BLOG IBSEC

Phishing é uma prática fraudulenta em que um invasor se faz passar por uma entidade ou pessoa respeitável em um e-mail ou outra forma de comunicação. Os invasores geralmente usam e-mails de phishing para distribuir links ou anexos maliciosos que podem extrair credenciais de login, números de contas e outras informações pessoais das vítimas.

Os ataques de phishing são crimes cibernéticos populares, pois é muito mais fácil induzir alguém a clicar em um link malicioso em um e-mail de phishing aparentemente legítimo do que romper as defesas de um computador. Aprender mais sobre phishing é importante para ajudar os usuários a detectá-lo e preveni-lo.

Como funciona o phishing?

Phishing é um tipo de ataque de engenharia social e segurança cibernética em que o invasor se faz passar por outra pessoa por e-mail ou outros métodos de comunicação eletrônica, incluindo redes sociais e mensagens de texto de serviço de mensagens curtas (SMS), para revelar informações confidenciais.

Os phishers podem usar fontes públicas de informação, como Linkedin, Facebook e Twitter, para coletar dados pessoais, histórico profissional, interesses e atividades da vítima. Esses recursos são frequentemente usados para descobrir informações como nomes, cargos e endereços de e-mail de possíveis vítimas. Um invasor pode então usar informações para criar um e-mail de phishing confiável.

Normalmente, a vítima recebe uma mensagem que parece ter sido enviada por um contato ou organização conhecida. O ataque é então realizado quando a vítima clica em um anexo de arquivo malicioso ou clica em um hiperlink que a conecta a um site malicioso. Em ambos os casos, o objetivo do invasor é instalar malware no dispositivo do usuário ou direcioná-lo para um site falso. Sites falsos são criados para induzir as vítimas a divulgar informações pessoais e financeiras, como senhas, IDs de contas ou detalhes de cartão de crédito.

Os e-mails de phishing muitas vezes parecem vir de fontes confiáveis e contêm um link para clicar e uma solicitação urgente para o usuário responder rapidamente.

Embora muitos e-mails de phishing sejam mal escritos e claramente falsos, os cibercriminosos estão usando ferramentas de inteligência artificial (IA), como chatbots, para fazer com que os ataques de phishing pareçam mais reais.

Outras tentativas de phishing podem ser feitas por telefone, onde o invasor se passa por um funcionário para obter informações pessoais. Essas mensagens podem usar uma voz gerada por IA do gerente da vítima ou outra autoridade para o invasor enganar ainda mais a vítima.

Como reconhecer um e-mail de ataque de phishing

Mensagens de phishing bem-sucedidas são difíceis de distinguir de mensagens reais. Normalmente, elas são representadas como sendo de uma empresa conhecida, incluindo até mesmo logotipos corporativos e outros dados de identificação.

No entanto, existem várias pistas que podem indicar que uma mensagem é uma tentativa de phishing. Incluindo as seguintes:

Quais são os diferentes tipos de ataques de phishing?

Os cibercriminosos continuam a aprimorar suas habilidades de phishing existentes e a criar novos tipos de golpes de phishing. Os tipos comuns de ataques de phishing incluem os seguintes:

Técnicas de phishing

Os ataques de phishing dependem de mais do que simplesmente enviar um e-mail às vítimas e esperar que elas cliquem em um link malicioso ou abram um anexo malicioso. Os invasores podem usar as seguintes técnicas para capturar suas vítimas:

Como prevenir o phishing

Para ajudar a evitar que mensagens de phishing cheguem aos usuários finais, os especialistas recomendam sobrepor os controles de segurança com as seguintes ferramentas:

Os servidores de e-mail corporativos devem usar pelo menos um padrão de autenticação de e-mail para segurança de e-mail, a fim de confirmar se os e-mails recebidos são verificáveis. Podendo ser o protocolo DomainKeys Identified Mail, que permite aos usuários bloquear todas as mensagens, exceto aquelas que foram assinadas criptograficamente. O DMARC (Domain-Based Message Authentication Message Conformance) é outro exemplo. O DMARC fornece uma estrutura para o uso de protocolos para bloquear e-mails não solicitados de forma mais eficaz.

Os funcionários devem ser devidamente informados sobre técnicas de phishing e como identificá-las. Eles também devem ser alertados para evitar clicar em links, anexos ou abrir e-mails suspeitos de alguém que não conhecem.

Quais são alguns exemplos de golpes de phishing?

Os golpes de phishing têm formas e tamanhos variados. Os usuários podem ficar seguros, alertas e preparados conhecendo algumas das formas mais recentes pelas quais os golpistas têm praticado phishing. Alguns exemplos de ataques de phishing mais modernos incluem os seguintes.

Golpes baseados em pagamentos digitais

Esses golpes ocorrem quando os principais aplicativos e sites de pagamento são usados como uma manobra para obter informações confidenciais de vítimas de phishing. Neste golpe, um phisher se disfarça como um serviço de pagamento online, como o PayPal.

Geralmente, esses ataques são realizados por e-mail, onde uma versão falsa de um serviço de pagamento confiável solicita ao usuário que verifique os detalhes de login e outras informações de identificação. Normalmente, o invasor afirma que essas informações são necessárias para resolver um problema na conta do usuário. Muitas vezes, essas tentativas de phishing incluem um link para uma página fraudulenta.

O PayPal está ciente dessas ameaças e lançou materiais informativos para seus usuários consultarem para se manterem preparados contra ataques de phishing.

Se um usuário não tiver certeza de como detectar um e-mail fraudulento de phishing de pagamento online, há alguns detalhes a serem observados. Geralmente, sabe-se que um e-mail de phishing que imita o PayPal inclui o seguinte:

Se um vendedor receber um desses e-mails, ele deverá abrir sua página de pagamento em uma guia ou janela separada do navegador para ver se sua conta possui algum alerta. Se um vendedor tiver recebido um pagamento excessivo ou estiver enfrentando uma suspensão, isso será informado lá. Além disso, o PayPal incentiva os usuários a relatar qualquer atividade suspeita para que possa continuar monitorando essas tentativas e evitar que seus usuários sejam enganados.

Ataques de phishing baseados em finanças

Ataques de phishing centrados em questões financeiras operam com a expectativa de que as vítimas serão induzidas ao pânico e acabarão por fornecer informações pessoais ao golpista. Geralmente, nesses cenários, o fraudador se faz passar por uma entidade bancária ou financeira legítima. Através de e-mails ou chamadas telefônicas, o golpista alerta a potencial vítima sobre o suposto comprometimento da sua segurança. Com frequência, os fraudadores utilizam a ameaça de roubo de identidade para alcançar seus objetivos.

Alguns exemplos desse golpe incluem o seguinte:

Golpes de phishing relacionados ao trabalho

Estes são especialmente alarmantes, pois este tipo de golpe pode ser personalizado e difícil de detectar. Nestes casos, um invasor que se faz passar pelo chefe, diretor executivo ou diretor financeiro do destinatário entra em contato com a vítima e solicita uma transferência bancária ou uma compra falsa.

Um golpe relacionado ao trabalho que tem surgido nas empresas nos últimos anos é uma estratégia para coletar senhas. Esse golpe geralmente tem como alvo funcionários de nível executivo, pois eles provavelmente não consideram que um e-mail de seu chefe possa ser uma farsa. O e-mail fraudulento muitas vezes funciona porque, em vez de ser alarmista, simplesmente fala sobre assuntos comuns no local de trabalho. Normalmente, informa à vítima que uma reunião agendada precisa ser alterada. O funcionário é solicitado a preencher uma enquete sobre quando seria um bom momento para reagendar por meio de um link. Esse link leva a vítima a uma página de login falsa do Microsoft Office 365 ou Microsoft Outlook. Assim que o funcionário insere suas informações de login, os golpistas roubam sua senha.

Atores maliciosos também podem se passar por gerentes, CEOs ou CFOs por telefone, usando um gerador de voz de IA e, em seguida, exigir uma transferência fraudulenta de dinheiro. Embora o funcionário pense que está fazendo uma transação comercial, na verdade está enviando fundos ao invasor.

História do phishing

A história do termo phishing não é totalmente clara. Uma explicação comum para o termo é que phishing é um homônimo de fishing – “pesca” em português. E tem esse nome porque os golpes de phishing usam iscas para capturar vítimas inocentes ou pescar.

Outra explicação para a origem do phishing vem de uma sequência de caracteres — <>< — que era frequentemente encontrada nos registros de bate-papo da AOL. Esses caracteres eram uma tag comum de linguagem de marcação de hipertexto encontrada em transcrições de bate-papo. Como isso ocorria com tanta frequência nesses logs, os administradores da AOL não conseguiam procurá-lo de forma produtiva como um marcador de atividade potencialmente imprópria. Os hackers substituiriam qualquer referência a atividades ilegais – incluindo roubo de cartão de crédito ou credenciais de conta – pela string.

No início da década de 1990, um grupo de indivíduos chamado Grupo Warez criou um algoritmo que geraria números de cartão de crédito. Os números foram criados aleatoriamente na tentativa de criar contas falsas da AOL que enviariam spam para outras contas. Alguns hackers tentaram alterar seus nomes de tela para aparecerem como administradores da AOL. Usando esses nomes de tela, eles fariam phishing nas pessoas por meio do AOL Instant Messenger para obter informações.

No início dos anos 2000, o phishing sofreu mais mudanças na sua implementação. O Love Bug de 2000 é um exemplo disso. As possíveis vítimas receberam um e-mail com uma mensagem dizendo “ILOVEYOU”, apontando para uma carta anexa. Esse anexo continha um worm que sobrescrevia arquivos no computador da vítima e se copiava para a lista de contatos do usuário.

Além disso, no início dos anos 2000, diferentes phishers começaram a registrar sites de phishing. Um site de phishing é um domínio semelhante em nome e aparência a um site oficial. Eles são feitos para enganar alguém, fazendo-o acreditar que o site é legítimo.

Hoje, os esquemas de phishing são mais variados e potencialmente mais perigosos do que antes. Com a integração de mídias sociais e métodos de login, como o Login do Facebook, um invasor pode potencialmente cometer diversas violações de dados de uma vítima usando uma senha roubada, tornando-a vulnerável a ataques de ransomware no processo. Tecnologias mais modernas também estão sendo utilizadas. Por exemplo, em 2019, o CEO de uma empresa de energia no Reino Unido pensou que estava a falar ao telefone com o seu chefe. Eles foram instruídos a enviar fundos para um fornecedor específico quando na verdade se tratava de um esquema de phishing que usava IA para imitar a voz do executivo-chefe de sua empresa-mãe.

Em 2020, um hacker e seus cúmplices realizaram um ataque de spear phishing, criando um site que parecia o provedor de rede virtual interno do Twitter. Os invasores se passaram por funcionários do suporte técnico, ligando para os funcionários do Twitter e pedindo-lhes que enviassem suas credenciais. Usando essas credenciais, os invasores obtiveram acesso a várias contas importantes, como as de Barack Obama, Elon Musk e Joe Biden.

Confira também: Quando surgiu a cibersegurança

Proteja-se contra os ataques de phishing e muito mais com os cursos da IBSEC!

Ao longo deste artigo, exploramos o mundo dos ataques de phishing – desde suas definições básicas até técnicas avançadas, exemplos da vida real e dicas para se prevenir. Mas se você ainda quer aprender mais para se proteger contra essas ameaças, aposte na educação e na formação em cibersegurança. Ao participar dos cursos oferecidos pela IBSEC, como o Ransomware: Identificar, Proteger e Recuperar na Prática e o Malware: Prevenção, Proteção e Resposta a Incidentes na Prática, você não apenas aprenderá sobre o phishing, mas também se capacitará para enfrentar outras ameaças cibernéticas.

Nossos cursos são desenvolvidos por especialistas do setor e oferecem uma abordagem prática para garantir que você esteja verdadeiramente preparado para lidar com os desafios da segurança cibernética. Desde técnicas de prevenção até estratégias de resposta a incidentes, nosso objetivo é capacitar você com o conhecimento e as habilidades necessárias para proteger seus dados e sistemas. Junte-se a nós e fortaleça suas defesas cibernéticas hoje mesmo!

Rua Conceição de Monte Alegre, 107 - Bloco B
10º andar, Brooklin - São Paulo, SP - Brasil | CEP: 04563-060

contato @ ibsec.com.br

© 2024 Por IBSEC - Instituto Brasileiro de Cibersegurança | CNPJ: 07.697.729/0001-08

Todos os diretos reservados. | Termos | Privacidade