O phishing é uma forma de ataque cibernético baseado em engenharia social, condsiderado como um dos principais riscos de segurança para as organizações atualmente. As técnicas de phishing podem variar de envios de e-mail em massa e mensagens de texto até ataques direcionados contra indivíduos com informações altamente valiosas. Sites falsificados desempenham um papel proeminente em explorações de phishing, imitando sites e empresas conhecidas para obter a confiança de potenciais vítimas.
As organizações podem se defender contra ataques de phishing com soluções de segurança de e-mail e filtragem de endereços da web. No entanto, a contramedida mais eficaz é um funcionário treinado e preparado contra criminosos virtuais. Muitas empresas estão investindo em programas de conscientização e treinamento de segurança cibernética que oferecem maneiras práticas de detectar ataques de phishing e melhores práticas para proteger as comunicações eletrônicas.
O que é phishing?
Phishing é uma forma de engenharia social na qual um invasor se disfarça de uma pessoa confiável e tenta persuadir, assustar ou ameaçar o destinatário a tomar uma ação específica ou revelar informações pessoais que levem a um compromisso de segurança. Ataques de phishing usam e-mail, mensagens de texto, postagens em redes sociais, comunicações de voz e outras mídias. Muitas vezes, eles contêm links para sites falsificados projetados para levarem o destinatário a revelar informações confidenciais, como nomes de usuário, senhas, números de contas e detalhes do cartão de crédito.
Mais de uma década após sua primeira aparição, o phishing continua sendo o tipo mais comum de ataque cibernético. Em uma pesquisa recente da KnowBe4, 96% das organizações dizem que os golpes de phishing por e-mail representam o maior risco de segurança, seguidos pelo descuido do usuário final (76%) e engenharia social (70%). Apoiando esse achado, uma análise detalhada de 750 incidentes de segurança descobriu que o phishing era a categoria principal (37%).
Quem está em risco?
Praticamente qualquer pessoa que usa e-mail, sms, mensagens instantâneas, mídias sociais ou comunicações por voz é uma potencial vítima de phishing. No passado, os atacantes enviavam milhares ou milhões de e-mails de phishing na esperança de capturar algumas vítimas. Nos últimos anos, houve uma mudança para técnicas mais direcionadas, como spear phishing e phishing de voz (vishing).
Atualmente, os ataques de phishing têm como alvo cada vez maior executivos, tanto porque suas informações de contato são muitas vezes acessíveis publicamente, quanto porque eles são mais propensos a possuir dados valiosos. Quando os ataques são bem-sucedidos, os criminosos cibernéticos geralmente usam credenciais de e-mail roubadas para enviar mensagens autênticas solicitando que os funcionários enviem dinheiro para contas no exterior ou cometam outros tipos de fraude.
Que tipo de ataques de phishing existem?
As seguintes técnicas são algumas das mais comuns que os cibercriminosos empregam ao praticar phishing:
Phishing por E-mail
E-mails de phishing, onde os criminosos se passam por colegas confiáveis ou outros contatos “conhecidos” para enganar funcionários desprevenidos são fáceis de enviar e difíceis de combater. O sucesso dessas explorações depende de quão próximo o e-mail de phishing se assemelha à correspondência oficial através do uso de logotipos, slogans e gráficos da marca. Usuários com treinamento em conscientização de segurança podem desmascarar muitos ataques de phishing detectando pistas como URLs falsos em links incorporados.
Spear Phishing
Enquanto ataques gerais de phishing usam táticas semelhantes a spam para atingir milhares de pessoas de uma vez, e-mails de spearphishing visam indivíduos específicos dentro de uma organização. Neste tipo de golpe, os hackers personalizam seus e-mails de phishing com o nome, título, número de telefone de trabalho e outras informações para enganar o destinatário a acreditar que eles têm uma conexão com o remetente. Spear phishing é o método de escolha para organizações criminosas que têm os recursos necessários para pesquisar e implementar esses ataques mais sofisticados. Além disso, a maioria dos ataques de ransomware usam o spear phishing para fornecer seu malware.
Whaling
Whaling é uma variante do spear phishing que tem como alvo CEOs e outros executivos. A técnica é cada vez mais utilizada por criminosos cibernéticos, e como esses contatos normalmente têm acesso irrestrito a segredos confidenciais da corporação, a recompensa de risco é dramaticamente maior.
Baiting
Baiting (isca) é uma técnica que oferece algo de interesse para a vítima como uma maneira de enganar o usuário para abrir um anexo infectado. Ataques recentes têm usado questões políticas e sociais emocionalmente carregadas para atrair vítimas para violações de segurança. Em um incidente bem conhecido, os atacantes lançaram uma campanha de spear-phishing cronometrado com o lançamento de um livro de memórias de denunciantes envolvendo questões de segurança nacional. O e-mail, escrito em vários idiomas, inclui um anexo do Microsoft Word que pretende ser o texto do livro. No entanto, na realidade, ele contém o vírus Emotet Trojan.
Sites Falsificados
Os atacantes criam sites falsificados para coletar informações confidenciais ou lançar ataques de malware, como ransomware. Esses sites são projetados para imitar um site familiar na Internet (por exemplo, banco, cooperativa de crédito, agência governamental ou fornecedor confiável) para atrair o visitante e gerar uma falsa sensação de segurança. Para ajudar a evitar esses sites impostores, o treinamento em segurança cibernética incentiva funcionários e contratantes a confiar apenas em URLs seguros, começando com https e exibindo o ícone de bloqueio na barra de endereços do navegador da Web, o que indica que o site suporta comunicações criptografadas. No entanto, este método não é infalível. Algum tempo atrás, hackers falsificaram um site das Nações Unidas, incluindo as informações de segurança.
Phishing por SMS (Smishing)
Os dispositivos móveis estão cada vez mais se tornando alvos de ataques smishing, uma variação de phishing que utiliza mensagens de texto SMS. Como em outros ataques de phishing, criminosos se disfarçam de funcionários do governo, representantes de apoio técnico ou instituições financeiras para atrair pessoas para divulgar informações pessoais. Uma das razões para o aumento da smishing é que os usuários de smartphones tendem a confiar mais em mensagens de texto do que telefonemas ou e-mails. Muitas vezes, as pessoas utilizam o celular de forma distraída, o que aumenta a possibilidade de clicar em um link perigoso sem pensar. Os smartphones têm ultrapassado a barreira entre vida pessoal e profissional, o que permite que os invasores entrem por meio de aplicativos pessoais relativamente inseguros e, assim, obtenham acesso a informações de negócios.
Phishing de Voz (Vishing)
Criminosos hábeis podem atacar organizações usando uma técnica chamada phishing de voz ou vishing. Em um ataque que repercutiu bastante, o golpista exibe fraudulentamente o número de telefone real do FBI na identificação da vítima para atrair o destinatário para atender a chamada. O golpista então se passa por um funcionário do governo e usa táticas de intimidação para exigir o pagamento de dinheiro supostamente devido ao governo.
Golpes de Suporte Técnico
A fraude de suporte técnico continua a ser um problema crescente. Como o nome sugere, os golpistas se passam por analistas de suporte técnico, seja trabalhando para a organização da vítima ou para um serviço independente. Outro cenário é a atração das vítimas com e-mails contendo URLS de aparência realista, como nomedaempresa.suporte.com. O golpista então convence a vítima a ativar o acesso remoto, que o invasor usa para roubar números de cartão de crédito, nomes de usuário e senhas e outras informações pessoais.
Como defender minha organização contra phishing?
Para serem eficazes, os programas anti-phishing precisam incluir três componentes principais: conscientização e treinamento de segurança cibernética, segurança de e-mail e filtragem de endereços web.
Conscientização e Treinamento em Segurança Cibernética
Embora o comportamento dos funcionários possa contribuir para o problema do phishing, ele também pode constituir uma parte importante da solução. Os membros da equipe detectaram e relataram as violações mais disruptivas 63% das vezes. De acordo com um estudo da ZDNET, mais da metade das organizações indica que a implementação de treinamento de conscientização de segurança está no topo de sua lista de prioridades.
Segurança de E-mail
A segurança de e-mail é um mercado maduro, com muitas opções disponíveis. Existem fornecedores de segurança que oferecem amplos portfólios e até empresas de infraestrutura que oferecem soluções. Independentemente do tipo de fornecedor, a segurança do e-mail deve fornecer três recursos básicos quando se trata de parar ataques de phishing:
– Abordar o risco representado por um cenário de ameaça em constante mudança e aceleração;
– Ajudar as organizações a passar de uma postura de segurança reativa para uma postura de segurança mais proativa;
– Fornecer um retorno quantificável sobre o investimento (ROI).
Web Application Firewall (WAF)
O WAF limita o acesso com base em um banco de dados de informações conhecidas sobre sites específicos. As soluções WAF permitem acesso a sites seguros conhecidos (whitelisting) ou proíbem o acesso a sites usados em phishing e ataques de malware (lista negra). Devido à natureza dinâmica dos sites maliciosos, as soluções WAF de alto nível usam serviços de aprendizado de máquina e assinatura de inteligência de ameaças para se manterem atualizados.
Como as organizações podem parar os ataques de phishing?
Para evitar ataques de phishing bem-sucedidos, recomenda-se as seguintes ações:
– Programas para conscientização e treinamento em segurança cibernética de funcionários e medição contínua da sua eficácia;
– Filtragem de URL, visibilidade e soquetes seguros (SSL) e inspeção de segurança de camadas de transporte (TLS);
– Notificar os funcionários imediatamente à medida que explorações específicas de phishing são detectadas;
– Habilitar a autenticação de vários fatores, priorizando contas com acesso a dados confidenciais;
– Definir alertas para identificar atividades suspeitas, como autenticação de endereços IP em regiões de alto risco, encaminhamento de e-mails e protocolos de conexão legados;
– Impor bloqueio de conta após um número específico de tentativas fracassadas.
Para saber mais sobre soluções que ajudam no combate ao phishing, visite a nossa página de Segurança da Informação.