0
0
Alguns cibercriminosos são motivados por ideais políticos, outros por malícia ou travessuras, mas a maioria só está interessada em dinheiro frio e duro. Para garantir que seus esforços criminosos sejam lucrativos, eles precisam equilibrar o dia de pagamento potencial com o tempo, os recursos e o risco necessários.
Não é de admirar, então, que tantos usem phishing como seu método de ataque padrão. E-mails maliciosos podem ser usados para alcançar muitos alvos com relativa facilidade, e os criminosos podem comprar kits de phishing prontos que reúnem tudo o que precisam para uma campanha lucrativa.
Depois de analisar três meses de tráfego de e-mail de phishing, descobrimos que a maioria dos ataques segue o dinheiro para grandes empresas de tecnologia ou financeiras líderes. Facebook, Apple e Amazon foram as marcas de tecnologia mais populares sendo falsificadas em URLs de phishing. No lado financeiro, Charles Schwab foi de longe o alvo mais popular e foi a URL da marca mais usada no geral, respondendo por 13,5% de todos os casos. Chase Bank – uma subsidiária americana da JP Morgan Chase & Co – RBC Royal Bank e Wells Fargo também foram amplamente utilizados em URLs de phishing.
Nossa investigação descobriu que Chase recebeu um nível crescente de atenção de criminosos cibernéticos no último ano, então mergulhamos mais profundamente nas táticas que estão sendo usadas para atingir os clientes do banco.
A mudança para o celular
Uma das tendências mais proeminentes aparentes em nossa investigação foi o crescente foco em dispositivos móveis como parte de ataques de phishing. Mensagens de texto SMS, WhatsApp e outros serviços de mensagens móveis são cada vez mais usados para lançar ataques.
Os atacantes estão adotando esses métodos em resposta a soluções mais fortes de segurança de e-mail. É menos provável que o dispositivo móvel médio esteja bem protegido contra phishing em comparação com um endpoint de desktop. Mesmo que o dispositivo móvel tenha um aplicativo de e-mail comercial, canais como SMS e WhatsApp ignorarão qualquer proteção antiphishing que possa ter.
Os atores de ameaças também podem misturar e-mail e mensagens móveis em um único ataque, por exemplo, enviar um e-mail de phishing que inclui um código QR que deve ser digitalizado por um smartphone, pulando assim o ataque para o terminal móvel. Vimos um aumento nos ataques baseados em QR à medida que a tecnologia relativamente negligenciada se tornou mais popular durante a pandemia. Esses ataques são novamente eficazes para evitar as ferramentas tradicionais de segurança de e-mail, pois o código QR em si não é um ativo malicioso e seu destino de link não pode ser lido por tecnologias de detecção otimizadas para URLs de texto e assinaturas de vírus.
Ataques de phishing baseados em dispositivos móveis também são mais difíceis de identificar devido à tela menor e ao layout simplificado dos dispositivos móveis, agravando a falta de soluções de segurança no celular.
Como kits de phishing significam que qualquer um pode phishing como um profissional
Não só as abordagens de phishing estão evoluindo continuamente para combater soluções de segurança de e-mail, mas até mesmo criminosos não técnicos também podem facilmente aproveitar novas técnicas graças a kits de phishing. Espelhando pacotes de software prontos para uso usados por empresas legítimas, esses kits fornecem uma coleção de ferramentas que permitem que possíveis criminosos criem e lancem rapidamente suas próprias campanhas de phishing.
Amplamente disponíveis na dark web, esses kits geralmente incluem modelos de e-mail, gráficos e scripts, juntamente com uma interface simples para gerenciar o ataque. Os criminosos também podem facilmente comprar bancos de dados de possíveis endereços de e-mail de destino, provavelmente provenientes de violações de dados anteriores.
Nossa análise descobriu que esses kits geralmente são altamente sofisticados, configurados para lançar campanhas que coletarão detalhes do cartão de crédito, números de previdência social e outras informações pessoais, bem como o alvo padrão das credenciais de login. A comunidade criminosa também desenvolveu suas técnicas para combater a autenticação multifatorial, com alguns kits fornecendo a capacidade de capturar códigos de autenticação de uso único.
Um dos kits mais proeminentes que examinamos foi o Chase XBATLI, que está disponível há algum tempo, mas tem visto um aumento no uso na segmentação de clientes Chase e Amazon. O kit permite que os criminosos criem sua própria página de phishing imitando o banco, após o que entram em contato com os clientes e os solicitam a atualizar seus detalhes.
Solicita-se às vítimas que insiram suas credenciais de login e confirmem suas informações pessoais e financeiras. Isso garante que os perpetradores possam não apenas acessar a conta da vítima, mas também fornecer outras informações que podem ser usadas para fraude ou vendidas na dark web. Como toque final, o kit XBALTI redireciona o alvo para a landing page genuína do Chase no final, reforçando o verniz da legitimidade.
O XBALTI e outros kits de phishing que analisamos nos últimos meses também empregaram táticas evasivas, por exemplo, usando serviços de domínio dinâmicos como o Duck DNS para alterar frequentemente o destino da URL. Isso permite que eles usem continuamente a URL, mesmo que o servidor web esteja retirado ou colocado na lista negra.
Como as empresas podem se defender contra ataques de phishing?
A maioria dos ataques ainda depende do mesmo punhado de táticas porque continuam trabalhando.
Em primeiro lugar, sempre assuma que, se algo parece suspeito, provavelmente é falso. Os e-mails de phishing passaram em grande parte das mensagens distorcidas e cheias de erros do passado, mas ainda haverá coisas que os entregam. Inconsistências em torno do idioma e design devem ser sinalizadores vermelhos, e os usuários devem sempre verificar se o nome de exibição do remetente corresponde ao endereço de e-mail. URLs também devem ser verificadas antes de serem abertas, e as informações de contato da empresa podem ser rapidamente confirmadas por meio de sites oficiais e aplicativos móveis, ou simplesmente através de mecanismos de pesquisa.
As empresas também devem apoiar seus trabalhadores e clientes, fornecendo um canal acessível para denunciar phishing. Os clientes devem ser capazes de relatar suspeitas facilmente à marca, e os funcionários devem ter uma linha direta para sua equipe de segurança de TI, idealmente por meio de uma solução especializada anti-phishing e remediação.
À medida que os criminosos continuam a buscar o phishing como o caminho mais acessível e lucrativo para o cibercrime, indivíduos e empresas precisam acompanhar as últimas tendências, além de manter os olhos abertos para os mesmos truques de sempre.
FONTE: HELPNET SECURITY