Phishing de credenciais - uma ameaça crescente
Em sua essência, o phishing de credenciais visa enganar os usuários finais. Isso geralmente ocorre por meio de plataformas de mensagens diretas e pode assumir várias formas: tentativas oportunistas em massa de roubar senhas ou e-mails altamente direcionados e de alta pressão que se disfarçam de colegas ou chefes da vítima.
Desde a explosão da IA generativa, os invasores podem criar mensagens de phishing muito mais gramaticalmente corretas, e os serviços on-line permitem a criação fácil de páginas de login quase perfeitas.
Embora os kits de ferramentas dos atacantes sejam maiores do que nunca, as empresas que dependem de funcionários remotos e de um grande número de serviços digitais são consistentemente mais fracas contra ataques de phishing de credenciais.
Isso se deve ao maior número de possíveis caminhos de login para funcionários remotos — e é agravado pelo fato de que os funcionários remotos não têm a facilidade de colocar a cabeça na mesa de um colega para verificar a veracidade de uma mensagem.
Como funciona o phishing de credenciais
O esquema aproximado de cada ataque de phishing de credenciais é o seguinte:
- O atacante elabora uma mensagem que evita vários filtros.
- A vítima recebe a mensagem, a lê e clica no link ou anexo malicioso.
- O link leva a um site de phishing, geralmente uma página de login, ou faz o download de um keylogger.
- No site de phishing, as vítimas são solicitadas a digitar suas credenciais de login.
- O atacante recebe essas credenciais de login e as usa na conta genuína da vítima.
- O invasor obtém acesso à conta on-line genuína, ganhando uma posição nas defesas da organização.
A anatomia de um ataque bem-sucedido pode ser dividida em três partes principais: a página de login, a mensagem e o próprio contexto do usuário.
A página de login
Um mecanismo fundamental para uma campanha bem-sucedida de coleta de credenciais é a página de destino.
É aqui que o usuário precisa investir totalmente na legitimidade da campanha e agir como faria no site original. Alguns atacantes aumentam a legitimidade da página incluindo telas falsas de captcha, além de roubar os elementos da web da página original:
- Logos
- Caixas de entrada de credenciais
- Planos de fundo
A mensagem
No entanto, a mensagem maliciosa pode ser igualmente importante: se o usuário receber uma solicitação muito urgente para fazer logon, é muito mais provável que ele se apresse na página de logon e, portanto, perca os indicadores de um ataque de phishing.
O e-mail continua sendo um dos vetores de ataque mais populares, devido à facilidade com que o roubo de PII comercializado agora oferece enormes bancos de dados de endereços de e-mail comerciais. Os invasores podem simplesmente roubar endereços de e-mail das contas do LinkedIn ou retirá-los do site da sua empresa.
As linhas de assunto desses e-mails podem imitar algumas coisas:
- Uma solicitação do RH
- Um e-mail falso de autenticação de login de um processador de pagamento
O corpo da mensagem reforçará isso enquanto direciona o usuário para um URL encurtado ou oculto, ou até mesmo para um arquivo para download.
O contexto do usuário
Para entender o seu verdadeiro perfil de risco, é vital o contexto do próprio usuário: um e-mail que pretende verificar uma alteração de senha do Xero atrairia muito mais membros da equipe financeira, enquanto os DevOps têm maior probabilidade de cair na fraude de login do GitHub.
Essa diferença contextual é fundamental para desenvolver estratégias para proteger toda a organização.
3 estratégias de defesa contra phishing de credenciais
As melhores defesas adotam uma abordagem multifacetada para reforçar o comportamento com a arquitetura de segurança.
#1: Treine e teste funcionários regularmente
Como o phishing de credenciais tira proveito das agendas lotadas e dos prazos apertados dos usuários finais, é extremamente importante reforçar suas próprias defesas pessoais. Embora não haja muito que você possa fazer sobre prazos apertados, você pode ensinar os funcionários a reconhecer quando estão sendo explorados.
Educação sobre phishing
A educação sobre phishing tem como objetivo criar um entendimento básico sobre phishing e aumentar a conscientização dos funcionários. Ele precisa explicar:
- Como funciona o phishing de credenciais
- As táticas usadas pelos atacantes
- A ameaça que um ataque bem-sucedido representa
O resultado final é dar aos funcionários o conhecimento geral de segurança cibernética para reconhecer possíveis ameaças.
Treinamento em phishing
O treinamento em phishing, por outro lado, vai além da educação básica e trabalha para desenvolver habilidades práticas.
Ele deve empregar módulos interativos e campanhas simuladas no site phishing que ajudem a treinar os funcionários a identificar sinais de alerta, verificar informações e evitar fraudes no site phishing. Essencialmente, envolve a aplicação do conhecimento adquirido com a educação em situações do mundo real.
#2: Autenticação multifatorial (MFA)
A autenticação multifatorial acrescenta outra camada ao processo de autenticação: além de fornecer algo que o senhor sabe (ou seja, a senha), é preciso provar que o senhor tem algo (como um telefone) e/ou é algo (como um ser humano, com uma impressão digital).
Essa camada extra de prova torna substancialmente mais difícil simplesmente assumir o controle de uma conta, mesmo que o invasor conduza com êxito um ataque de phishing.
No entanto, observe que os funcionários que dependem da MFA podem estar vulneráveis a ataques que explicitamente aproveitam seu aspecto multidispositivo. Eles podem estar mais convencidos a clicar em um link fraudulento por mensagem de texto, e isso precisa ser refletido adequadamente no treinamento que recebem.
#3: Análise do comportamento
Quando um invasor rouba as credenciais do usuário e obtém acesso a uma conta, cada segundo conta.
Infelizmente, pode ser quase impossível interromper um ataque depois que ele atinge esse estágio. Vamos esclarecer a diferença que o User and endpoint Behaviour Analytics (UEBA) pode fazer:
Análise de comportamento de usuários e endpoints
Imagine Jordan, funcionário da TechCo: seu trabalho diário típico se estende das 9h às 17h e ele trabalha principalmente em sua casa na costa oeste. Durante os dias, ele faz download de uma média de 50 MB e interage com alguns dos principais aplicativos de nuvem. Com o UEBA instalado, a equipe de segurança da TechCo pode ver quando, de repente, a conta de Jordan faz login às 2 da manhã e começa a baixar vários gigabytes de dados.
Embora, tradicionalmente, os analistas não conseguissem identificar esse tipo de informação no mar de dados de registro e de rede que geralmente ocorrem, a solução UEBA é capaz de bloquear automaticamente a conta de Jordan e alertar o analista.
Dessa forma, a UEBA pode identificar e evitar um ataque sozinha, mesmo no caso de roubo e uso indevido de credenciais corporativas.
Obtenha uma defesa contra phishing de fidelidade total com o Check Point Harmony
Harmony Endpoint by Check Point é uma solução de Segurança da endpoint abrangente e unificada, projetada para proteger sua força de trabalho contra as ameaças phishing supercomplexas da atualidade. Sua proteção de última geração equilibra o campo de jogo entre os invasores e as equipes de segurança, graças à sua capacidade de identificar e isolar endpoint dispositivos que não estejam em conformidade com suas linhas de base comportamentais individuais.
Nossa abordagem de prevenção de phishing de credenciais em primeiro lugar é o motivo pelo qual fomos nomeados líderes em segurança de e-mail corporativo, pois a proteção se estende aos sites que cada usuário está visitando.
A análise contínua baseada em heurística das solicitações de sites permite a prevenção completa não apenas da credencial phishing, mas também de qualquer outra endpointcom foco em malware. Veja como ele pode manter sua organização protegida contra ataques e, ao mesmo tempo, simplificar as operações de segurança com um demo hoje mesmo.
Opinião