O que é phishing?

O phishing é um tipo de ataque de segurança cibernética durante o qual agentes mal-intencionados enviam mensagens fingindo ser uma pessoa ou entidade confiável. As mensagens de phishing manipulam o usuário, fazendo com que ele execute ações como instalar um arquivo malicioso, clicar em um link malicioso ou divulgar informações confidenciais, como credenciais de acesso.

O phishing é o tipo mais comum de engenharia social, que é um termo geral que descreve tentativas de manipular ou enganar usuários de computador. A engenharia social é um vetor de ameaça cada vez mais comum usado em quase todos os incidentes de segurança. Os ataques de engenharia social, como o phishing, geralmente são combinados com outras ameaças, como malware, injeção de código e ataques à rede.

Relatório da Forrester Wave for Email Security Harmony Email & Collaboration

Ataques phishing : estatísticas e exemplos

A Checkpoint Research divulgou recentemente seu Relatório de Cibersegurança Semestral 2023, que fornece dados sobre os ataques do phishing e outras grandes ameaças cibernéticas.

De acordo com o relatório, o ataque de phishing foi um dos métodos mais comuns de disseminação de malware. A ascensão da IA generativa elevou recentemente a ameaça de phishing, ajudando a eliminar os erros de digitação e gramaticais que tornaram os ataques de phishing anteriores mais fáceis de detectar.

O phishing também é uma técnica comum usada pelas principais variantes de malware. Por exemplo, o Qbot, o malware mais comum na primeira metade de 2023, é conhecido pelo uso de phishing como mecanismo de infecção.

Como funciona o phishing

O elemento básico de um ataque de phishing é uma mensagem enviada por e-mail, mídia social ou outro meio de comunicação eletrônica.

Um phisher pode usar recursos públicos, especialmente redes sociais, para coletar informações básicas sobre a experiência pessoal e profissional de sua vítima. Essas fontes são usadas para coletar informações como nome da vítima em potencial, cargo e endereço de e-mail, bem como interesses e atividades. O phisher pode então usar essas informações para criar uma mensagem falsa confiável.

Normalmente, os e-mails que a vítima recebe parecem vir de um contato ou organização conhecida. Os ataques são realizados por meio de anexos maliciosos ou links para sites maliciosos. Os atacantes geralmente criam sites falsos, que parecem pertencer a uma entidade confiável, como o banco, o local de trabalho ou a universidade da vítima. Por meio desses sites, os atacantes tentam coletar informações privadas, como nomes de usuário e senhas ou informações de pagamento.

Alguns e-mails de phishing podem ser identificados devido à má redação e ao uso inadequado de fontes, logotipos e layouts. No entanto, muitos cibercriminosos estão se tornando mais sofisticados na criação de mensagens com aparência autêntica e estão usando técnicas profissionais de marketing para testar e melhorar a eficácia de seus e-mails.

Técnicas comuns de phishing

phishingde e-mail

Os phishers usam uma variedade de técnicas para fazer com que seus ataques pareçam mais confiáveis para seus alvos e para atingir seus objetivos. Algumas técnicas comuns de phishing incluem:

Engenharia social: A engenharia social usa a psicologia para manipular os alvos dos ataques de phishing. Um phisher pode usar o engano, a coerção, o suborno ou outras técnicas para atingir seu objetivo.
Typosquatting: Os phishers podem usar domínios e URLs muito semelhantes aos de um domínio legítimo e confiável. Se o alvo não estiver prestando atenção suficiente, pode acreditar que o link é legítimo.
Falsificação de e-mail: um e-mail falsificado é projetado para que o nome de exibição do e-mail pertença a alguém em quem o destinatário confia. O campo do remetente em um e-mail é apenas de dados e está sob o controle do remetente. Os phishers usam esse fato para fazer com que os e-mails pareçam vir de contas de e-mail confiáveis.
Encurtamento de URL: Os encurtadores de links, como o bit.ly, ocultam o destino de destino de um URL. Os phishers usam isso para induzir o alvo a clicar em um link para uma página de phishing.
Redirecionamentos mal-intencionados: Os redirecionamentos são projetados para enviar um navegador para outra página se o URL original estiver indisponível, incorreto ou desatualizado. Os redirecionamentos mal-intencionados podem ser usados para enviar um usuário a uma página de phishing em vez de uma página legítima.
Links ocultos: os links podem estar ocultos em textos ou imagens aparentemente inofensivos. Se um usuário clicar acidentalmente no link oculto, ele será enviado para uma página de phishing.

5 tipos de ataques de phishing

#1. Phishing de e-mail

A maioria dos ataques de phishing é enviada por e-mail. Os invasores normalmente registram nomes de domínio falsos que imitam organizações reais e enviam milhares de solicitações comuns às vítimas.

Para domínios falsos, os invasores podem adicionar ou substituir caracteres (por exemplo, my-bank.com em vez de mybank.com), use subdomínios (por exemplo, mybank.host.com), ou use o nome da organização confiável como nome de usuário do e-mail (por exemplo, mybank@host.com).

Muitos e-mails de phishing usam um senso de urgência ou uma ameaça para fazer com que o usuário cumpra rapidamente o que foi solicitado, sem verificar a origem ou a autenticidade do e-mail.

As mensagens de phishing por e-mail têm um dos seguintes objetivos:

Fazendo com que o usuário clique em um link para um site malicioso a fim de instalar malware no dispositivo.
Fazer com que o usuário baixe um arquivo infectado e usá-lo para implantar malware.
Fazendo com que o usuário clique em um link para um site falso e envie dados pessoais.
Fazendo com que o usuário responda e forneça dados pessoais.

#2. Spear phishing

O Spear phishing inclui e-mails maliciosos enviados a pessoas específicas. Normalmente, o atacante já tem algumas ou todas as seguintes informações sobre a vítima:

Nome
Local de trabalho
Cargo
Endereço de email
Informações específicas sobre sua função
Colegas de confiança, familiares ou outros contatos e exemplos de sua escrita

Essas informações ajudam a aumentar a eficácia dos e-mails de phishing e a manipular as vítimas para que executem tarefas e atividades, como transferência de dinheiro.

#3. Caça à baleia

Os ataques de caça às baleias têm como alvo a gerência sênior e outras funções altamente privilegiadas. O objetivo final do whaling é o mesmo de outros tipos de ataques de phishing, mas a técnica costuma ser muito sutil. Funcionários seniores geralmente têm muitas informações em domínio público, e os atacantes podem usar essas informações para criar ataques altamente eficazes.

Normalmente, esses ataques não usam truques como URLs maliciosos e links falsos. Em vez disso, eles aproveitam mensagens altamente personalizadas usando informações que descobrem em suas pesquisas sobre a vítima. Por exemplo, os atacantes da caça às baleias geralmente usam declarações fiscais falsas para descobrir dados confidenciais sobre a vítima e usá-los para criar seu ataque.

#4. Pesca e pesca

Esse é um ataque de phishing que usa o telefone em vez de comunicação por escrito. A pesca envolve o envio de mensagens SMS fraudulentas, enquanto a pesca envolve conversas telefônicas.

Em um scam típico de phishing por voz, um invasor finge ser um investigador scam de uma empresa de cartão de crédito ou de um banco, informando às vítimas que sua conta foi violada. Os criminosos então pedem à vítima que forneça informações do cartão de pagamento, supostamente para verificar sua identidade ou transferir dinheiro para uma conta segura (que na verdade é do invasor).

O esquema de vishing também pode envolver chamadas telefônicas automatizadas que fingem ser de uma entidade confiável, solicitando que a vítima digite detalhes pessoais usando o teclado do telefone.

#5. Pescador de phishing

Esses ataques usam contas falsas de mídia social pertencentes a organizações conhecidas. O atacante usa um identificador de conta que imita uma organização legítima (por exemplo, “@pizzahutcustomercare”) e usa a mesma foto de perfil da conta real da empresa.

Os invasores aproveitam a tendência dos consumidores de fazer reclamações e solicitar assistência das marcas por meio dos canais de mídia social. Porém, em vez de entrar em contato com a marca real, o consumidor entra em contato com a conta social falsa do invasor.

Quando os invasores recebem tal solicitação, eles podem pedir ao cliente que forneça informações pessoais para que possam identificar o problema e responder adequadamente. Em outros casos, o invasor fornece um link para uma página falsa de suporte ao cliente, que na verdade é um site malicioso.

Quais são os sinais de phishing?

Ameaças ou senso de urgência

E-mails que ameaçam consequências negativas devem sempre ser tratados com ceticismo. Outra estratégia é usar a urgência para encorajar ou exigir ação imediata. Os phishers esperam que, ao ler o e-mail com pressa, não examinem minuciosamente o conteúdo e não descubram inconsistências.

Estilo de mensagem

Uma indicação imediata de phishing é o fato de uma mensagem ser escrita com linguagem ou tom inadequados. Se, por exemplo, um colega de trabalho parecer excessivamente casual ou um amigo próximo usar uma linguagem formal, isso deve gerar suspeitas. Os destinatários da mensagem devem verificar se há algo mais que possa indicar uma mensagem de phishing.

Solicitações incomuns

Se um e-mail exigir que você execute ações fora do padrão, isso pode indicar que o e-mail é malicioso. Por exemplo, se um e-mail afirma ser de uma equipe de TI específica e solicita a instalação de software, mas essas atividades geralmente são gerenciadas centralmente pelo departamento de TI, o e-mail provavelmente é malicioso.

Erros Linguísticos

Erros ortográficos e gramaticais são outro sinal de e-mails de phishing. A maioria das empresas configurou a verificação ortográfica em seus clientes de e-mail para e-mails enviados. Portanto, e-mails com erros ortográficos ou gramaticais devem levantar suspeitas, pois podem não ter origem na fonte reivindicada.

Inconsistências em endereços da Web

Outra maneira fácil de identificar possíveis ataques de phishing é procurar endereços de e-mail, links e nomes de domínio incompatíveis. Por exemplo, é uma boa ideia verificar uma comunicação anterior que corresponda ao endereço de e-mail do remetente.

Os destinatários devem sempre passar o mouse sobre um link em um e-mail antes de clicar nele para ver o destino real do link. Se se acredita que o e-mail foi enviado pelo Bank of America, mas o domínio do endereço de e-mail não contém “bankofamerica.com”, isso é sinal de um e-mail de phishing.

Solicitação de credenciais, informações de pagamento ou outros detalhes pessoais

Em muitos e-mails de phishing, os invasores criam páginas de login falsas vinculadas a e-mails que parecem ser oficiais. A página de login falsa normalmente possui uma caixa de login ou uma solicitação de informações financeiras da conta. Se o e-mail for inesperado, o destinatário não deverá inserir credenciais de login nem clicar no link. Por precaução, os destinatários devem visitar diretamente o site que consideram ser a origem do e-mail.

5 maneiras de proteger sua organização contra ataques de phishing

Aqui estão algumas maneiras pelas quais sua organização pode reduzir o risco de ataques de phishing.

#1. Treinamento de conscientização de funcionários

É fundamental treinar os funcionários para compreender as estratégias de phishing, identificar sinais de phishing e relatar incidentes suspeitos à equipe de segurança.

Da mesma forma, as organizações devem incentivar os funcionários a procurar crachás ou adesivos de confiança de empresas conhecidas de Cibersegurança ou antivírus antes de interagir com um site. Isso mostra que o site leva a sério a segurança e provavelmente não é falso ou malicioso.

#2. Implante soluções de segurança de e-mail

Soluções modernas de filtragem de e-mail podem proteger contra malware e outras cargas maliciosas em mensagens de e-mail. As soluções podem detectar e-mails que contenham links maliciosos, anexos, conteúdo de spam e linguagem que possa sugerir um ataque de phishing.

As soluções de segurança de e-mail bloqueiam e colocam em quarentena automaticamente e-mails suspeitos e usam tecnologia de sandbox para “detonar” e-mails e verificar se contêm código malicioso.

#3. Use o monitoramento e a proteção de endpoints

O uso crescente de serviços em nuvem e dispositivos pessoais no local de trabalho introduziu muitos novos endpoint que podem não estar totalmente protegidos. As equipes de segurança devem presumir que alguns endpoints serão violados por ataques de endpoint. é essencial monitorar endpoint em busca de ameaças à segurança e implementar soluções e respostas rápidas no dispositivo comprometido.

#4. Realize testes de ataques de phishing

Os testes simulados de ataques de phishing podem ajudar as equipes de segurança a avaliar a eficácia dos programas de treinamento de conscientização de segurança e ajudar os usuários finais a entender melhor os ataques. Mesmo que seus funcionários sejam bons em encontrar mensagens suspeitas, eles devem ser testados regularmente para imitar ataques reais de phishing. O cenário de ameaças continua evoluindo, e as simulações de ataques cibernéticos também devem evoluir.

#5. Limite o acesso do usuário a sistemas e dados de alto valor

A maioria dos métodos de phishing são projetados para enganar operadores humanos, e contas de usuários privilegiados são alvos atraentes para os cibercriminosos. Restringir o acesso a sistemas e dados pode ajudar a proteger dados confidenciais contra vazamentos. Use o princípio do menor privilégio e conceda acesso apenas aos usuários que realmente precisam dele.

Proteção e prevenção contra phishing com a Check Point

Check Point Harmony O Email and Collaboration oferece uma defesa robusta contraphishing, combatendo efetivamente os ataques de phishing. Reconhecido como líder no Forrester Wave de 2023 para segurança de e-mail corporativo, ele oferece proteção avançada para sua organização. Para saber mais sobre como o Harmony Email and Collaboration pode proteger sua organização contra as mais novas ameaças do phishing, solicite um demogratuito hoje mesmo.