Ataques de phishing 101: tipos de ataques de phishing e como evitá-los

Phishing

O phishing é uma forma de ataque cibernético de engenharia social que tenta roubar informações confidenciais/valiosas da vítima. Os ataques de phishing são bastante eficazes, pois o atacante se disfarça de entidade confiável por meio de e-mails ou SMS, cujo conteúdo foi criado para enganar a vítima. Essas mensagens de texto e e-mails definitivamente serão incorporados a links maliciosos que redirecionam o destinatário para sites maliciosos, que então instalam automaticamente malware, ransomware ou revelam seus dados confidenciais.

Essencialmente, o objetivo principal dos golpes de phishing é obter informações confidenciais e confidenciais, como credenciais de login, informações financeiras etc.

Os ataques de phishing oferecem aos atacantes uma posição em redes corporativas ou governamentais para ajudá-los a promover ataques em grande escala. Por exemplo, quando os hackers atacam grandes corporações e organizações, seus funcionários são enganados e comprometidos. Isso permite que eles ignorem as medidas de segurança da organização e distribuam malware em toda a rede. Essas organizações sofrem uma violação de dados, o que pode levar à perda financeira e de reputação.

Aqui está um exemplo de um e-mail de phishing:

Tipos de ataques de phishing

Phishing por e-mail

A forma mais comum de ataques de phishing são os golpes por e-mail. O atacante se disfarça de autoridade confiável e se esforça até mesmo para registrar um domínio falso que se assemelha a uma organização genuína. Em seguida, eles enviam centenas ou até milhares de solicitações genéricas.

Os nomes de domínio geralmente são falsificados com a ajuda de caracteres ou palavras/alfabetos parecidos. Por exemplo, as letras 'r' e 'n' são colocadas juntas ('rn') se assemelham a um 'm', e '0' (zero) pode ser usado em vez de 'o'.

Para evitar cair nesses ataques de phishing, deve-se ter cuidado com os e-mails que eles recebem. Eles devem analisar cuidadosamente o endereço de e-mail do remetente antes de clicar em qualquer link suspeito incorporado no e-mail ou abrir um anexo.

Spear Phishing

Os ataques de spear phishing são semelhantes ao phishing por e-mail, na medida em que o ator, disfarçado de entidade confiável, tenta induzir o usuário a clicar em um link malicioso ou anexo para roubar informações confidenciais. No entanto, os e-mails de spear phishing são altamente direcionados a determinados indivíduos ou organizações. Os atores se passam por um funcionário sênior, colega ou parceiro de negócios para enviar e-mails personalizados com intenção maliciosa

O atacante que enviar e-mails de spear phishing possuirá algumas ou todas as seguintes informações sobre o alvo:

• Nome
• Local de trabalho
• Título do trabalho
• Endereço de e-mail pessoal/oficial
• Informações específicas relacionadas à sua função profissional

Uma das violações de dados mais famosas da história recente, a invasão do Comitê Nacional Democrata foi o resultado de um ataque bem-sucedido de spear phishing.

Caça à baleia

Um ataque de caça às baleias é muito semelhante aos ataques de spear phishing, embora os alvos sejam oficiais de alto escalão ou CXOs. Como esses ataques são bem pesquisados e altamente direcionados, detectá-los e evitá-los se torna mais difícil. Esses e-mails usam linhas de assunto que solicitam uma ação imediata do destinatário. Os ataques de caça às baleias, portanto, geralmente recorrem a linhas de assunto de e-mail relacionadas à declaração de imposto de renda, formulário de imposto, etc.

Kits de phishing

Um kit de phishing é um conjunto de materiais/ferramentas que permite ao atacante, que pode até não ter conhecimento técnico, criar e lançar uma campanha de phishing aparentemente genuína. Um kit de phishing agrupa recursos e ferramentas de sites de phishing, permitindo que o invasor simplesmente o instale no servidor e envie e-mails aos alvos, sem qualquer demora.

Anatomia de um kit de phishing

A imagem a seguir mostra como um kit de phishing é feito e como ele funciona:

Como evitar ataques de phishing

Os agentes de ameaças geralmente têm como alvo corporações e organizações, em vez de indivíduos específicos. Portanto, é do interesse da organização e de seus funcionários impedir qualquer tentativa de roubar seus dados confidenciais. Para conseguir isso, eles precisam considerar as seguintes etapas:

Conscientização dos funcionários

As campanhas de conscientização ajudam a resolver esse problema em grande medida e a minimizar o risco decorrente desse vetor de ataque. Ele impõe boas práticas de higiene cibernética. Como os ataques de phishing podem ter como alvo qualquer funcionário, sem exceções, todos, incluindo funcionários/executivos de alto escalão, devem ser treinados para identificar a ameaça e enfrentá-la.

Verificação multifatorial

Todas as solicitações de acesso ou transferência de dados confidenciais ou confidenciais devem passar por vários níveis de verificação antes de serem permitidas. Autenticação de dois fatores (2FA) é a maneira mais eficaz de evitar ataques de phishing direcionados a aplicativos confidenciais. A 2FA depende de dois fatores para obter acesso a um arquivo ou recurso. Isso inclui PINs/senhas, OTPs, crachás, biometria etc. Mesmo que os funcionários estejam comprometidos, as medidas de autenticação multifatorial reduzem a chance de um ataque cibernético bem-sucedido.

Educação em mídias sociais

Essa é uma extensão da conscientização dos funcionários. Muitas vezes, descobriu-se que as informações publicadas pelos funcionários nas redes sociais foram usadas pelos atacantes para criar ataques de phishing. Isso exige programas de conscientização que os eduquem sobre as melhores práticas de mídia social.

Ferramentas anti-phishing

Ataques de engenharia social, como phishing ou caça às baleias, exploram erros humanos, ao contrário de outras formas de ataques cibernéticos. Os fornecedores que oferecem software antiphishing e serviços gerenciados de segurança ajudam a evitar a caça às baleias e outras formas de ataques de phishing.

O Grupo de Trabalho Anti-Phishing (APWG) é uma organização dedicada à pesquisa e prevenção de cibersegurança e phishing. Ele fornece recursos para empresas afetadas pelo phishing e conduz pesquisas para fornecer informações sobre as ameaças mais recentes. As empresas podem optar por denunciar uma suspeita de ameaça ao APWG para análise.

Ataques de phishing mais caros

1. Facebook e Google

Facebook e Google, juntos, foram roubados em mais de 100 milhões de dólares, entre 2013 e 2015. Os atores realizaram a campanha por meio de um elaborado golpe de fatura falsa. Um hacker lituano se disfarçou de grande fabricante asiático e enviou a cada empresa uma série de faturas falsas.

2. Sony Pictures

Em outro caso, Funcionários da Sony foram alvos por meio de uma série de e-mails de spear phishing. O Linkedin fazia parte das táticas do adversário. Eles obtiveram nomes e títulos de funcionários da Sony neste site de rede profissional. Os atores se passaram por colegas e enviaram e-mails maliciosos, repletos de malware, para alvos desavisados. Isso levou a uma grande violação de dados envolvendo mais de 100 TB de dados da empresa, o que custou à Sony mais de 100 milhões de dólares.

3. Banco Crelan

O Crelan Bank na Bélgica perdeu 75,8 milhões de dólares em um ataque de fraude de CEO. A empresa foi notificada sobre esse ataque somente durante uma auditoria interna. Embora os atacantes responsáveis não tenham sido identificados, o Banco Crelan implementou novas medidas de segurança para evitar outro ataque semelhante.

Para obter mais detalhes e informações sobre assuntos de e-mail de phishing, consulte: https://blog.knowbe4.com/topic/top-clicked-phishing-email-subjects