O primeiro uso registrado do termo “phishing” foi em 1996, nos primeiros dias da web. Então, por que esse método de fraude online de 20 anos ou mais ainda é bastante aplicado hoje? Por uma razão muito simples: funciona de forma muito eficaz. É um dos métodos mais confiáveis que um hacker pode usar para acessar contas digitais pessoais ou empresariais. O FBI estimou que o total de prejuízos causados apenas por e-mails comerciais – uma variante altamente direcionada de phishing – ultrapassou US$ 12 bilhões globalmente.
O phishing tornou-se um processo industrializado. Estima-se que cerca de um em cada 2.000 e-mails seja um e-mail de phishing, e mais de um milhão de sites falsos são criados todos os meses para tentar convencer os usuários a fornecer informações pessoais. Um estudo recente mostrou que 25% dos e-mails de phishing ignoram a segurança do Microsoft Office 365. Para os criminosos, é um jogo de números: basta distribuir e-mails e links suficientes para sites falsos e esperar que as pessoas caiam em suas armadilhas. E à medida que mais e mais transações são conduzidas por meio de dispositivos móveis, os usuários móveis estão sendo cada vez mais visados - com sucesso crescente.
Existem várias razões para o aumento dos ataques de phishing em dispositivos móveis. Primeiro, a ergonomia e o tamanho de tela menor dos celulares tornam mais difícil para os usuários inspecionarem um URL enviado por e-mail no qual estão sendo solicitados a clicar – e mais fácil para os golpistas atraírem visitantes involuntários para seus sites falsos. Em segundo lugar, os celulares geralmente são usados para se conectar a várias contas de e-mail, permitindo que os hackers segmentem tanto as contas corporativas quanto as pessoais. E, finalmente, os celulares também podem ser alvo de textos de phishing, e também por aplicativos maliciosos, dando ao atacante uma variedade de métodos para tentar enganar as vítimas. Vamos dar uma olhada mais de perto em cada um desses três principais vetores de phishing.
Spear phishing por e-mail
Tentativas de phishing por e-mail podem segmentar usuários em geral e usuários móveis corporativos. Os ataques de spear phishing aos consumidores geralmente envolvem bancos de dados roubados de nomes de consumidores, números de telefone e contas para criar mensagens muito direcionadas e convincentes. Por exemplo, os hackers usarão um banco de dados de credenciais roubado de uma violação grave – como as recentes violações na Equifax ou no Yahoo! – para enviar mensagens direcionadas aos usuários móveis usando o nome da marca ou informações pessoais sobre o destinatário.
Ataques contra usuários corporativos envolvem a criação de um perfil de sites corporativos e perfis do LinkedIn, Facebook e Twitter, e a criação de e-mails direcionados que pretendem ser de um executivo sênior, solicitando um pagamento ou serviço urgente e direcionando a meta para uma aparentemente legítima, mas fraudulenta transação.
Phishing por SMS
O chamado “smishing” – phishing SMS, texto e iMessage – é um vetor cada vez mais comum para a entrega de URLs maliciosas para usuários de dispositivos móveis. Novamente, essas são diversas variedades, desde ataques em grande escala que se assemelham a ataques de e-mail de spam, que incorporam truques como redefinições de senhas ou atualizações de segurança de contas, até ataques muito mais direcionados e personalizados.
Mais uma vez, existem muitas variedades que devemos ter ciência. O phishing de comunicação criptografada aproveita a natureza criptografada do WhatsApp, do Telegram e do Signal para enviar mensagens convincentes que alegam ser do suporte ao cliente ou de um serviço on-line conhecido, que não podem ser sinalizadas pela empresa porque são criptografadas.
Proteção de última geração contra o phishing
Para proteger indivíduos e organizações contra ataques de phishing, é necessária uma abordagem de quatro estágios. A primeira linha de defesa é uma proteção anti-phishing robusta e baseada em servidor. Isso deve incorporar filtragem anti-spam, detecção de phishing, detecção de phishing BEC e detecção de spear phishing.
Segundo, a proteção de URL baseada em dispositivo é uma necessidade, uma vez que a grande maioria dos ataques de phishing direciona a vítima a uma URL que fornece conteúdo convincente para induzir o usuário a divulgar credenciais ou instalar aplicativos maliciosos. Proteção de URL que abrange não apenas uma conta de e-mail corporativa, mas também contas de e-mail pessoais, SMS / texto / iMessage e o conteúdo que os aplicativos baixam é crucial.
O terceiro estágio é o perfil de segurança baseado em dispositivo, a fim de detectar se os dispositivos foram proposital ou inadvertidamente vulneráveis a ataques direcionados ou interceptação de tráfego. Isso precisa examinar as versões do sistema operacional e os níveis de patch, os perfis de configuração e os certificados instalados e verificar se há aplicativos maliciosos.
Finalmente – e esse elemento é freqüentemente negligenciado – a educação do usuário é essencial. A natureza dos ataques de phishing requer usuários inconscientes ou sem instrução em posse do dispositivo – até mesmo a educação técnica mais sofisticada pode ser desfeita em um segundo por um usuário descuidado. E à medida que os ataques de phishing se tornam mais sofisticados, mobilizando sofisticadas técnicas de engenharia social para enganar indivíduos mais experientes, a educação dos usuários nunca foi tão importante.
Forças de trabalho precisam ser instruídas para desconfiar de qualquer e-mail que seja desconhecido, para evitar a abertura de qualquer anexo que seja conhecido ou solicitado, para não fornecer qualquer informação pessoal por e-mail ou texto, e ter extremo cuidado ao receber notificações inesperadas de pagamento via e-mail. e-mail ou solicitações de contatos de mídia social que eles não reconhecem. Eles também precisam ser capazes de identificar sites potencialmente falsos e saber fechar imediatamente o navegador se um URL direcionar para um site completamente diferente.
* Claudio Bannwart é Country Manager da Check Point no Brasil
