0
0
Você conhece sua lança phishing e vishing de sua caça à baleia e clone phishing? Explicamos como reconhecer cada tipo de ameaça.
Cada violação de dados e ataques on-line parecem envolver algum tipo de tentativa de phishing para roubar credenciais de senha, para lançar transações fraudulentas ou para enganar alguém para baixar malware. De fato, o Relatório de Investigações de Violação de Dados 2020 da Verizon conclui que o phishing é a principal ação de ameaça associada a violações.
As empresas regularmente lembram os usuários a ter cuidado com os ataques de phishing,mas muitos usuários realmente não sabem como reconhecê-los. E os humanos tendem a ser ruins em reconhecer golpes.
De acordo com o relatório State of the Phish 2020 da Proofpoint, 65% das organizações dos EUA sofreram um ataque de phishing bem-sucedido em 2019. Isso fala tanto da sofisticação dos atacantes quanto da necessidade de um treinamento igualmente sofisticado de conscientização de segurança. Adicione o fato de que nem todos os golpes de phishing funcionam da mesma maneira — alguns são explosões de e-mail genéricas, enquanto outros são cuidadosamente criados para atingir um tipo muito específico de pessoa — e fica mais difícil treinar os usuários para saber quando uma mensagem é suspeita.
Vamos olhar para os diferentes tipos de ataques de phishing e como reconhecê-los.
Phishing: E-mails do mercado de massa
A forma mais comum de phishing é o tipo geral, enviado em massa, onde alguém envia um e-mail fingindo ser outra pessoa e tenta enganar o destinatário em fazer algo, geralmente fazendo login em um site ou baixando malware. Os ataques frequentemente dependem de falsificação de e-mails, onde o cabeçalho de e-mail — o de campo — é forjado para fazer a mensagem parecer como se fosse enviada por um remetente confiável.
No entanto, os ataques de phishing nem sempre se parecem com um e-mail de notificação de entrega do UPS, uma mensagem de aviso de PayPal sobre senhas que expiram ou um e-mail do Office 365 sobre cotas de armazenamento. Alguns ataques são criados para atingir especificamente organizações e indivíduos, e outros dependem de outros métodos além do e-mail.
Phishing de lança: Indo atrás de alvos específicos
Ataques de phishing obtêm seu nome a partir da noção de que os fraudadores estão pescando vítimas aleatórias usando e-mails falsos ou fraudulentos como isca. Ataques de phishing de lança estendem a analogia de pesca, pois os atacantes têm como alvo especificamente vítimas e organizações de alto valor. Em vez de tentar obter credenciais bancárias para 1.000 consumidores, o invasor pode achar mais lucrativo atingir um punhado de empresas. Um atacante do estado-nação pode ter como alvo um funcionário que trabalha para outra agência do governo, ou um funcionário do governo, para roubar segredos de Estado.
Os ataques de phishing de lança são extremamente bem sucedidos porque os atacantes gastam muito tempo elaborando informações específicas para o destinatário, como fazer referência a uma conferência que o destinatário pode ter apenas assistido ou enviado um anexo malicioso onde o nome de arquivo faz referência a um tópico em que o destinatário está interessado.
Em uma campanha de phishing em 2017, o Grupo 74 (também conhecido como Sofact, APT28, Fancy Bear) teve como alvo profissionais de cibersegurança com um e-mail fingindo estar relacionado à conferência dos EUA de Conflitos Cibernéticos, um evento organizado pelo Instituto Cibernético do Exército da Academia Militar dos Estados Unidos, pela Academia Militar Cooperativa de Ciberdefesa da OTAN e pelo Centro de Excelência em Defesa Cibernética Cooperativa da OTAN. Embora o CyCon seja uma conferência real, o anexo era na verdade um documento contendo uma macro visual básica maliciosa para aplicativos (VBA) que baixaria e executaria malware de reconhecimento chamado Seduploader.
Baleeiro: Indo atrás do grande
Vítimas diferentes, dias de pagamento diferentes. Um ataque de phishing especificamente direcionado aos principais executivos de uma empresa é chamado de caça à baleia, já que a vítima é considerada de alto valor, e as informações roubadas serão mais valiosas do que o que um funcionário comum pode oferecer. As credenciais de conta pertencentes a um CEO abrirão mais portas do que um funcionário de nível básico. O objetivo é roubar dados, informações dos funcionários e dinheiro.
A caça à baleia também requer pesquisas adicionais porque o agressor precisa saber com quem a vítima pretendida se comunica e o tipo de discussões que eles têm. Exemplos incluem referências a reclamações de clientes, intimações legais ou até mesmo um problema na suíte executiva. Os atacantes normalmente começam com engenharia social para coletar informações sobre a vítima e a empresa antes de elaborar a mensagem de phishing que será usada no ataque à baleia.
Compromisso de e-mail empresarial (BEC): Fingindo ser o CEO
Além das campanhas gerais de phishing distribuídas em massa, os criminosos têm como alvo indivíduos-chave nos departamentos financeiros e contábeis por meio de golpes de compromisso de e-mail de negócios (BEC) e fraude de e-mail de CEO. Se passando por agentes financeiros e CEOs, esses criminosos tentam enganar as vítimas para iniciar transferências de dinheiro para contas não autorizadas.
Normalmente, os atacantes comprometem a conta de e-mail de um executivo sênior ou um oficial financeiro explorando uma infecção existente ou através de um ataque de phishing de lança. O atacante espreita e monitora a atividade de e-mail do executivo por um período de tempo para aprender sobre processos e procedimentos dentro da empresa. O ataque real toma a forma de um e-mail falso que parece ter vindo da conta do executivo comprometida sendo enviada para alguém que é um destinatário regular. O e-mail parece ser importante e urgente, e solicita que o destinatário envie uma transferência bancária para uma conta bancária externa ou desconhecida. O dinheiro finalmente cai na conta bancária do agressor.
De acordo com o Relatório de Tendências de Atividade de Phishing do Grupo de Trabalho Anti-Phishing para o 2º trimestre de 2020, “A perda média de transferência bancária dos ataques do Business Email Compromise (BEC) está aumentando: a tentativa média de transferência bancária no segundo trimestre de 2020 foi de US$ 80.183.”
Phishing clone: Quando as cópias são tão eficazes quanto
O phishing clone requer que o invasor crie uma réplica quase idêntica de uma mensagem legítima para enganar a vítima a pensar que é real. O e-mail é enviado de um endereço semelhante ao remetente legítimo, e o corpo da mensagem parece o mesmo que uma mensagem anterior. A única diferença é que o anexo ou o link da mensagem foi trocado por um malicioso. O agressor pode dizer algo na linha de ter que ressarender o original, ou uma versão atualizada, para explicar por que a vítima estava recebendo a mensagem “mesma” novamente.
Este ataque é baseado em uma mensagem anteriormente vista e legítima, tornando mais provável que os usuários caiam no ataque. Um invasor que já infectou um usuário pode usar essa técnica contra outra pessoa que também recebeu a mensagem que está sendo clonada. Em outra variação, o invasor pode criar um site clonado com um domínio falsificado para enganar a vítima.
Vishing: Phishing pelo telefone
Vishing significa “phishing de voz” e isso implica o uso do telefone. Normalmente, a vítima recebe uma ligação com uma mensagem de voz disfarçada de comunicação de uma instituição financeira. Por exemplo, a mensagem pode pedir ao destinatário para ligar para um número e inserir suas informações de conta ou PIN para segurança ou outros fins oficiais. No entanto, o número de telefone toca diretamente para o invasor através de um serviço de voz sobre IP.
Em um golpe sofisticado em 2019, os criminosos ligaram para as vítimas fingindo ser suporte técnico da Apple e fornecendo aos usuários um número para ligar para resolver o “problema de segurança”. Como o velho golpe de suporte técnico do Windows, esses golpes se aproveitaram dos medos dos usuários de seus dispositivos serem hackeados.
Smishing: Phishing via mensagem de texto
Smishing, um portmanteau de “phishing” e “SMS”, este último sendo o protocolo usado pela maioria dos serviços de mensagens de texto de telefone, é um ataque cibernético que usa mensagens de texto enganosas para enganar as vítimas. O objetivo é enganá-lo a acreditar que uma mensagem chegou de uma pessoa ou organização confiável e, em seguida, convencê-lo a tomar medidas que dão ao invasor informações exploráveis (como credenciais de login de conta bancária, por exemplo) ou acesso ao seu dispositivo móvel.
Smishing está em ascensão porque as pessoas são mais propensas a ler e responder a mensagens de texto do que e-mails: 98% das mensagens de texto são lidas e 45% são respondidas,enquanto os números equivalentes para e-mail são 20% e 6%, respectivamente. E os usuários são muitas vezes menos atentos a mensagens suspeitas em seus telefones do que em seus computadores, e seus dispositivos pessoais geralmente não têm o tipo de segurança disponível em PCs corporativos.
Snowshoeing: Espalhando mensagens venenosas
Snowshoeing, ou spam “hit-and-run”, exige que os invasores empurrem mensagens através de vários domínios e endereços IP. Cada endereço IP envia um baixo volume de mensagens, então as tecnologias de filtragem de spam baseadas em reputação ou volume não podem reconhecer e bloquear mensagens maliciosas imediatamente. Algumas das mensagens chegam às caixas de entrada de e-mail antes que os filtros aprendam a bloqueá-las.
As campanhas de chuva de granizo funcionam da mesma forma que snowshoe, exceto que as mensagens são enviadas em um período de tempo extremamente curto. Alguns ataques de chuva de granizo terminam assim como as ferramentas antisspam pegam e atualizam os filtros para bloquear mensagens futuras, mas os atacantes já passaram para a próxima campanha.
Aprenda a reconhecer diferentes tipos de phishing
Os usuários não são bons em entender o impacto de cair em um ataque de phishing. Um usuário razoavelmente experiente pode ser capaz de avaliar o risco de clicar em um link em um e-mail, pois isso poderia resultar em um download de malware ou mensagens de golpe de acompanhamento pedindo dinheiro. No entanto, um usuário ingênuo pode pensar que nada aconteceria, ou acabar com anúncios de spam e pop-ups. Apenas os usuários mais experientes podem estimar os danos potenciais causados pelo roubo de credenciais e comprometimento da conta. Essa lacuna de avaliação de risco torna mais difícil para os usuários entenderem a seriedade de reconhecer mensagens maliciosas.
As organizações precisam considerar as campanhas de conscientização interna existentes e garantir que os funcionários recebam as ferramentas para reconhecer diferentes tipos de ataques. As organizações também precisam reforçar as defesas de segurança, porque algumas das ferramentas tradicionais de segurança de e-mail — como filtros de spam — não são suficientes contra alguns tipos de phishing.
Nota do editor: Este artigo, publicado originalmente em 14 de janeiro de 2019, foi atualizado para refletir tendências recentes.
FONTE: CSO ONLINE