O que são ataques de Phishing?

Phishing se refere ao ato de tentativa de roubo por meio de dispositivos conectados. A ação pode ser manual ou executada por meio de uma ferramenta que automatiza o processo. Também pode ser uma combinação que começa com uma ferramenta com script abrindo a porta para o criminoso que completa o ataque manualmente.

O termo “phishing” foi usado pela primeira vez em 1994, quando um grupo de adolescentes trabalhava para obter manualmente números de cartão de crédito de usuários desavisados na AOL. Em 1995, eles criaram um programa chamado AOHell para automatizar o trabalho para eles. 

Desde então, os criminosos continuaram a inventar novas maneiras de coletar detalhes de qualquer pessoa conectada à Internet. Esses atacantes criaram uma série de programas e tipos de software malicioso ainda em uso hoje. Algumas dessas ferramentas foram criadas com o único propósito de teste de penetração ou "hackear com permissão". Depois que uma ferramenta existe, no entanto, os malfeitores podem descobrir como usá-la de forma maliciosa.

Nos anos seguintes, os criminosos conseguiram criar software malicioso especificamente para aplicações de phishing. Um exemplo é o PhishX, uma ferramenta projetada para roubar dados bancários. Usando PhishX, os invasores criam um site de banco falso que parece ser um banco real, onde você pode ter uma conta. Eles personalizam a página com seu número de telefone e endereço de e-mail. Clicar em “Fale conosco” coloca você em comunicação direta com os criminosos.

Phishing Frenzy é um exemplo de ferramenta de phishing de e-mail criada originalmente para testes de penetração. Phishing Frenzy provou ser amigável ao operador e muitos criminosos o usaram devido à sua facilidade de uso.

Outra ferramenta de phishing é o Swetabhsuman8, que permite que os invasores criem uma página de login falsa usada para hackear contas do Instagram. Quando você tenta fazer login, os criminosos reúnem suas combinações de ID de usuário e senha. 

Além de falsificar sites, ferramentas de phishing de e-mail e páginas de login maliciosas para roubar seus detalhes, os criminosos criam centrais de atendimento conectadas a um número de telefone que você recebe por meio de um de seus e-mails, sites falsos ou mensagens de texto. 

Agentesz de ransomware modernos normalmente visam empresas maiores para obter um retorno máximo. Eles tendem a gastar uma quantidade significativa de tempo conquistando cada seção da rede da vítima até que lancem seu ataque de ransomware. Esse tipo de ataque em vários estágios geralmente começa com um único e-mail de phishing.

Embora haja vários ataques de phishing diferentes, o phishing de e-mail é o mais comum e reconhecível. Esse método de ataque se tornou mais sofisticado com a chegada de ataques de spear phishing, whaling e guiados a laser. Os ataques de phishing também se espalharam de programas de e-mail para plataformas de comunicação, incluindo mensagens de texto e mídia social.

Os ataques de phishing incluem:

• Phishing de email – um criminoso envia uma mensagem de e-mail contendo um link com a intenção de causar preocupação, preocupação ou intriga. O objetivo do e-mail é você clicar no link.
• Vishing - Um agente de ameaça liga para um telefone fixo, móvel ou VoIP para envolver o usuário em uma conversa.
• Smishing – um criminoso envia uma mensagem de texto pedindo que você clique em um link ou telefone para o remetente.
• Pharming – À medida que mais pessoas ficavam cientes dos perigos de clicar em links de e-mail não solicitados, mal-intencionados criavam o pharming. Um ataque de pharming inclui um URL malicioso com a esperança de que você copie e cole o endereço da web em seu navegador e acesse diretamente o site. Pharming compromete o cache local de informações do sistema de nomes de domínio (DNS) que leva o usuário ao destino correto. Seguir o link malicioso leva você a um site falsificado.
• Spear phishing – Um criminoso envia um e-mail personalizado e direcionado a uma organização ou indivíduo. Os e-mails de spear phishing geralmente têm como alvo executivos ou pessoas que trabalham em departamentos financeiros.
• Whaling – Whaling é semelhante ao spear phishing, mas geralmente tem como alvo os executivos seniores de uma organização.

Os atacantes adoram explorar nosso mundo on-line. Eles fazem isso criando sites falsos ou páginas de login para coletar dados confidenciais. Além de obter acesso a números de cartão de crédito, contas bancárias e credenciais de mídia social, os agentes de ameaças procuram atingir os canais de mídia social de seus amigos ou colegas de trabalho. Isso acontece quando um criminoso obtém acesso à sua conta e envia ataques de phishing para seus seguidores, amigos ou colegas de trabalho por meio de mensagem direta. A ampla popularidade das mídias sociais tornou esse método mais comum na última década.

Existem muitas coisas que você pode fazer para se proteger. A primeira e mais importante coisa é permanecer cauteloso.

• Inspecione os e-mails com atenção antes de clicar. Passe o mouse sobre o endereço de e-mail de origem ou o link no qual eles desejam que você clique. Isso pode revelar informações que indicam que se trata de um e-mail de phishing.
• Antes de digitar dados confidenciais em um site, olhe duas vezes para a URL na parte superior da página. Este é o site real? Existem letras extras no endereço? Existem letras trocadas por números como um O por 0? Pode ser difícil perceber a diferença.
• Pense antes de clicar em postagens de amigos. Se parece que um negócio é bom demais para ser verdade, provavelmente é.
• Pense antes de responder a uma postagem que diz que seu amigo está com problemas e precisa de dinheiro. É assim que eles entrariam em contato com você?
• Pense antes de clicar em um pop-up ou pop-under.
• Pense antes de abrir um anexo de e-mail. Você esperava um anexo dessa pessoa? Se não, pergunte a eles.
• Pense antes de responder a mensagens de texto (SMS). Não é muito provável que sua companhia telefônica, banco, etc. entre em contato com você por mensagem de texto.
• Não divulgue seus dados pessoais a menos que tenha certeza de que está falando com alguém em quem confia.
   

A segunda coisa a fazer é proteger suas contas. As senhas devem ter aproximadamente 20 caracteres ou mais. Você não precisa ter todas as quatro opções (maiúsculas, minúsculas, número, símbolo) em sua senha. Dois ou três são suficientes, mas mude as coisas ao criar novas senhas. Muitas pessoas têm problemas para lembrar as senhas. Crie uma senha longa da qual você se lembrará. Bloqueie o resto em um gerenciador de senhas, como LastPass ou Password Safe.

Em seguida, e mais importante, habilite a autenticação de dois fatores (2FA) em todas as contas. Se a única opção que o site oferece é usar seu telefone para receber uma mensagem de texto com uma senha de uso único, é melhor do que apenas usar uma senha de acesso.

O Instituto Nacional de Padrões e Tecnologia (NIST) descontinuou seu suporte para senhas de uso único SMS. Uma solução melhor é criar uma senha de uso único usando uma ferramenta, como Google Authenticator, Microsoft Authenticator, ou LastPass Authenticator. Procure essas opções nas “configurações” de suas contas.

Use ferramentas de software para ajudar a observar as coisas que você perde. Use um firewall e ferramentas antivírus, antimalware e antiphishing. Escolha seus navegadores com sabedoria. Aquele que você usa protege você procurando coisas como tentativas de phishing? É possível adicionar um plug-in? Se a resposta for não, escolha outro navegador.

Além das recomendações acima para a equipe, uma organização deve fazer o seguinte:

• Use um gateway de e-mail para bloquear e-mails de spam e remover e-mails que contenham links ou anexos suspeitos.
• Instale um filtro de phishing de spam para eliminar e-mails de remetentes desconhecidos e e-mails que apresentam conteúdo suspeito.
• Use uma ferramenta de autenticação de e-mail de autenticação, relatório e conformidade de mensagem baseada em domínio (DMARC) para impedir que criminosos falsifiquem um endereço “de” em um e-mail.
• Use métodos de filtragem de inteligência artificial (AI) para identificar e-mails de comprometimento de e-mail comercial (BEC). Os e-mails do BEC são enviados por criminosos que se passam por membros da administração de uma organização, normalmente pedindo aos funcionários que transfiram fundos de uma conta comercial para a conta falsificada do criminoso.
• Empregue uma solução de segurança integrada de serviço para proteger contra ataques de phishing que vêm de dentro de sua organização.
• Informe seus funcionários sobre os perigos dos ataques de phishing, incluindo-os em simulações e treinamentos regulares de phishing.