação de uma instituição financeira. Dessa forma, a mensagem pode pedir ao destinatário para ligar para um número e inserir as informações da conta. Contudo, também pode solicitar o PIN para segurança ou outros fins oficiais. No entanto, o número de telefone toca diretamente para o invasor por meio de um serviço de voz sobre IP.
Exemplo
Considere um sofisticado golpe de vishing que aconteceu em 2019. Os criminosos ligaram para as vítimas fingindo ser o suporte técnico da Apple. Então, forneceram aos usuários um número para ligar para resolver o “problema de segurança”. Assim como o antigo esquema de suporte técnico do Windows, esse esquema aproveitou o medo do usuário de que seus dispositivos fossem hackeados. Entende a importância de saber identificar ataques de phishing?
Smishing: Phishing via mensagem de texto
Smishing, uma mistura de “phishing” e “SMS”. Afinal, o último é o protocolo usado pela maioria dos serviços de mensagens de texto por telefone. Portanto, é um ataque cibernético que usa mensagens de texto para enganar as vítimas.
Exemplo
Seu objetivo é fazer com que você acredite que chegou uma mensagem de uma pessoa ou organização confiável. Então, convencê-lo a tomar uma ação que forneça ao invasor informações exploráveis ou acesso ao seu dispositivo móvel. É o caso de credenciais de login de conta bancária, por exemplo.
Infelizmente, o Smishing está aumentando. Afinal, as pessoas leem e respondem mais mensagens de texto do que e-mails. Elas leem 98% das mensagens de texto. Contudo, só respondem a 45%. Em paralelo, os números equivalentes para e-mail são 20% e 6%, respectivamente. Ou seja, os usuários costumam ficar menos atentos a mensagens suspeitas em seus telefones. Ao menos em relação aos seus computadores e dispositivos pessoais. Isso, apesar destes geralmente não terem o tipo de segurança disponível em PCs corporativos.
Snowshoeing: espalhando mensagens venenosas
O Snowshoeing é conhecido também como spam “hit-and-run”. Ele exige que os invasores enviem mensagens por meio de vários domínios e endereços IP. Cada endereço IP envia um baixo volume de mensagens. Portanto, as tecnologias de filtragem de spam com base em reputação ou volume não conseguem identificar e bloquear as mensagens maliciosas imediatamente. Ou seja, algumas das mensagens chegam às caixas de entrada de e-mail antes que os filtros aprendam a bloqueá-las.
As campanhas de Hailstorm funcionam da mesma forma que as de snowshoe. Exceto que as mensagens são enviadas em um período de tempo extremamente curto. Alguns ataques de hailstorm terminam assim que as ferramentas anti-spam as detectam. E, portanto, atualizam os filtros para bloquear mensagens futuras. Contudo, os invasores já passaram para a próxima campanha.
Aprenda a identificar ataques de phishing diferentes
Os usuários não entendem bem o impacto de cair em um ataque de phishing. Um usuário razoavelmente experiente pode conseguir avaliar o risco de clicar em um link em um e-mail. Afinal, isso pode resultar no download de um malware ou mensagens pedindo dinheiro. No entanto, um usuário ingênuo pode pensar que nada aconteceria. Pode, até mesmo, acabar clicando em anúncios de spam e pop-ups voluntariamente.
Isso acontece porque só usuários mais experientes podem estimar o dano potencial de um roubo de credencial e comprometimento de conta. Contudo, essa lacuna na avaliação de risco torna mais difícil para os usuários entender a seriedade de identificar ataques de phishing.
Portanto, as empresas precisam considerar as campanhas de conscientização interna. Afinal, só assim os funcionários terão as ferramentas para identificar ataques de phishing diferentes. Entretanto, isso não é o bastante. As organizações também precisam reforçar as defesas de segurança. Afinal, algumas das ferramentas tradicionais de segurança de e-mail não são defesa suficiente contra alguns tipos de phishing. Especialmente os filtros de spam.
Está preocupado com a segurança da sua empresa? Entre em contato com a Infonova. Temos como ajudá-lo a encontrar lacunas de segurança. Isso, além de solucioná-las.