Ataques de phishing: O que são e como funcionam?
Phishing é uma prática fraudulenta em que um invasor se faz passar por uma entidade ou pessoa respeitável em um e-mail ou outra forma de comunicação. Os invasores geralmente usam e-mails de phishing para distribuir links ou anexos maliciosos que podem extrair credenciais de login, números de contas e outras informações pessoais das vítimas.
Os ataques de phishing são crimes cibernéticos populares, pois é muito mais fácil induzir alguém a clicar em um link malicioso em um e-mail de phishing aparentemente legítimo do que romper as defesas de um computador. Aprender mais sobre phishing é importante para ajudar os usuários a detectá-lo e preveni-lo.
Como funciona o phishing?
Phishing é um tipo de ataque de engenharia social e segurança cibernética em que o invasor se faz passar por outra pessoa por e-mail ou outros métodos de comunicação eletrônica, incluindo redes sociais e mensagens de texto de serviço de mensagens curtas (SMS), para revelar informações confidenciais.
Os phishers podem usar fontes públicas de informação, como Linkedin, Facebook e Twitter, para coletar dados pessoais, histórico profissional, interesses e atividades da vítima. Esses recursos são frequentemente usados para descobrir informações como nomes, cargos e endereços de e-mail de possíveis vítimas. Um invasor pode então usar informações para criar um e-mail de phishing confiável.
Normalmente, a vítima recebe uma mensagem que parece ter sido enviada por um contato ou organização conhecida. O ataque é então realizado quando a vítima clica em um anexo de arquivo malicioso ou clica em um hiperlink que a conecta a um site malicioso. Em ambos os casos, o objetivo do invasor é instalar malware no dispositivo do usuário ou direcioná-lo para um site falso. Sites falsos são criados para induzir as vítimas a divulgar informações pessoais e financeiras, como senhas, IDs de contas ou detalhes de cartão de crédito.
Os e-mails de phishing muitas vezes parecem vir de fontes confiáveis e contêm um link para clicar e uma solicitação urgente para o usuário responder rapidamente.
Embora muitos e-mails de phishing sejam mal escritos e claramente falsos, os cibercriminosos estão usando ferramentas de inteligência artificial (IA), como chatbots, para fazer com que os ataques de phishing pareçam mais reais.
Outras tentativas de phishing podem ser feitas por telefone, onde o invasor se passa por um funcionário para obter informações pessoais. Essas mensagens podem usar uma voz gerada por IA do gerente da vítima ou outra autoridade para o invasor enganar ainda mais a vítima.
Como reconhecer um e-mail de ataque de phishing
Mensagens de phishing bem-sucedidas são difíceis de distinguir de mensagens reais. Normalmente, elas são representadas como sendo de uma empresa conhecida, incluindo até mesmo logotipos corporativos e outros dados de identificação.
No entanto, existem várias pistas que podem indicar que uma mensagem é uma tentativa de phishing. Incluindo as seguintes:
- A mensagem é enviada de um domínio de email público: Nenhuma organização legítima enviará e-mails de um endereço que termine ‘@gmail.com’.
- O nome de domínio está escrito incorretamente.
- O e-mail está mal escrito: Muitas vezes você pode saber se um e-mail é uma farsa se contiver ortografia e gramática incorretas.
- Inclui anexos ou links suspeitos.
- A mensagem cria um senso de urgência.
Quais são os diferentes tipos de ataques de phishing?
Os cibercriminosos continuam a aprimorar suas habilidades de phishing existentes e a criar novos tipos de golpes de phishing. Os tipos comuns de ataques de phishing incluem os seguintes:
- Os ataques de spear phishing são direcionados a indivíduos ou empresas específicas. Esses ataques geralmente empregam informações coletadas específicas da vítima para representar com mais sucesso a mensagem como sendo autêntica. Os e-mails de spear phishing podem incluir referências a colegas de trabalho ou executivos da organização da vítima, bem como o uso do nome, localização ou outras informações pessoais da vítima.
- Os ataques whaling são um tipo de ataque de spear phishing que visa especificamente executivos seniores de uma organização com o objetivo de roubar grandes somas de dados confidenciais. Os invasores pesquisam detalhadamente suas vítimas para criar uma mensagem mais genuína, pois o uso de informações relevantes ou específicas para um alvo aumenta as chances de o ataque ser bem-sucedido. Como um ataque típico de whaling tem como alvo um funcionário que pode autorizar pagamentos, a mensagem de phishing muitas vezes parece ser uma ordem de um executivo para autorizar um grande pagamento a um fornecedor quando, na verdade, o pagamento seria feito aos atacantes.
- Pharming é um tipo de ataque de phishing que usa envenenamento de cache do sistema de nomes de domínio para redirecionar os usuários de um site legítimo para um site fraudulento. O Pharming tenta enganar os usuários para que façam login no site falso usando suas credenciais pessoais.
- Os ataques de clone phishing usam e-mails entregues anteriormente, mas legítimos, que contêm um link ou um anexo. Os invasores fazem uma cópia – ou clonagem – do e-mail legítimo e substituem links ou arquivos anexados por arquivos maliciosos. As vítimas são frequentemente enganadas, fazendo-as clicar no link malicioso ou abrir o anexo malicioso. Essa técnica é frequentemente usada por invasores que assumiram o controle do sistema de outra vítima. Nesse caso, os invasores usam o controle de um sistema dentro de uma organização para enviar mensagens de e-mail de um remetente confiável conhecido das vítimas.
- Os ataques evil twin ocorrem quando hackers tentam enganar os usuários para que se conectem a uma rede Wi-Fi falsa que parece um ponto de acesso legítimo. Os invasores criam um hotspot duplicado que envia seu próprio sinal de rádio e usa o mesmo nome da rede real. Quando a vítima se conecta à rede gêmea maligna, os invasores obtêm acesso a todas as transmissões de ou para os dispositivos da vítima, incluindo IDs de usuário e senhas. Os invasores também podem usar esse vetor para atingir os dispositivos das vítimas com seus próprios prompts fraudulentos.
- Phishing de voz é uma forma de phishing que ocorre em mídia baseada em voz, incluindo voz sobre IP – também chamada de vishing – ou simplesmente o serviço telefônico antigo. Esse tipo de golpe usa software de síntese de voz para deixar mensagens de voz notificando a vítima sobre atividades suspeitas em uma conta bancária ou de crédito. A chamada solicita que a vítima responda para verificar sua identidade, comprometendo assim as credenciais de sua conta.
- Phishing por SMS, ou smishing, é um ataque de phishing orientado a dispositivos móveis que usa mensagens de texto para convencer as vítimas a divulgar credenciais de contas ou instalar malware. Geralmente, a vítima é solicitada a clicar em um link, ligar para um número de telefone ou enviar um e-mail. O invasor então pede à vítima que forneça dados privados. Este ataque é mais difícil de identificar, pois os links anexados podem ser encurtados em dispositivos móveis.
- O phishing de calendário tenta enganar as vítimas enviando convites de eventos falsos que podem ser adicionados automaticamente aos calendários. Esse tipo de ataque de phishing tenta aparecer como uma solicitação de evento comum e inclui um link malicioso.
- Os ataques de sequestro de página redirecionam a vítima para um site comprometido que é uma duplicata da página que ela pretendia visitar. O invasor usa um ataque de cross-site scripting (XSS) para inserir malware no site duplicado e redirecionar a vítima para esse site.
Técnicas de phishing
Os ataques de phishing dependem de mais do que simplesmente enviar um e-mail às vítimas e esperar que elas cliquem em um link malicioso ou abram um anexo malicioso. Os invasores podem usar as seguintes técnicas para capturar suas vítimas:
- Falsificação de URL. Os invasores usam JavaScript para colocar a imagem de um URL legítimo na barra de endereço de um navegador. O URL é revelado ao passar o mouse sobre um link incorporado e também pode ser alterado usando JavaScript.
- Manipulação de links. Muitas vezes chamada de ocultação de URL, essa técnica é usada em muitos tipos comuns de phishing. Os invasores criam um URL malicioso que é exibido como se estivesse vinculado a um site ou página da Web legítimo, mas o link real aponta para um recurso da web malicioso.
- Encurtamento de links. Os invasores podem usar serviços de encurtamento de link, como o Bitly, para ocultar o destino do link. As vítimas não têm como saber se o URL abreviado aponta para um site legítimo ou malicioso.
- Falsificação homográfica. Esse tipo de ataque depende de URLs que foram criadas usando caracteres diferentes para serem lidos exatamente como um nome de domínio confiável. Por exemplo, os invasores podem registrar domínios que usam conjuntos de caracteres ligeiramente diferentes, próximos o suficiente de domínios bem conhecidos e estabelecidos.
- Renderização gráfica. A renderização total ou parcial de uma mensagem como uma imagem gráfica às vezes permite que os invasores driblem as defesas contra phishing. Alguns produtos de software de segurança verificam e-mails em busca de frases ou termos específicos comuns em e-mails de phishing. Renderizar a mensagem como uma imagem dribla isso.
- Redirecionamento secreto. Os invasores enganam as vítimas para que forneçam informações pessoais, redirecionando-as para uma fonte supostamente confiável que lhes pede autorização para se conectarem a outro site. A URL redirecionada é uma página intermediária e maliciosa que solicita informações de autenticação da vítima. Isso acontece antes de encaminhar o navegador da vítima para o site legítimo.
- Bots de bate-papo. Os invasores usam chatbots habilitados para IA para remover erros gramaticais e ortográficos óbvios que comumente aparecem em e-mails de phishing. E-mails de phishing usando um chatbot de IA podem fazer com que a mensagem de phishing pareça mais complexa e real, dificultando sua detecção.
- Geradores de voz de IA. Os invasores usam ferramentas de geração de voz de IA para soar como uma autoridade pessoal ou figura familiar durante uma chamada telefônica. Isso personaliza ainda mais a tentativa de phishing, aumentando sua probabilidade de funcionar. Os invasores só precisam de uma amostra de voz usando um pequeno clipe de áudio do gerente ou de um membro da família da vítima.
Como prevenir o phishing
Para ajudar a evitar que mensagens de phishing cheguem aos usuários finais, os especialistas recomendam sobrepor os controles de segurança com as seguintes ferramentas:
- Software antivírus.
- Firewalls de desktop e rede.
- Software anti-spyware.
- Barra de ferramentas antiphishing instalada em navegadores da web.
- Filtro de e-mail do gateway.
- Gateway de segurança da Web.
- Filtro de spam.
- Filtros de phishing de fornecedores como a Microsoft.
Os servidores de e-mail corporativos devem usar pelo menos um padrão de autenticação de e-mail para segurança de e-mail, a fim de confirmar se os e-mails recebidos são verificáveis. Podendo ser o protocolo DomainKeys Identified Mail, que permite aos usuários bloquear todas as mensagens, exceto aquelas que foram assinadas criptograficamente. O DMARC (Domain-Based Message Authentication Message Conformance) é outro exemplo. O DMARC fornece uma estrutura para o uso de protocolos para bloquear e-mails não solicitados de forma mais eficaz.
Os funcionários devem ser devidamente informados sobre técnicas de phishing e como identificá-las. Eles também devem ser alertados para evitar clicar em links, anexos ou abrir e-mails suspeitos de alguém que não conhecem.
Quais são alguns exemplos de golpes de phishing?
Os golpes de phishing têm formas e tamanhos variados. Os usuários podem ficar seguros, alertas e preparados conhecendo algumas das formas mais recentes pelas quais os golpistas têm praticado phishing. Alguns exemplos de ataques de phishing mais modernos incluem os seguintes.
Golpes baseados em pagamentos digitais
Esses golpes ocorrem quando os principais aplicativos e sites de pagamento são usados como uma manobra para obter informações confidenciais de vítimas de phishing. Neste golpe, um phisher se disfarça como um serviço de pagamento online, como o PayPal.
Geralmente, esses ataques são realizados por e-mail, onde uma versão falsa de um serviço de pagamento confiável solicita ao usuário que verifique os detalhes de login e outras informações de identificação. Normalmente, o invasor afirma que essas informações são necessárias para resolver um problema na conta do usuário. Muitas vezes, essas tentativas de phishing incluem um link para uma página fraudulenta.
O PayPal está ciente dessas ameaças e lançou materiais informativos para seus usuários consultarem para se manterem preparados contra ataques de phishing.
Se um usuário não tiver certeza de como detectar um e-mail fraudulento de phishing de pagamento online, há alguns detalhes a serem observados. Geralmente, sabe-se que um e-mail de phishing que imita o PayPal inclui o seguinte:
- Eles podem começar com saudações duvidosas que não incluem o nome da vítima. Os e-mails oficiais do PayPal sempre se dirigem aos vendedores pelo nome ou cargo comercial. As tentativas de phishing neste setor tendem a começar com “Caro usuário” ou a usar um endereço de e-mail.
- No caso do PayPal e de outros serviços de pagamento online, algumas destas fraudes alertam as suas potenciais vítimas de que as suas contas serão suspensas em breve. Outros afirmam que os usuários receberam pagamentos excessivos acidentalmente e agora precisam enviar o dinheiro de volta para uma conta falsa.
- O PayPal não envia anexos para download aos seus usuários. Se um usuário receber um e-mail do PayPal ou outro serviço semelhante que inclua um anexo, ele não deverá baixá-lo.
Se um vendedor receber um desses e-mails, ele deverá abrir sua página de pagamento em uma guia ou janela separada do navegador para ver se sua conta possui algum alerta. Se um vendedor tiver recebido um pagamento excessivo ou estiver enfrentando uma suspensão, isso será informado lá. Além disso, o PayPal incentiva os usuários a relatar qualquer atividade suspeita para que possa continuar monitorando essas tentativas e evitar que seus usuários sejam enganados.
Ataques de phishing baseados em finanças
Ataques de phishing centrados em questões financeiras operam com a expectativa de que as vítimas serão induzidas ao pânico e acabarão por fornecer informações pessoais ao golpista. Geralmente, nesses cenários, o fraudador se faz passar por uma entidade bancária ou financeira legítima. Através de e-mails ou chamadas telefônicas, o golpista alerta a potencial vítima sobre o suposto comprometimento da sua segurança. Com frequência, os fraudadores utilizam a ameaça de roubo de identidade para alcançar seus objetivos.
Alguns exemplos desse golpe incluem o seguinte:
- E-mails suspeitos sobre transferências de dinheiro têm como objetivo confundir a vítima. Nessas tentativas de phishing, a vítima em potencial recebe um e-mail que contém um e-mail de recebimento ou rejeição referente a uma transferência eletrônica de fundos. Muitas vezes, a vítima assume instantaneamente que foram feitas cobranças fraudulentas em sua conta e clica em um link malicioso na mensagem. Isso deixa seus dados pessoais vulneráveis à mineração.
- Os golpes de depósito direto são frequentemente usados em novos funcionários de uma empresa ou negócio. Nesses golpes, a vítima é notificada de que suas informações de login não estão funcionando. Ansiosa por não receber o pagamento, a vítima clica em um link do e-mail. Isso os envia para um site falso que instala malware em seus sistemas. Neste ponto, as suas informações bancárias estão vulneráveis à recolha, levando a cobranças fraudulentas.
Golpes de phishing relacionados ao trabalho
Estes são especialmente alarmantes, pois este tipo de golpe pode ser personalizado e difícil de detectar. Nestes casos, um invasor que se faz passar pelo chefe, diretor executivo ou diretor financeiro do destinatário entra em contato com a vítima e solicita uma transferência bancária ou uma compra falsa.
Um golpe relacionado ao trabalho que tem surgido nas empresas nos últimos anos é uma estratégia para coletar senhas. Esse golpe geralmente tem como alvo funcionários de nível executivo, pois eles provavelmente não consideram que um e-mail de seu chefe possa ser uma farsa. O e-mail fraudulento muitas vezes funciona porque, em vez de ser alarmista, simplesmente fala sobre assuntos comuns no local de trabalho. Normalmente, informa à vítima que uma reunião agendada precisa ser alterada. O funcionário é solicitado a preencher uma enquete sobre quando seria um bom momento para reagendar por meio de um link. Esse link leva a vítima a uma página de login falsa do Microsoft Office 365 ou Microsoft Outlook. Assim que o funcionário insere suas informações de login, os golpistas roubam sua senha.
Atores maliciosos também podem se passar por gerentes, CEOs ou CFOs por telefone, usando um gerador de voz de IA e, em seguida, exigir uma transferência fraudulenta de dinheiro. Embora o funcionário pense que está fazendo uma transação comercial, na verdade está enviando fundos ao invasor.
História do phishing
A história do termo phishing não é totalmente clara. Uma explicação comum para o termo é que phishing é um homônimo de fishing – “pesca” em português. E tem esse nome porque os golpes de phishing usam iscas para capturar vítimas inocentes ou pescar.
Outra explicação para a origem do phishing vem de uma sequência de caracteres — <>< — que era frequentemente encontrada nos registros de bate-papo da AOL. Esses caracteres eram uma tag comum de linguagem de marcação de hipertexto encontrada em transcrições de bate-papo. Como isso ocorria com tanta frequência nesses logs, os administradores da AOL não conseguiam procurá-lo de forma produtiva como um marcador de atividade potencialmente imprópria. Os hackers substituiriam qualquer referência a atividades ilegais – incluindo roubo de cartão de crédito ou credenciais de conta – pela string.
No início da década de 1990, um grupo de indivíduos chamado Grupo Warez criou um algoritmo que geraria números de cartão de crédito. Os números foram criados aleatoriamente na tentativa de criar contas falsas da AOL que enviariam spam para outras contas. Alguns hackers tentaram alterar seus nomes de tela para aparecerem como administradores da AOL. Usando esses nomes de tela, eles fariam phishing nas pessoas por meio do AOL Instant Messenger para obter informações.
No início dos anos 2000, o phishing sofreu mais mudanças na sua implementação. O Love Bug de 2000 é um exemplo disso. As possíveis vítimas receberam um e-mail com uma mensagem dizendo “ILOVEYOU”, apontando para uma carta anexa. Esse anexo continha um worm que sobrescrevia arquivos no computador da vítima e se copiava para a lista de contatos do usuário.
Além disso, no início dos anos 2000, diferentes phishers começaram a registrar sites de phishing. Um site de phishing é um domínio semelhante em nome e aparência a um site oficial. Eles são feitos para enganar alguém, fazendo-o acreditar que o site é legítimo.
Hoje, os esquemas de phishing são mais variados e potencialmente mais perigosos do que antes. Com a integração de mídias sociais e métodos de login, como o Login do Facebook, um invasor pode potencialmente cometer diversas violações de dados de uma vítima usando uma senha roubada, tornando-a vulnerável a ataques de ransomware no processo. Tecnologias mais modernas também estão sendo utilizadas. Por exemplo, em 2019, o CEO de uma empresa de energia no Reino Unido pensou que estava a falar ao telefone com o seu chefe. Eles foram instruídos a enviar fundos para um fornecedor específico quando na verdade se tratava de um esquema de phishing que usava IA para imitar a voz do executivo-chefe de sua empresa-mãe.
Em 2020, um hacker e seus cúmplices realizaram um ataque de spear phishing, criando um site que parecia o provedor de rede virtual interno do Twitter. Os invasores se passaram por funcionários do suporte técnico, ligando para os funcionários do Twitter e pedindo-lhes que enviassem suas credenciais. Usando essas credenciais, os invasores obtiveram acesso a várias contas importantes, como as de Barack Obama, Elon Musk e Joe Biden.
Confira também: Quando surgiu a cibersegurança
Proteja-se contra os ataques de phishing e muito mais com os cursos da IBSEC!
Ao longo deste artigo, exploramos o mundo dos ataques de phishing – desde suas definições básicas até técnicas avançadas, exemplos da vida real e dicas para se prevenir. Mas se você ainda quer aprender mais para se proteger contra essas ameaças, aposte na educação e na formação em cibersegurança. Ao participar dos cursos oferecidos pela IBSEC, como o Ransomware: Identificar, Proteger e Recuperar na Prática e o Malware: Prevenção, Proteção e Resposta a Incidentes na Prática, você não apenas aprenderá sobre o phishing, mas também se capacitará para enfrentar outras ameaças cibernéticas.
Nossos cursos são desenvolvidos por especialistas do setor e oferecem uma abordagem prática para garantir que você esteja verdadeiramente preparado para lidar com os desafios da segurança cibernética. Desde técnicas de prevenção até estratégias de resposta a incidentes, nosso objetivo é capacitar você com o conhecimento e as habilidades necessárias para proteger seus dados e sistemas. Junte-se a nós e fortaleça suas defesas cibernéticas hoje mesmo!
