O que é phishing?

De forma resumida, podemos dizer que phishing é um ataque cibernético que usa o e-mail disfarçado como arma. O objetivo é convencer o destinatário do e-mail a acreditar que a mensagem é algo que ele deseja ou precisa, como uma solicitação do banco, por exemplo, ou uma anotação de alguém da empresa e clicar em um link ou baixar um anexo.

Veja também o que é Spywares!

O que realmente distingue o phishing é a forma que a mensagem assume: os atacantes se disfarçam como uma entidade confiável de algum tipo, geralmente uma pessoa real ou plausivelmente real, ou uma empresa com a qual a vítima possa fazer negócios. É um dos tipos mais antigos de ataques cibernéticos, que remonta à década de 1990, e ainda é um dos mais difundidos e perniciosos, com mensagens e técnicas de phishing cada vez mais sofisticadas.

“Phish” é pronunciado exatamente como está escrito, ou seja, como a palavra “fish”. Vale lembrar que “Fish” significa “Peixe” em português. Dessa forma, a analogia é a de um pescador jogando um anzol por ai (o e-mail de phishing) e esperando que você morda. O termo surgiu em meados da década de 1990 entre os hackers, com o objetivo de induzir os usuários da AOL a abrirem suas informações de login. O “ph” faz parte de uma tradição de ortografia caprichosa de hackers e provavelmente foi influenciado pelo termo “phreaking”, abreviação de “phreaking por telefone”, uma forma inicial de hacking que envolvia a reprodução de tons sonoros em aparelhos telefônicos para receber chamadas telefônicas gratuitas.

Golpes que deram certo

Quase um terço de todas as violações no ano passado envolveram phishing, de acordo com o Relatório de investigações de violação de dados da Verizon de 2019. Além disso, para ataques de espionagem cibernética, esse número salta para 78%. A pior notícia de phishing é que seus autores estão ficando muito, muito melhores graças a ferramentas e modelos prontos para uso e bem produzidas.

Alguns golpes de phishing foram bem-sucedidos o suficiente para causar ondas:

• Talvez um dos ataques de phishing mais importantes da história tenha acontecido em 2016, quando hackers conseguiram que o presidente da campanha de Hillary Clinton, John Podesta, oferecesse sua senha do Gmail;
• O ataque “violento”, no qual as fotos íntimas de várias celebridades foram divulgadas, foi originalmente considerado o resultado da insegurança nos servidores iCloud da Apple, mas na verdade foi o produto de várias tentativas bem-sucedidas de phishing;
• Em 2016, os funcionários da Universidade do Kansas responderam a um e-mail de phishing e entregaram o acesso às suas informações de depósito em salário, resultando na perda de pagamento.

O que é um kit de phishing?

A disponibilidade de kits de phishing facilita aos cibercriminosos, mesmo aqueles com habilidades técnicas mínimas, o lançamento de campanhas de phishing. Dessa forma, um kit de phishing agrupa recursos e ferramentas de sites de phishing que precisam ser instalados apenas em um servidor. Uma vez instalado, tudo o que o invasor precisa fazer é enviar e-mails para possíveis vítimas. Kits de phishing e listas de discussão estão disponíveis na dark web. Alguns sites, Phishtank e OpenPhish, mantêm listas fornecidas por multidões de kits de phishing conhecidos.

Alguns kits de phishing permitem que os invasores falsifiquem marcas confiáveis, aumentando as chances de alguém clicar em um link fraudulento. A pesquisa da Akamai, fornecida no relatório Phishing – Baiting the Hook, encontrou 62 variantes de kits para a Microsoft, 14 para o PayPal, sete para a DHL e 11 para o Dropbox. 

O relatório do Duo Labs, Phish in a Barrel, inclui uma análise da reutilização do kit de phishing. Dos 3.200 kits de phishing que Duo descobriu, 900 (27%) foram encontrados em mais de um host. Esse número pode realmente ser maior, no entanto. “Por que não vemos uma porcentagem maior de reutilização de kits? Talvez porque estivéssemos medindo com base no hash SHA1 do conteúdo do kit. Uma única alteração em apenas um arquivo do kit pareceria dois kits separados, mesmo quando idênticos”, disse Jordan Wright, engenheiro sênior de P&D da Duo e autor do relatório.

A análise de kits de phishing permite que as equipes de segurança rastreiem quem os está usando. “Podemos descobrir, ao analisar os kits de phishing, para onde as credenciais estão sendo enviadas. Portanto, podemos correlacionar os atores com campanhas específicas e até kits específicos ”, disse Wright no relatório

Tipos de phishing

Se existe um denominador comum entre ataques de phishing, é o disfarce. Os invasores falsificam seu endereço de e-mail para que pareça ser de outra pessoa, criam sites falsos que se parecem com os quais a vítima confia e usam conjuntos de caracteres estrangeiros para disfarçar URLs.

Dito isto, existem várias técnicas que se enquadram no phishing. Existem algumas maneiras diferentes de dividir os ataques em categorias. Uma é a finalidade da tentativa de phishing. Geralmente, uma campanha de phishing tenta fazer com que a vítima faça uma de duas coisas:

Entregue informações confidenciais

Essas mensagens visam induzir o usuário a revelar dados importantes – geralmente um nome de usuário e senha que o invasor pode usar para violar um sistema ou conta. Dessa forma, a versão clássica desse esquema envolve o envio de um e-mail personalizado para parecer uma mensagem de um grande banco; ao enviar a mensagem a milhões de pessoas, os atacantes garantem que pelo menos alguns dos destinatários serão clientes desse banco. A vítima clica em um link na mensagem e é direcionada para um site mal-intencionado, projetado para se parecer com a página do banco, e, em seguida, digitar seu nome de usuário e senha. Dessa forma, o atacante agora pode acessar a conta da vítima.

Faça o download de um malware

Como muitos spams, esses tipos de e-mails de phishing visam levar a vítima a infectar seu próprio computador com malware. Freqüentemente, as mensagens são “segmentadas por software”. Portanto, elas podem ser enviadas para um funcionário de RH com um anexo que parece ser o currículo de um candidato a emprego, por exemplo. Esses anexos geralmente são arquivos .zip ou documentos do Microsoft Office com código incorporado malicioso. A forma mais comum de código malicioso é o ransomware – em 2017, estimou-se que 93% dos e-mails de phishing continham anexos de ransomware.

Segmentando e-mails de phishing

Também existem várias maneiras diferentes de segmentar e-mails de phishing. Como observamos, às vezes eles não são direcionados. Dessa forma, e-mails são enviados para milhões de vítimas em potencial para tentar induzi-las a fazer login em versões falsas de sites muito populares. Outras vezes, os invasores podem enviar e-mails “direcionados” a alguém que desempenha um papel específico em uma organização, mesmo que não saibam nada sobre eles pessoalmente.

Mas alguns ataques de phishing visam obter informações de login ou infectar computadores de pessoas específicas. Portanto, os atacantes dedicam muito mais energia para enganar as vítimas, que foram selecionadas porque as recompensas em potencial são bastante altas.

Spear phishing

Quando os atacantes tentam criar uma mensagem para atrair um indivíduo específico, isso é chamado de spear phishing. (A “imagem” é de um pescador apontando para um peixe específico, em vez de apenas lançar um anzol na água para ver quem morde). Os phishers identificam seus alvos (às vezes usando informações em sites como o LinkedIn) e usam endereços falsificados para enviar e-mails que pode parecer plausível que eles vêm de colegas de trabalho. Por exemplo, ele pode atacar alguém do departamento financeiro e fingir ser o gerente da vítima solicitando uma grande transferência bancária em pouco tempo.

Whaling

O phishing de Whaling, ou “baleia”, é uma forma de spear phishing destinada a grandes peixes – CEOs ou outros alvos de alto valor. Muitos desses golpes têm como alvo os membros do conselho da empresa, que são considerados particularmente vulneráveis: eles têm muita autoridade dentro da empresa, mas como não são funcionários em período integral, costumam usar endereços de e-mail pessoais para correspondência relacionada a negócios, o que não possui as proteções oferecidas pelo e-mail corporativo.

A coleta de informações suficientes para enganar um alvo realmente de alto valor pode levar tempo, mas pode ter um retorno surpreendentemente alto. Em 2008, os cibercriminosos atacaram os CEOs corporativos com e-mails que alegavam ter intimações do FBI anexadas. De fato, eles baixaram keyloggers nos computadores dos executivos – e a taxa de sucesso dos golpistas foi de 10%, capturando quase 2.000 vítimas.

Outros tipos de phishing incluem clone phishing, vishing , snowshoeing.

Por que esse tipo de “golpe” aumenta durante uma crise?

Os criminosos confiam no engano e na criação de um senso de urgência para obter sucesso com suas campanhas de phishing. Portanto, crises como a pandemia de coronavírus dão a esses criminosos uma grande oportunidade de atrair as vítimas e a morderem a isca de phishing.

Durante uma crise, as pessoas estão no limite. Eles querem informações e estão buscando orientação de seus empregadores, do governo e de outras autoridades relevantes. Um e-mail que pareça ser de uma dessas entidades e prometa novas informações ou instrua os destinatários a concluir uma tarefa rapidamente provavelmente receberá menos escrutínio do que antes da crise. Um clique impulsivo mais tarde e o dispositivo da vítima está infectado ou a conta está comprometida.

A captura de tela a seguir é uma campanha de phishing descoberta pelo Mimecast que tenta roubar credenciais de login da conta do Microsoft OneDrive da vítima. O invasor sabia que, com mais pessoas trabalhando em casa, o compartilhamento de documentos via OneDrive seria comum.

As próximas duas telas são de campanhas de phishing identificadas pelo Proofpoint. O primeiro pede às vítimas que carreguem um aplicativo no dispositivo para “executar simulações da cura” para o COVID-19. O aplicativo, é claramente um malware. O segundo parece ser da Agência de Saúde Pública do Canadá e pede aos destinatários que cliquem em um link para ler uma carta importante. Dessa forma, o link vai para um documento malicioso.

Como evitar o phishing?

A melhor maneira de aprender a identificar e-mails de phishing é estudar exemplos capturados na internet. Dessa forma, vários exemplos podem ser encontrados em um site mantido pelo departamento de serviços de tecnologia da Universidade de Lehigh, onde eles mantêm uma galeria de e-mails de phishing recentes recebidos por estudantes e funcionários.

Além disso, também existem várias etapas que você pode seguir e as atitudes que deve seguir para impedir que você se torne uma estatística de phishing, incluindo:

• Sempre verifique a ortografia dos URLs nos links de e-mail antes de clicar ou inserir informações confidenciais;
• Cuidado com os redirecionamentos de URL, onde você é enviado sutilmente para outro site com design idêntico;
• Se você receber um e-mail de uma fonte que você conhece, mas parece suspeito, entre em contato com essa fonte com um novo e-mail, em vez de apenas responder;
• Não publique dados pessoais, como seu aniversário, planos de férias ou seu endereço ou número de telefone, publicamente nas mídias sociais.

Se você trabalha no departamento de segurança de TI da sua empresa, pode implementar medidas proativas para proteger a organização, incluindo:

• Email de entrada “sandboxing”, verificando a segurança de cada link em que um usuário clica;
• Inspecionando e analisando o tráfego da Web;
• Teste sua organização com caneta para encontrar pontos fracos e usar os resultados para educar os funcionários;
• Recompensar o bom comportamento, talvez apresentando um “problema do dia” se alguém detectar um e-mail de phishing.

Perguntas Frequentes:

Fonte: CSO

Gostou? O que achou? Entendeu o que é phishing? Deixe seu comentário. Além disso, não se esqueça de entrar no nosso grupo do Telegram. É só clicar em “Canal do Telegram” que está localizado no canto superior direito da página!