Phishing é um ataque cibernético que usa e-mail disfarçado como arma. O objetivo é enganar o destinatário do email para que ele acredite que a mensagem é algo que deseja ou precisa – uma solicitação do banco, por exemplo, ou uma observação de alguém da empresa – e clicar em um link ou baixar um anexo.

O que realmente distingue o phishing é a forma que a mensagem leva: os atacantes se mascaram como uma entidade confiável de algum tipo, geralmente uma pessoa real ou plausivelmente real, ou uma empresa com a qual a vítima pode fazer negócios . É um dos mais antigos tipos de ciberataques , que datam de volta para a década de 1990, e ainda é um dos mais generalizada e perniciosa, com mensagens de phishing e técnicas cada vez mais sofisticadas.

“Phish” é pronunciado como se fosse escrito, o que equivale a dizer “peixe” – a analogia é de um pescador jogando um gancho com isca por aí (o e-mail de phishing) e esperando que você morda. O termo surgiu em meados dos anos 1990 entre os hackers com o objetivo de enganar AOL usuários em desistir de seu logon informações. O “ph” faz parte de uma tradição de caprichosa hacker de ortografia, e foi provavelmente influenciada pelo termo “phreaking”, abreviação de “phone phreaking “, uma forma primitiva de pirataria , que envolveu jogando tons de som em aparelhos de telefone para obter livre telefonemas .

Alguns golpes de phishing tiveram sucesso suficiente para causar ondas:

  • Talvez um dos ataques de phishing mais importantes da história tenha ocorrido em 2016, quando hackers conseguiram que John Podesta, presidente da campanha de Hillary Clinton, oferecesse sua senha do Gmail .
  • O ataque “fappening” , em que fotos íntimas de várias celebridades foram divulgadas , foi originalmente pensado como resultado da insegurança nos servidores iCloud , da Apple , mas na verdade foi o produto de várias tentativas bem-sucedidas de phishing.
  • Em 2016, os funcionários da Universidade do Kansas responderam a um e-mail de phishing e entregaram o acesso a suas informações de depósito em cheque , resultando na perda de pagamento.

O que é um kit de phishing?

A disponibilidade de kits de phishing torna mais fácil para os criminosos cibernéticos , mesmo aqueles com habilidades técnicas mínimas, lançar campanhas de phishing . Um kit de phishing ‍ inclui recursos e ferramentas de sites de phishing que precisam ser instalados apenas em um servidor. Uma vez instalado, tudo o que o invasor precisa fazer é enviar e – mails para possíveis vítimas. Os kits de phishing e as listas de discussão estão disponíveis na web escura . Alguns sites, o Phishtank e o OpenPhish , mantêm listas de kits de phishing conhecidos.

O relatório do Duo Labs , Phish in a Barrel , inclui uma análise da reutilização do kit de phishing. Dos 3.200 kits de phishing que a Duo descobriu, 900 (27%) foram encontrados em mais de um host. Esse número pode realmente ser maior, no entanto. “Por que não vemos uma porcentagem maior de reutilização de kits? Talvez, porque foram de medição com base no SHA1 de hash dos componentes do kit. Uma única alteração em apenas um arquivo do kit apareceria como dois kits separados, mesmo quando idênticos ”, disse Jordan Wright, engenheiro sênior de P & D da Duo e autor do relatório.

Analisando kits de phishing permite que as equipes de segurança para controlar quem está usando-los. “Uma das coisas mais úteis que podemos aprender com a análise de kits de phishing é onde as credenciais estão sendo enviadas. Ao rastrear endereços de e-mail encontrados em kits de phishing, podemos correlacionar atores a campanhas específicas e até kits específicos ”, disse Wright no relatório. “Fica ainda melhor. Não apenas podemos ver para onde as credenciais são enviadas, mas também ver onde as credenciais afirmam ser enviadas. Os criadores de kits de phishing geralmente usam o cabeçalho ‘De’ como um cartão de assinatura , o que nos permite encontrar vários kits criados pelo mesmo autor. ”

Tipos de phishing

Se há um denominador comum entre os ataques de phishing , é o disfarce. Os invasores falsificam seu endereço de e-mail para que pareça que está vindo de outra pessoa, configuram sites falsos parecidos com os que a vítima confia e usam conjuntos de caracteres estrangeiros para disfarçar URLs .

Agora ficou mais fácil para as organizações de TI usar suas equipes existentes para agregar valor ao negócio com código baixo. Saiba mais neste artigo.

Dito isso, há uma variedade de técnicas que se enquadram no guarda-chuva do phishing. Existem algumas maneiras diferentes de dividir os ataques em categorias. Uma é pelo propósito da tentativa de phishing. Geralmente, uma campanha de phishing tenta fazer com que a vítima faça uma das duas coisas:

  • Entregue informações confidenciais. Essas mensagens visam enganar o usuário para que ele revele dados importantes – geralmente um nome de usuário e uma senha que o invasor pode usar para violar um sistema ou uma conta. A versão clássica desse esquema envolve o envio de um email sob medida para parecer uma mensagem de um grande banco; por spam a mensagem a milhões de pessoas, os atacantes garantir que pelo menos alguns dos destinatários serão os clientes desse banco. A vítima clica em um link na mensagem e é levada para um site malicioso projetado para se assemelhar à página da Web do banco e, com sorte, insere seu nome de usuário e senha. O invasor agora pode acessar a conta da vítima.
  • Transferir malware ‍. Como um monte de spam , esses tipos de e-mail de phishing visam fazer com que a vítima infecte seu próprio computador com malware. Muitas vezes, as mensagens são “soft target” – elas podem ser enviadas para um funcionário de RH com um anexo que parece ser um currículo de candidato a emprego , por exemplo. Esses anexos geralmente são arquivos .zip ou documentos do Microsoft Office com código incorporado mal-intencionado . A forma mais comum de código malicioso é o ransomware – no ano passado, estimava-se que 93% dos e-mails de phishing continham anexos de ransomware .

Há também várias maneiras diferentes de os e-mails de phishing serem segmentados. Como observamos, às vezes eles não são direcionados a todos; e-mails são enviados a milhões de vítimas potenciais para tentar induzi-los a fazer login em versões falsas de sites muito populares. A Vade Secure registrou as marcas mais populares que os hackers usam em suas tentativas de phishing. Outras vezes, os invasores podem enviar e-mails com “soft targeting” para alguém desempenhando um papel específico em uma organização, mesmo que não saibam nada sobre eles pessoalmente.

Principais marcas que os hackers usam em e-mails de phishing de acordo com o Vade Secure .

Mas alguns ataques de phishing têm como objetivo obter informações de login ou infectar os computadores de pessoas específicas. Os atacantes dedicam muito mais energia para enganar as vítimas, que foram selecionadas porque as recompensas potenciais são bastante altas.

Spear phishing

OutSystems é uma plataforma de baixo código que permite desenvolver …

Quando atacantes tentar criar uma mensagem para apelar a um indivíduo específico, que é chamado de spear phishing . (A imagem é de um pescador apontando para um peixe específico, em vez de apenas jogar um anzol na água para ver quem morde.) Os phishers identificam seus alvos (às vezes usando informações em sites como o LinkedIn) e usam endereços falsospara enviar e-mails poderia plausivelmente parecer que eles estão vindo de colegas de trabalho. Por exemplo, o spear phisher pode ter como alvo alguém no departamento financeiro e fingir ser o gerente da vítima solicitando uma grande transferência bancária em curto prazo.

Vídeo relacionado :

 

Phishing de baleia

O phishing de baleias, ou whaling , é uma forma de spear phishing destinada ao peixe muito grande – CEOs ou outros alvos de alto valor. Muitos desses golpes – visam os membros do conselho da empresa , que são considerados particularmente vulneráveis : têm grande autoridade dentro de uma empresa, mas como não são funcionários em tempo integral, costumam usar endereços de e-mail pessoais para correspondência relacionada aos negócios. que não tem as proteções oferecidas pelo email corporativo.

Reunir informações suficientes para enganar um alvo realmente de alto valor pode levar tempo, mas pode ter um resultado surpreendentemente alto. Em 2008, os cibercriminosos tiveram como alvo CEOs corporativos com e-mails que alegavam ter intimações do FBI attached em anexo. Na verdade, eles baixaram keyloggers – nos computadores dos executivos – e a taxa de sucesso dos golpistas foi de 10%, atingindo quase 2.000 vítimas.

Outros tipos de phishing incluem phishing clone , vishing , snowshoeing. Este artigo explica as diferenças entre os vários tipos de ataques de phishing .

Como evitar phishing

A melhor maneira de aprender a identificar e-mails de phishing é estudar exemplos capturados na natureza! Este webinar da Cyren começa com um site de phishing ao vivo, mascarado como um login do PayPal , tentando que as vítimas entreguem suas credenciais. Confira o primeiro minuto ou mais do vídeo para ver os sinais indicadores de um site de phishing.

Mais exemplos podem ser encontrados em um site mantido pelo departamento de serviços de tecnologia da Lehigh University, onde eles mantêm uma galeria de e-mails de phishing recebidos por alunos e funcionários .

[Veja 15 exemplos reais de phishing – e como reconhecê-los ]

Há também uma série de passos que você pode tomar e mentalidades que você deve entrar para evitar que você se torne uma estatística de phishing, incluindo:

  • Sempre verifique a ortografia dos URLs nos links de email antes de clicar ou inserir informações confidenciais
  • Cuidado com os redirecionamentos de URL , onde você é enviado de maneira sutil para um website diferente com design idêntico
  • Se você receber um e-mail de uma fonte que conhece, mas parecer suspeito ‍, entre em contato com essa fonte com um novo e-mail, em vez de apenas responder
  • Não publique dados pessoais , como seu aniversário, planos de férias ou seu endereço ou número de telefone, publicamente nas mídias sociais

Estas são as mensagens de phishing mais clicadas, de acordo com um relatório Q2 2018 da empresa de treinamento de conscientização de segurança KnowBe4 ‍.

Se você trabalha no departamento de segurança de TI da sua empresa , pode implementar medidas proativas para proteger a organização, incluindo:

  • ” sandboxing ‍” email de entrada, verificando a segurança de cada link em que um usuário clica
  • Inspecionando e analisando o tráfego da web
  • Teste a sua organização para encontrar pontos fracos e use os resultados para educar os funcionários
  • Recompensando o bom comportamento, talvez apresentando uma “captura do dia” se alguém identificar um e-mail de phishing.