O que é Phishing?

Phishing é um método de ataque que existe desde meados da década de 1990. Tudo começou quando um grupo de jovens projetou o recurso de sala de bate-papo da AOL para se passar por administradores da AOL. Eles roubaram números de cartão de crédito de outros usuários para garantir que sempre teriam acesso gratuito à AOL.

A "sala de bate-papo para novos membros" da AOL foi projetada para que os usuários recebam assistência de acesso ao site. Os criminosos criaram o que pareciam ser nomes de tela válidos de administradores da AOL, como "BillingAccounting", e disseram aos usuários que havia problemas com suas contas. 

O usuário foi solicitado a fornecer um número de cartão para resolver os problemas. Os criminosos então usaram os números do cartão para pagar por suas próprias contas. Embora o termo “phishing” tenha sido cunhado para descrever este e outros ataques semelhantes, agora ele passou a ser associado principalmente a golpes de e-mail. Os golpes de phishing continuam em abundância até hoje. De acordo com o Verizon 2021 Data Breach Investigations Report (DBIR), 36% das violações envolveram phishing.

Como o phishing depende principalmente da engenharia social, é fundamental que todos os usuários entendam como os invasores trabalham para explorar a natureza humana. Primeiro, a engenharia social é um truque que os criminosos usam para convencer os usuários a fazer algo que normalmente nunca fariam.

A engenharia social pode ser tão simples quanto alguém com as mãos ocupadas pedindo que uma porta seja aberta. Da mesma forma, um ataque de engenharia social pode começar com alguém deixando cair drives USB rotulados como “fotos de família” em um estacionamento. Essas unidades USB podem conter malware que é instalado em um computador, comprometendo a segurança de alguma forma. Isso é conhecido como isca.

Phishing é usado principalmente em referência a ataques de e-mail genéricos. É quando um invasor envia e-mails para o máximo de endereços possível, usando serviços comuns como PayPal ou Bank of America.

O e-mail informa que a conta está comprometida e solicita que você clique em um link para verificar se a conta é legítima. O link geralmente fará uma de duas coisas ou ambas:

1. Ele pode levá-lo a um site malicioso que se parece com o site autêntico, por exemplo, “www.PayPals.com” versus “www.PayPal.com”. Observe os 's' extras no primeiro URL. Assim que você acessar o site malicioso, o criminoso pode capturar seu ID de usuário e senha quando você tentar fazer login.
   
   O criminoso agora tem acesso à sua conta bancária e pode transferir dinheiro para qualquer lugar. Porém, há um segundo benefício possível. O criminoso agora pode ter uma senha que pode ser usada para suas outras contas, incluindo Amazon ou eBay.
2. Ele pode infectar seu computador com software malicioso baixado chamado malware. Uma vez instalado, o software pode ser usado para ataques futuros. O malware pode ser um registrador de pressionamento de tecla que captura logins ou números de cartão de crédito ou pode ser um ransomware que criptografa o conteúdo da unidade e os mantém para resgate, geralmente na forma de Bitcoin.
   
   Nesse ponto, é possível que o criiminoso use o computador infectado para minerar Bitcoin. Isso pode ser feito quando você não está no computador, ou o malware pode bloquear você de parte da capacidade da CPU o tempo todo. O criminoso agora pode minerar Bitcoin com sucesso e seu computador normalmente funciona mais lentamente.

O phishing evoluiu ao longo dos anos para incluir ataques que abordam diferentes tipos de dados. Além de dinheiro, os ataques também podem ter como alvo dados ou fotos confidenciais.

Um ataque de phishing é a ação ou conjunto de ações que um cibercriminoso realiza para explorar você. Os esquemas de phishing de e-mail costumam ser fáceis de detectar devido a erros gramaticais e/ou ortográficos nos e-mails. Os invasores estão se tornando tecnicamente sofisticados, no entanto, e novos ataques se concentram em explorar as emoções humanas para fazer com que você se envolva, incluindo medo, indignação e curiosidade.

O ataque contra a RSA em 2011 foi direcionado a apenas quatro pessoas dentro da organização. O e-mail não era muito sofisticado, mas foi bem-sucedido porque tinha como alvo as pessoas certas. O e-mail, intitulado  “Plano de recrutamento de 2011.xls”, foi planejado para despertar o interesse desses indivíduos e não seria necessariamente do interesse de outras pessoas na organização.

Saiba mais

Existem muitos tipos diferentes de ataques de phishing. Isso inclui o clássico ataque de e-mail, ataques de mídia social e ataques com nomes de portmanteau, como smishing e vishing.

• Phishing – geralmente feito por e-mail
• Spearphishing – e-mail bem direcionado
• Whaling – e-mail muito direcionado, geralmente dirigido a executivos
• Phishing interno – ataques de phishing originados de dentro de uma organização
• Vishing – feito por telefonemas
• Smishing – feito por mensagens de texto
• Phishing de mídia social – Facebook ou outras postagens de mídia social
• Pharming – comprometendo um cache DNS
   

Saiba mais

Ataques internos de phishing são uma preocupação crescente. Eles ocorrem quando um usuário confiável envia um e-mail de phishing para outro na mesma organização. Como o usuário de origem é confiável, os destinatários são mais propensos a clicar em um link, abrir um anexo ou responder com as informações solicitadas. 

Para enviar e-mails de phishing internos, um atacante controla a conta de e-mail do usuário com credenciais comprometidas. Um atacante também pode estar no controle do dispositivo de um usuário fisicamente devido à perda ou roubo do dispositivo, ou por meio de malware no dispositivo. E-mails de phishing internos são parte de um ataque em vários estágios com o objetivo final de extorsão com ransomware, por exemplo, ou roubo de ativos financeiros ou intelectuais.

Smishing é um ataque que explora dispositivos móveis. Como há mais dispositivos móveis vendidos hoje do que computadores pessoais, os atacantes migraram para essa plataforma para roubar dados pessoais. Ataques de smishing costumam ocorrer quando os invasores enviam uma mensagem de texto para o seu número de telefone com uma mensagem informando sobre um problema com sua conta, juntamente com um número de retorno para ligar para resolver o problema.  Uma chamada de retorno geralmente colocará você em contato com o atacante pessoalmente ou um “funcionário” contratado pelo agente da ameaça para continuar o golpe.

Se você não retornar a ligação, os atacantes podem ligar para informar que sua “conta foi atacada e que você precisa compartilhar os detalhes da conta para resolver o problema”. Os criminosos geralmente contam com a quantidade de chamadas feitas para obter sucesso. Isso é chamado de Vishing.

Saiba mais sobre smishing.

A mídia social se tornou uma parte importante de nosso mundo on-line - o suficiente para que os cibercriminosos possam utilizá-la facilmente para executar golpes de phishing. Um esquema comum de phishing no Facebook inclui a postagem de “negócios” ou “ofertas” em contas de “amigos” com instruções para clicar. Para realizar esse golpe, os atacantes devem obter acesso à sua conta.

Isso pode ser fácil de fazer em muitas contas se houver uma violação nos servidores on-line de outra empresa que resulte em vazamento de senha. Os atacantes tentam as mesmas combinações de e-mail e senha em outras plataformas comuns, como Facebook ou LinkedIn.

Saiba mais sobre phishing de mídia social.

À medida que os usuários se tornaram mais experientes em relação aos ataques de phishing, os criminosos criaram novos métodos de ataque. Pharming compromete o cache do sistema de nomes de domínio (DNS) em seu computador. Isso é feito por meio de downloads drive-by. 

Conforme você navega em sites, clicando de um para o outro, o invasor explora a falta de segurança frequentemente encontrada em sites. É bastante fácil alterar o texto HTML de um site, por isso inclui um download de informações quando você acessa o site ou clica nele.

Se você não clicar no e-mail, o invasor simplesmente espera que você se conecte ao banco. As informações alteradas do cache DNS direcionam você para a versão do criminoso do site do seu banco. Você insere seu ID de usuário e senha, dando ao invasor suas credenciais para acessar sua conta bancária e roubar fundos.

Existem algumas coisas muito específicas que você pode fazer como indivíduo para se proteger:

• Habilite a autenticação de dois fatores (2FA) em qualquer conta que você puder
• Use programas antimalware
• Use firewalls
• Suspeite de pop-ups e pop-unders
• Suspeite de anexos de e-mail de fontes conhecidas e desconhecidas
• Suspeite de mensagens de texto ou IMs de fontes conhecidas e desconhecidas que desejam que você clique para algum destino ou resultem em uma consulta sobre suas informações pessoais
• Não forneça suas informações pessoais

Além das recomendações acima, uma organização deve fazer o seguinte:

• Filtrar por e-mail de phishing e tráfego malicioso da web no gateway
• Autenticar remetentes de e-mail usando Domain-Based Message Authentication, Reporting, and Conformance (DMARC)
• Filtre e-mails de phishing com base no remetente e no conteúdo e analise URLs e anexos em busca de atributos maliciosos usando técnicas estáticas e dinâmicas
• Empregar técnicas de filtragem avançadas que usam inteligência artificial (IA) para detectar comprometimento de e-mail comercial (BEC) e ataques de roubo de credenciais
• Evite ataques de phishing internos com uma solução de segurança integrada de serviço para sua nuvem ou plataforma de e-mail local usando APIs. Estão disponíveis para Microsoft Office 365, Google G Suite, Microsoft Exchange Server e servidor IBM Domino