Golpes de phishing: como identificá-los e evitá-los

Publicados: 2022-09-20
OBTENHA O PLANO DE PROTEÇÃO DE ISENÇÃO CERTO DISPONÍVEL PARA VOCÊ

O phishing é uma das ameaças mais antigas de crimes cibernéticos, existindo desde os primórdios da Internet.

No entanto, o golpe de phishing também é uma das maiores ameaças de segurança cibernética enfrentadas por qualquer organização, e é único no fato de ter como alvo pessoas em vez de software ou hardware.

Ou seja, mesmo que você tenha investido na infraestrutura de segurança cibernética mais cara, sua organização pode estar em risco se um funcionário vulnerável for comprometido por um esquema de phishing. Esta é uma das principais razões pelas quais o phishing é tão perigoso.

Infelizmente, o perigo de phishing aumentou tanto em qualidade quanto em quantidade nos últimos anos. De acordo com o relatório de tendências de atividade de phishing do Anti-Phishing Working Group (APWG), haverá 1.025.968 ataques de phishing até março de 2022, um aumento de 15% em relação ao quarto trimestre de 2021. A sofisticação e a variedade de técnicas usadas em cada ataque também aumentaram em anos recentes.

Neste artigo, aprenderemos juntos sobre o que é phishing, como identificá-los e como as organizações podem proteger seus funcionários e clientes contra ataques de phishing com mais eficiência.

Ao final deste guia, você terá aprendido sobre:

  • O que é um golpe de phishing?
  • Diferentes tipos de phishing em 2022
  • Como reconhecer tentativas de phishing
  • Como proteger sua empresa contra phishing
  • Como denunciar tentativas de phishing bem-sucedidas e malsucedidas e mitigar os danos

Vamos começar este guia imediatamente.

O que é um golpe de phishing?

Phishing é um tipo de crime cibernético em que o criminoso entra em contato com uma vítima (ou vítimas) alvo enquanto se faz passar por uma pessoa famosa ou uma instituição legítima para atrair essa vítima a fornecer informações confidenciais, confidenciais e/ou valiosas, como informações de identificação pessoal (PII) , dados bancários, informações de cartão de crédito, credenciais de conta e muito mais.

O nome “phishing” é análogo à pesca, referindo-se a como o cibercrime “pesca” credenciais, senhas e outras informações confidenciais de suas vítimas.

A palavra phishing foi usada pela primeira vez por volta de 1996 por hackers roubando as então populares contas da AOL (America Online). Hackers no final da década de 1990 costumavam usar a letra “ph” para substituir “f” (ou seja, “phreaks”), daí o nome “phishing”.

Tradicionalmente, o phishing era realizado por e-mails, mas agora o phishing pode acontecer em vários meios de comunicação diferentes, desde telefonemas, mensagens de texto, comentários de mídia social, DMs de mídia social, comentários de blog e muito mais.

Por que os cibercriminosos realizam phishing?

A resposta curta é monetizar informações roubadas.

Tal como acontece com a maioria das outras atividades criminosas (incluindo crimes cibernéticos), a maioria dos ataques de phishing tem motivações financeiras por trás deles.

Há, no entanto, casos em que a motivação não é financeira, como vingança pessoal ou motivos políticos (ou seja, campanhas negras), mas são relativamente raros.

Então, como os cibercriminosos podem ganhar dinheiro com phishing? Compreender suas técnicas de monetização pode ajudá-lo a reconhecer tentativas de phishing, e aqui estão alguns exemplos:

  • Roubar as informações do seu cartão de crédito e, em seguida, usar os detalhes do cartão de crédito para comprar mercadorias na Internet.
  • Extorsão, por exemplo, quando os cibercriminosos extraem com sucesso informações confidenciais e, em seguida, extorquem a vítima para pagar algum dinheiro ou então divulgarão as informações ao público.
  • Vender informações confidenciais/pessoais para outras partes (ou seja, seus concorrentes, outros hackers). Uma prática comum na dark web.
  • Usar suas informações para lançar outro golpe/atividade cibercriminosa, por exemplo, entrar em contato com seus amigos usando sua conta para enganá-los.

A anatomia de um ataque de phishing

Phishing é uma forma de engenharia social, que é o termo genérico usado para se referir a uma ampla gama de atividades criminosas alcançadas por meio de interações humanas.

O phishing depende da manipulação psicológica para induzir as vítimas a divulgar suas informações confidenciais ou cometer erros de segurança.

Embora os cibercriminosos possam usar diferentes técnicas e esquemas em seus ataques de phishing, normalmente eles seguirão estes padrões:

  1. O perpetrador primeiro pesquisa a vítima alvo e/ou o ambiente em que está para coletar as informações necessárias, como possíveis vulnerabilidades de segurança e outras fraquezas.
  2. O agressor inicia o contato tentando ganhar a confiança da vítima.
  3. O agressor quer:
    1. Oferece algo valioso para acionar o senso de urgência da vítima.
    2. Incutir medo na vítima alvo, geralmente com ameaças fictícias (ou seja, “sua conta será excluída em breve e precisaremos verificar sua identidade”).
  4. A vítima é induzida a divulgar suas informações pessoais ou credenciais.

Por exemplo:

  1. O criminoso tem como alvo os usuários do Gmail como vítimas e pesquisou a plataforma do Gmail e suas políticas.
  2. O criminoso enviou um e-mail aos usuários do Gmail com um endereço de e-mail semelhante ao endereço oficial do Google (por exemplo, com o nome de domínio “Google.biz”).
  3. O e-mail alerta os usuários sobre uma violação de política que exige ação imediata (ou seja, alteração de senha, alteração de pergunta de segurança etc.), e o e-mail incluirá um link para um site falso quase idêntico à página de login do Gmail.
  4. A vítima insere suas credenciais atuais na página de login falsa e suas credenciais são efetivamente enviadas ao invasor.

Este é apenas um exemplo de tantas técnicas e esquemas de phishing diferentes realizados por cibercriminosos diariamente. No entanto, podemos categorizar os ataques de phishing em vários tipos principais, que discutiremos a seguir.

Automatize sua proteção contra falsificação de identidade com a tecnologia alimentada por IA

Diferentes tipos de ataques de phishing

1. E-mail de phishing

O tipo mais básico de esquema de phishing, e como o nome sugere, envolve o envio de e-mails pelo criminoso enquanto se faz passar por uma marca ou pessoa conhecida.

O e-mail conterá um link para um site malicioso ou um anexo contendo malware que infectará o dispositivo do destinatário.

Como identificar:

Embora os cibercriminosos estejam cada vez mais sofisticados no lançamento de phishing por e-mail, geralmente você pode procurar os seguintes sinais:

  • Verifique o nome de domínio do endereço de e-mail do remetente e certifique-se de que é legítimo.
  • Se o e-mail contiver alguma informação de contato, cruze essa informação de contato com a do site da empresa de onde o e-mail afirma ser.
  • Evite clicar em links encurtados. Essa é uma técnica comum usada para enganar os Secure Email Gateways.
  • Verifique novamente todos os logotipos que pareçam legítimos e visualize o código-fonte. Eles tendem a conter atributos HTML maliciosos.
  • Suspeite razoavelmente quando um e-mail tiver muito pouco texto e apenas uma imagem/foto no corpo. A imagem pode ocultar códigos maliciosos.

2. Spear phishing

Spear phishing normalmente também usa e-mail como meio de comunicação principal, portanto, pode ser considerado uma variação do phishing por e-mail.

A principal diferença está na abordagem mais direcionada do spear phishing, geralmente visando uma única vítima (ou um pequeno grupo de vítimas).

O agressor primeiro realiza uma pesquisa completa da vítima alvo para coletar informações sobre a vítima, por exemplo, das mídias sociais, do site da empresa e assim por diante, e então direcionará essa vítima com um esquema personalizado, aproveitando as informações coletadas, como nomes reais ( do chefe da vítima ou gerente de HRD), números de telefone de trabalho, e assim por diante para ganhar a confiança da vítima.

Em última análise, porque a vítima acredita na identidade do golpista devido às informações válidas que usou, ela cai na armadilha do criminoso.

Como identificar:

Identificar um ataque de spear phishing pode ser mais desafiador devido à quantidade de pesquisas realizadas pelo agressor e às informações aparentemente válidas que eles usaram. No entanto, procure o seguinte:

  • Um e-mail alegando ser do seu chefe ou de alguém importante em sua empresa com arquivos ou documentos protegidos por senha que exigem que você insira seu nome de usuário e senha. Este é um esquema comum para roubar credenciais.
  • Em geral, fique atento a quaisquer solicitações que pareçam fora do comum, considerando a função do suposto remetente.
  • Outro esquema comum é ter links para documentos armazenados no Google Drive, Dropbox ou outros serviços de armazenamento baseados em nuvem. Esses links geralmente redirecionam você para um site malicioso.

3. Baleação

Outra variação da tática de spear phishing, whaling ou também frequentemente chamada de “fraude de CEO” envolve o perpetrador usando técnicas de inteligência de código aberto (OSINT) para encontrar o nome do CEO de uma organização ou membro de gerenciamento de alto nível e, em seguida, personificar essa pessoa usando um falso endereço de email.

O criminoso terá como alvo os funcionários da empresa, solicitando ao destinatário suas credenciais de conta, informações bancárias ou até mesmo solicitando ao destinatário uma transferência de dinheiro.

Como identificar:

  • Verifique novamente o endereço de e-mail do remetente, certifique-se de que vem do endereço de e-mail oficial da empresa. Um truque comum é alegar que o e-mail vem de seu endereço pessoal (ou seja, que eles não podem acessar seu e-mail de trabalho no momento).
  • Não hesite em confirmar com outras pessoas em sua empresa ou até mesmo dar à pessoa que o e-mail está alegando ser de uma ligação.
  • Tenha cuidado extra se o e-mail alegar ser de alguém da sua empresa que nunca fez nenhum contato antes.

4. Phishing HTTPS

Muitos de nós são treinados que os sites HTTPS são criptografados de ponta a ponta e, portanto, são seguros quando se trata de enviar informações e credenciais pessoais.

Muitos golpistas, no entanto, aproveitam esse conhecimento em suas tentativas de phishing, usando o protocolo HTTPS no site falso vinculado ao e-mail de phishing.

Como identificar:

  • Verifique se o link está usando hipertexto para ocultar a URL real
  • Verifique novamente se o link não está encurtado e todas as partes do URL são mostradas

5. Visor

Abreviação de “Voice Phishing”, e como o nome sugere, é uma tentativa de phishing que acontece por meio de uma ligação telefônica.

Normalmente, o perpetrador ligará durante um horário de pico, coincidindo com uma estação, período ou evento estressante, alegando ser de uma empresa estabelecida e criando um senso de urgência maior.

A ideia é que a ligação crie uma sensação de pânico, confundindo o destinatário a cometer erros de segurança e divulgar suas informações confidenciais.

Como identificar:

  • Suspeite razoavelmente se a chamada solicitar ações incomuns para o tipo de chamador, especialmente quando solicitar informações confidenciais ou pessoais.
  • Verifique novamente o número do chamador se estiver vindo de um local incomum ou bloqueado.
  • Use aplicativos móveis que permitem verificar a identidade da chamada recebida de números desconhecidos. Existem muitos desses aplicativos para dispositivos iOS e Android.
  • É melhor evitar atender chamadas de números desconhecidos durante momentos ou situações estressantes.

6. Smishing

Abreviação de “SMS Phishing”, é uma tentativa de phishing feita por meio de mensagens de texto (SMSs).

Normalmente, o criminoso enviará uma mensagem de texto alegando ser de organizações ou empresas estabelecidas, e a mensagem de texto incluirá um link contendo malware e/ou que o redirecionará para um site malicioso.

Como muitas pessoas tendem a ver as mensagens de texto como mais pessoais e “inofensivas”, o smishing pode pegar suas vítimas desprevenidas.

Como identificar:

  • Antes de clicar em qualquer link, verifique diretamente no site da empresa de onde a mensagem de texto está alegando ser se há alguma notificação relacionada às ações solicitadas pela mensagem de texto.
  • Não hesite em entrar em contato com o número listado no site legítimo da empresa e confirmar a legitimidade da mensagem de texto.
  • Revise o código de área e o número do remetente e compare-o com sua lista de contatos antes de clicar em qualquer link ou realizar qualquer uma das ações sugeridas.

7. Phishing de pescador

O phishing de pescador é um tipo específico de phishing direcionado a usuários de mídia social, envolvendo principalmente o perpetrador usando contas falsas de mídia social que se passam por empresas ou indivíduos conhecidos.

O phishing do pescador está aproveitando especialmente o fato de que as interações entre empresas e clientes nas mídias sociais estão se tornando mais frequentes e esperadas. O perpetrador se envolve com as vítimas-alvo por meio de notificações e DMs para induzi-las a cometer erros de segurança.

Como identificar:

  • Verifique a conta para um carrapato azul (conta verificada).
  • Desconfie de notificações que incluam links que possam redirecioná-lo para sites maliciosos.
  • Evite clicar em qualquer link em um DM vindo daqueles que raramente compartilham links (ou pessoas/contas que nunca enviaram mensagens para você), mesmo que o link pareça legítimo.
  • Se algum DM vier de pessoas que você conhece que raramente enviaram mensagens para você, verifique a conta, pois ela pode ser falsificada ou recém-criada

8. Pharming

Pharming é uma forma bastante avançada de phishing, com o nome sendo uma junção de “phishing” e “farming”.

Uma técnica comum de pharming envolve o perpetrador sequestrando um DNS para redirecionar os usuários que tentam acessar um site específico para um site falso.

Uma tentativa de pharming sofisticada pode ser muito difícil de detectar.

Como identificar:

  • Verifique o URL do site se estiver usando HTTP em vez de HTTPS
  • Procure inconsistências como erros de digitação, cores incompatíveis, designs inadequados, conteúdo fino etc., que possam significar um site falso.

Como proteger sua empresa contra phishing

Acima, aprendemos a reconhecer os principais tipos de técnicas de phishing e as etapas básicas para se proteger delas.

Nesta seção, também discutiremos algumas práticas recomendadas importantes a serem seguidas para proteger você e sua empresa contra vários ataques de phishing:

1. Eduque seus funcionários

Como o phishing é basicamente engenharia social , a primeira linha de defesa que você deve ter é garantir que seus funcionários tenham a educação e o treinamento necessários para reconhecer tentativas de phishing e proteger suas credenciais/informações confidenciais.

Torne o treinamento de conscientização de phishing parte de seu programa de integração de funcionários e atualize regularmente o treinamento para incluir metodologias e tendências mais recentes.

2. Exigir autenticação multifator

A exigência de autenticação multifator pode mitigar o risco de phishing bem-sucedido em situações em que seus funcionários são induzidos a divulgar suas credenciais.

Com a autenticação multifator, você exigirá que seus funcionários forneçam outra informação além da senha antes que eles possam fazer login em suas redes e aplicativos.

A informação secundária (ou mais) pode ser:

  • Algo que são: biométricos como identificação facial ou impressão digital
  • Algo que eles saibam: outra senha, PIN, resposta a perguntas de segurança, etc.
  • Algo que eles têm: um dispositivo para emparelhar, um cartão-chave, um dongle USB, etc.

3. Backup regular

Ataques de phishing bem-sucedidos podem causar infecção por malware, incluindo ransomware, o que pode fazer com que você perca o acesso a determinados arquivos/aplicativos e até mesmo uma falha completa do sistema.

Para mitigar esse risco, mantenha um backup de seus dados regularmente.

Recomendamos seguir os princípios de backup 3-2-1: 3 cópias de seus dados, em 2 mídias diferentes, 1 delas mantida fora do local.

Interromper a personificação da sua marca em ataques de phishing

Outra preocupação relacionada ao phishing é quando seu domínio ou nome de marca é usado por cibercriminosos como parte de seu esquema de phishing.

Embora não seja tecnicamente sua culpa, as vítimas de ataques de phishing podem culpar a marca que o golpista está se passando, causando um impacto negativo na reputação da marca.

Embora a prevenção de 100% dos cibercriminosos de se passarem pela sua marca possa ser muito difícil, se não impossível, há etapas que sua empresa pode tomar para mitigar o risco:

  • Use certificados SSL (HTTPS) em seu site. Dessa forma, quando um golpista quiser se passar pelo seu site, ele precisará obter um certificado SSL legítimo, além de um falso. Isso pode desencorajá-los.
  • Use protocolos como DKIM ou DMARC para adicionar verificação aos e-mails que sua empresa envia ou recebe. Isso pode impedir que terceiros enviem e-mails falsos usando seu nome de domínio, evitando efetivamente o phishing por e-mail.
  • Registre variações de seus nomes de domínio (diferentes TLDs, possíveis erros ortográficos etc.) para evitar que essas variações sejam usadas em tentativas de phishing.
  • Use o Red Points Domain Management para ajudar a proteger os nomes de domínio da sua empresa em tempo real. Os Red Points podem detectar efetivamente tentativas de phishing usando seu nome de domínio em muitas plataformas diferentes no piloto automático, não exigindo nenhuma intervenção manual. Os Red Points também podem ajudá-lo a derrubar sites falsos que se passam por falsos antes que eles tenham algum impacto negativo em sua reputação.

Qual é o próximo

Embora existam muitos tipos diferentes de ataques de phishing realizados por golpistas e cibercriminosos, todos os ataques de phishing têm os seguintes recursos comuns:

  • Criando senso de urgência: o perpetrador geralmente pede que você aja rápido, assustando-o com uma ameaça urgente fictícia ou atraindo-o com uma oferta por tempo limitado. Alguns esquemas de phishing até lhe dirão que você tem apenas alguns minutos para responder.
  • Bom demais para ser verdade: o phishing geralmente envolve ofertas e reivindicações atraentes e atraentes. Por exemplo, alegar que você ganhou um iPhone e pedir para você clicar em um link.
  • Remetente incomum: preste atenção extra ao URL do site e ao endereço de e-mail do remetente. Se o e-mail vier de alguém que você não reconhece ou se vir algo fora do comum, evite clicar em qualquer coisa.
  • Links suspeitos: não clique em nenhum link a menos que tenha 100% de certeza. Você pode passar o mouse sobre o link para verificar o URL real e verificar cuidadosamente se o URL é legítimo.
  • Anexos perigosos: nunca clique em nenhum anexo de um e-mail que você não tenha 100% de certeza. O anexo pode conter malware, ransomware ou outros vírus.

Embora não haja uma maneira única de evitar ataques de phishing, você pode usar uma combinação das dicas acima para evitá-los e mitigar os danos.

Também é crucial lembrar que, além de estabelecer uma forte infraestrutura de segurança cibernética e as melhores práticas, outro elemento crucial na prevenção de phishing é a educação . Quando se trata de phishing e outros esquemas de engenharia social, sua organização é tão segura quanto a pessoa menos experiente nela.