O Que é Phishing? Desvendando os Segredos dos Ataques Cibernéticos
Você já ouviu falar sobre o termo "phishing," mas sabe o que realmente significa e como se proteger contra essa ameaça virtual? Neste extenso guia, exploraremos em detalhes o universo do phishing, sua história, tipos, como identificá-lo, e o mais importante, como se defender de ataques phishing. Além disso, forneceremos recomendações valiosas para empresas, destacando a importância do treinamento e cursos de segurança cibernética. Preparado para aprofundar seus conhecimentos sobre esse tópico crucial? Vamos lá!
O Que é Phishing?
Phishing é um crime cibernético no qual um ou mais alvos são contatados por e-mail, telefone ou mensagem de texto por alguém que se faz passar por uma instituição legítima. O objetivo é atrair indivíduos para fornecer dados sensíveis, como informações de identificação pessoal, detalhes bancários e de cartão de crédito, bem como senhas.
Essas informações são posteriormente usadas para acessar contas importantes, podendo resultar em roubo de identidade e perdas financeiras significativas.
O primeiro processo de phishing foi registrado em 2004, quando um adolescente californiano criou uma imitação do site "America Online". Por meio desse site falso, ele conseguiu obter informações sensíveis dos usuários e acessar os detalhes de seus cartões de crédito para retirar dinheiro de suas contas. Além do phishing por e-mail e sites, existem também o 'vishing' (phishing por voz), 'smishing' (phishing por SMS) e várias outras técnicas de phishing constantemente desenvolvidas por cibercriminosos.
História do Phishing
A Evolução do Phishing: Da AOL aos Dias Atuais
O phishing, tão conhecido e disseminado atualmente, não existe desde sempre. Embora a prática tenha surgido por volta de 1995, não se tornou amplamente reconhecida pelas pessoas comuns até quase uma década depois. No entanto, o phishing sempre foi uma ameaça significativa desde o início.
Origens do Nome
Os golpes de phishing usam e-mails e sites falsos como iscas para induzir as pessoas a fornecer voluntariamente informações sensíveis. O termo "phishing" é usado para descrever essas artimanhas, com o uso do "ph" no lugar do "f" na grafia por uma razão específica. Os primeiros hackers eram conhecidos como "phreaks," ligados à exploração de sistemas de telecomunicações. A grafia com "ph" estabeleceu a conexão entre esses golpes e essas comunidades clandestinas.
Primeira Menção Registrada
De acordo com registros da Internet, a primeira vez que o termo "phishing" foi usado e registrado foi em 2 de janeiro de 1996, em um grupo de notícias Usenet chamado AOHell. Foi na América Online (AOL) que surgiram os primeiros indícios do que se tornaria um problema criminal importante.
Origens do Phishing na América Online (AOL)
Na época em que a AOL era o principal provedor de acesso à Internet, milhões de pessoas se conectavam ao serviço todos os dias. Sua popularidade a tornou um alvo natural para aqueles com intenções duvidosas. Desde o início, hackers e aqueles que trocavam software pirateado usavam o serviço para se comunicar. Essa comunidade era chamada de "warez community" e, eventualmente, começou a realizar ataques de phishing.
Os phishers começaram roubando senhas de usuários e criando números de cartão de crédito aleatórios usando algoritmos. Embora raramente tivessem sucesso, causavam danos suficientes. Os números de cartão de crédito aleatórios eram usados para abrir contas da AOL, que eram usadas para enviar spam e outras atividades prejudiciais. Programas especiais, como o AOHell, simplificavam o processo. A AOL interrompeu essa prática em 1995, quando implementou medidas de segurança para evitar o uso bem-sucedido de números de cartão de crédito gerados aleatoriamente.
Início dos Ataques de Phishing
Com o fim do esquema de geração de números de cartão de crédito aleatórios, os phishers criaram técnicas que se tornariam comuns e duradouras. Eles enviavam mensagens para os usuários através do AOL Instant Messenger e e-mails, fazendo-se passar por funcionários da AOL. Essas mensagens solicitavam que os usuários verificassem suas contas ou confirmassem suas informações de pagamento. Muitas pessoas caíram na armadilha, pois nunca haviam visto nada parecido antes. O problema piorou quando os phishers criaram contas AIM pela Internet, que não podiam ser sancionadas pelo departamento de Termos de Serviço da AOL. Eventualmente, a AOL foi forçada a incluir avisos em seus clientes de e-mail e mensagens instantâneas para evitar que as pessoas fornecessem informações sensíveis por meio desses métodos.
A Evolução do Phishing
Em muitos aspectos, o phishing não mudou muito desde os dias da AOL. Em 2001, porém, os phishers voltaram sua atenção para sistemas de pagamento online. O primeiro ataque, em junho de 2001, direcionou a E-Gold e não foi considerado bem-sucedido, mas plantou uma semente importante. No final de 2003, os phishers registraram dezenas de domínios que pareciam sites legítimos, como eBay e PayPal. Eles usaram programas de e-mail para enviar e-mails falsificados aos clientes do PayPal, levando-os a sites falsos para atualizar seus detalhes de cartão de crédito.
No início de 2004, os phishers estavam obtendo sucesso em ataques a sites bancários e seus clientes. Janelas pop-up eram usadas para coletar informações sensíveis das vítimas. Entre maio de 2004 e maio de 2005, cerca de 1,2 milhão de usuários nos EUA sofreram perdas causadas por phishing, totalizando aproximadamente US$ 929 milhões. As organizações perdem cerca de US$ 2 bilhões por ano com o phishing.
O phishing é oficialmente reconhecido como parte integral do mercado negro. Software especializado surge em escala global para lidar com pagamentos de phishing, terceirizando enormes riscos. O software é implementado em campanhas de phishing por gangues do crime organizado.
No final de 2008, o Bitcoin e outras criptomoedas foram lançados, permitindo transações seguras e anônimas usando software malicioso, mudando o cenário para os cibercriminosos.
Ameaças Atuais de Phishing
A partir de 2017, os phishers começaram a adotar o HTTPS com mais frequência em seus sites. Quando você clica em um link de phishing, os sites que tentam enganá-lo a inserir credenciais e informações pessoais implementam a criptografia da web pelo menos 24% das vezes. A presença do cadeado verde pode dar uma falsa sensação de segurança. Na realidade, isso apenas indica que o tráfego entre o servidor e o navegador do usuário está criptografado e protegido contra interceptações.
Um ataque de phishing direcionado a organizações associadas aos Jogos Olímpicos de Inverno de 2018 foi o primeiro a usar uma ferramenta do PowerShell chamada Invoke-PSImage, permitindo que invasores ocultassem scripts maliciosos em arquivos de imagem que, a princípio, parecem inofensivos. Em 2018, as campanhas de phishing de cartões-presente que começaram em 2018 continuaram a evoluir em 2019, com cybercriminosos aprimorando suas táticas para coletar informações pessoais e financeiras de alvos inconscientes.
Os ataques de "hijacking" de conversações, nos quais hackers se inserem em conversas de e-mail entre partes conhecidas e confiáveis, começaram a ser usados. Em 2019, o "Vendor Email Compromise" surgiu como um novo tipo de ataque, visando organizações com cadeias de suprimentos globais.
Em 2020, as táticas de phishing continuaram a evoluir, incluindo o redirecionamento de links de e-mail para resultados falsos de pesquisa do Google, páginas de login falsas e campanhas relacionadas à pandemia. Essas mudanças na maneira de pensar dos atacantes tornam essencial que as organizações não considerem apenas suas soluções de segurança como última linha de defesa. Os usuários devem desempenhar um papel fundamental na segurança organizacional.
Tipos de Phishing
O phishing envolve um atacante tentando enganar alguém para fornecer informações sensíveis de sua conta ou outros dados de login online. Todos os diferentes tipos de phishing são projetados para tirar vantagem do fato de que muitas pessoas fazem negócios pela internet. Isso torna o phishing uma das ameaças de cibersegurança mais prevalentes, rivalizando com ataques de negação de serviço distribuído (DDoS), violações de dados e muitos tipos de malware.
- Phishing Direcionado (Spear Phishing)
Envolvendo o direcionamento de um indivíduo específico na organização para roubar suas credenciais de login.O atacante geralmente coleta informações sobre a pessoa, como nome, cargo e detalhes de contato. - Phishing por Telefone (Vishing)
Usando o telefone para tentar roubar informações, com o atacante se passando por uma pessoa de confiança ou parente. - Phishing por E-mail (Email Phishing)
Enviando e-mails que parecem legítimos, projetados para enganar o destinatário a fornecer informações em resposta ou em um site usado pelo hacker para roubar ou vender dados. - Phishing por HTTPS (HTTPS Phishing)
Envolvendo o envio de um e-mail com um link para um site falso, enganando a vítima a fornecer informações privadas. - Pharming
Código malicioso instalado no computador da vítima, redirecionando-a para um site falso projetado para coletar suas credenciais de login. - Phishing de Pop-up (Pop-up Phishing)
Usando pop-ups que alegam problemas de segurança no computador para induzir a vítima a clicar e baixar malware ou ligar para um suposto centro de suporte. - Phishing do Gêmeo Malévolo (Evil Twin Phishing)
Configurando uma falsa rede Wi-Fi que parece real, capturando informações quando alguém faz login. - Phishing do Local de Bebida (Watering Hole Phishing)
Envolvendo o ataque a um site que um grupo de usuários costuma visitar, a fim de infectar seus computadores e acessar a rede. - Whaling
Ataque de phishing direcionado a um executivo sênior, que frequentemente tem acesso a áreas sensíveis da rede. - Phishing de Clonagem (Clone Phishing)
O atacante faz uma cópia idêntica de uma mensagem que o destinatário já recebeu, incluindo um link malicioso. - Phishing Enganoso (Deceptive Phishing)
Usando tecnologia enganosa para se passar por uma empresa real e informar as vítimas de que já estão sofrendo um ciberataque, levando-as a clicar em um link malicioso. - Engenharia Social (Social Engineering)
Pressionando alguém a revelar informações sensíveis por meio de manipulação psicológica. - Phishing de Pescador (Angler Phishing)
Usando postagens falsas nas redes sociais para fazer as pessoas fornecerem informações de login ou baixarem malware. - Phishing por Mensagem de Texto (Smishing)
Phishing por meio de mensagens de texto ou SMS. - Ataques Man-in-the-Middle (MITM)
O hacker se insere "no meio" de duas partes para roubar informações trocadas entre elas, como credenciais de conta. - Phishing de Falsificação de Sites (Website Spoofing)
O hacker cria um site falso que parece legítimo, onde as vítimas inserem suas informações. - Phishing de Falsificação de Domínio (Domain Spoofing)
O atacante imita o domínio de uma empresa para enganar as pessoas a fornecer informações. - Phishing de Imagens (Image Phishing)
Usando imagens com arquivos maliciosos para roubar informações da conta ou infectar o computador. - Phishing de Mecanismo de Busca (Search Engine Phishing)
Criando produtos falsos em mecanismos de busca para roubar informações antes da compra.
Identificar um ataque de phishing pode ser desafiador, já que os criminosos usam táticas de engano avançadas. No entanto, alguns sinais de alerta incluem:
- Erros de ortografia e gramática em mensagens e sites.
- URLs suspeitas
Verifique se o URL corresponde à instituição real. - Solicitações de informações pessoais
Empresas legítimas raramente solicitam informações confidenciais por e-mail ou telefone. - Pressão para agir rapidamente
Criminosos costumam criar um senso de urgência.
Como se Proteger de Ataques de Phishing
- Mantenha-se Informado Sobre Técnicas de Phishing – Novos golpes de phishing são desenvolvidos o tempo todo. Sem ficar por dentro dessas novas técnicas, você pode inadvertidamente cair em uma delas. Esteja atento às notícias sobre novos golpes de phishing. Descobrindo-os o mais cedo possível, você estará em um risco muito menor de ser pego por um. Para administradores de TI, treinamentos contínuos de conscientização de segurança e simulações de phishing para todos os usuários são altamente recomendados para manter a segurança em mente em toda a organização.
- Pense Antes de Clicar! – Está tudo bem clicar em links quando você está em sites confiáveis. No entanto, clicar em links que aparecem em e-mails aleatórios e mensagens instantâneas não é uma jogada inteligente. Passe o mouse sobre os links sobre os quais você não tem certeza antes de clicar neles. Eles levam para onde deveriam? Um e-mail de phishing pode alegar ser de uma empresa legítima e, quando você clica no link para o site, ele pode parecer exatamente com o site real. O e-mail pode pedir que você preencha as informações, mas pode não conter o seu nome. A maioria dos e-mails de phishing começa com "Prezado Cliente", então você deve ficar alerta ao encontrar esses e-mails. Em caso de dúvida, vá diretamente à fonte em vez de clicar em um link potencialmente perigoso.
- Verifique a Segurança de um Site – É natural ficar um pouco desconfiado ao fornecer informações financeiras sensíveis online. Contanto que você esteja em um site seguro, no entanto, você não deverá ter problemas. Antes de enviar qualquer informação, certifique-se de que o URL do site comece com "https" e haja um ícone de cadeado fechado perto da barra de endereço. Verifique também o certificado de segurança do site. Se você receber uma mensagem dizendo que um determinado site pode conter arquivos maliciosos, não abra o site. Nunca faça download de arquivos de e-mails ou sites suspeitos. Até os motores de busca podem mostrar links que levam os usuários a uma página de phishing que oferece produtos a baixo custo. Se o usuário fizer compras em um site assim, os detalhes do cartão de crédito serão acessados por cibercriminosos.
- Verifique Suas Contas Online Regularmente – Se você não visita uma conta online por um tempo, alguém pode estar se divertindo com ela. Mesmo que você tecnicamente não precise, verifique regularmente cada uma de suas contas online. Adquira o hábito de alterar suas senhas regularmente também. Para evitar golpes de phishing bancário e de cartão de crédito, você deve verificar pessoalmente seus extratos regularmente. Obtenha extratos mensais de suas contas financeiras e verifique cuidadosamente cada entrada para garantir que nenhuma transação fraudulenta tenha sido feita sem o seu conhecimento.
- Mantenha Seu Navegador Atualizado – Correções de segurança são lançadas para navegadores populares o tempo todo. Elas são lançadas em resposta às brechas de segurança que golpistas e outros hackers inevitavelmente descobrem e exploram. Se você geralmente ignora mensagens sobre atualizar seus navegadores, pare. Assim que uma atualização estiver disponível, faça o download e instale-a.
- Use Firewalls – Firewalls de alta qualidade funcionam como barreiras entre você, seu computador e intrusos externos. Você deve usar dois tipos diferentes: um firewall de desktop e um firewall de rede. A primeira opção é um tipo de software, e a segunda é um tipo de hardware. Quando usados juntos, eles reduzem drasticamente as chances de hackers e golpistas infiltrarem seu computador ou rede.
- Desconfie de Pop-Ups – Janelas pop-up frequentemente se disfarçam como componentes legítimos de um site. Com muita frequência, no entanto, são tentativas de phishing. Muitos navegadores populares permitem que você bloqueie pop-ups; você pode permiti-los caso a caso. Se um pop-up passar pelas brechas, não clique no botão "Cancelar"; esses botões geralmente levam a sites de phishing. Em vez disso, clique no pequeno "x" no canto superior da janela.
- Nunca Forneça Informações Pessoais – Como regra geral, você nunca deve compartilhar informações pessoais ou financeiramente sensíveis pela Internet. Essa regra remonta aos dias do America Online, quando os usuários tinham que ser constantemente avisados devido ao sucesso dos primeiros golpes de phishing. Em caso de dúvida, visite o site principal da empresa em questão, pegue o número deles e ligue para eles. A maioria dos e-mails de phishing direcionará você para páginas que solicitam informações financeiras ou pessoais. Um usuário da Internet nunca deve fornecer informações confidenciais por meio dos links fornecidos nos e-mails. Nunca envie um e-mail com informações sensíveis para ninguém. Faça disso um hábito de verificar o endereço do site. Um site seguro sempre começa com "https".
- Use Software Antivírus – Existem muitas razões para usar software antivírus. Assinaturas especiais que estão incluídas no software antivírus protegem contra contornos de tecnologia conhecidos e brechas. Certifique-se apenas de manter seu software atualizado. Novas definições são adicionadas o tempo todo porque novos golpes também são inventados o tempo todo. Anti-spyware e configurações de firewall devem ser usadas para prevenir ataques de phishing e os usuários devem atualizar os programas regularmente. A proteção de firewall impede o acesso a arquivos maliciosos bloqueando os ataques. O software antivírus verifica todos os arquivos que passam pela Internet para o seu computador. Ele ajuda a prevenir danos
- Adote abordagens de Autenticação Multifatorial (MFA) em todas as suas contas online - Essas estratégias desempenham um papel fundamental na salvaguarda das suas contas contra ameaças de phishing. Embora existam diversas modalidades para implementar o MFA, como aplicativos, mensagens de texto (SMS) ou e-mails, a abordagem mais segura envolve a utilização de dispositivos de hardware que seguem os padrões do FIDO (Fast Identity Online).
O Que é a Autenticação Multifatorial (MFA)/Autenticação de dois fatores (2FA)
Ao acessar suas contas online - um processo que chamamos de "autenticação" - você está provando para o serviço que você é quem diz ser. Tradicionalmente, isso é feito com um nome de usuário e uma senha. Infelizmente, essa não é uma maneira muito eficaz de fazer isso. Nomes de usuário muitas vezes são fáceis de descobrir; às vezes, eles são apenas seu endereço de e-mail. Como senhas podem ser difíceis de lembrar, as pessoas tendem a escolher senhas simples ou usar a mesma senha em vários sites diferentes.
É por isso que quase todos os serviços online - bancos, redes sociais, compras e sim, Microsoft 365 também - adicionaram uma maneira de tornar suas contas mais seguras. Você pode ouvir falar disso como "Verificação em Duas Etapas" ou "Autenticação Multifatorial", mas todos eles operam com o mesmo princípio. Quando você faz login na conta pela primeira vez em um novo dispositivo ou aplicativo (como um navegador da web), você precisa de mais do que apenas o nome de usuário e a senha. Você precisa de uma segunda coisa - o que chamamos de segundo "fator" - para provar quem você é.
Um fator na autenticação é uma maneira de confirmar sua identidade quando você tenta fazer login. Por exemplo, uma senha é um tipo de fator, é algo que você sabe. Os três tipos mais comuns de fatores são:
- Algo que você sabe - Como uma senha ou um PIN memorizado.
- Algo que você tem - Como um smartphone ou uma chave USB segura.
- Algo que você é - Como uma impressão digital ou reconhecimento facial.
Como Funciona a Autenticação Multifatorial?
Vamos supor que você vai fazer login na sua conta de trabalho ou escola e insere seu nome de usuário e senha. Se isso for tudo o que você precisa, qualquer pessoa que conheça seu nome de usuário e senha pode fazer login como você de qualquer lugar do mundo!
Mas se você tem a autenticação multifatorial ativada, as coisas ficam mais interessantes. Na primeira vez que você faz login em um dispositivo ou aplicativo, você insere seu nome de usuário e senha como de costume e, em seguida, recebe uma solicitação para inserir o segundo fator para verificar sua identidade.
Talvez você esteja usando o aplicativo gratuito Microsoft Authenticator como seu segundo fator. Você abre o aplicativo no seu smartphone, ele mostra um número de 6 dígitos exclusivo e dinamicamente criado que você digita no site e você entra.
Se outra pessoa tentar fazer login como você, no entanto, ela inserirá seu nome de usuário e senha e, quando for solicitada a inserir o segundo fator, ficará presa! A menos que tenha O SEU smartphone, ela não tem como obter aquele número de 6 dígitos para inserir. E o número de 6 dígitos no Microsoft Authenticator muda a cada 30 segundos, então mesmo que ela saiba o número que você usou para fazer login ontem, ainda ficará bloqueada.
Tópicos importantes
Você não terá que fazer a segunda etapa com muita frequência. Algumas pessoas se preocupam que a autenticação multifatorial será muito inconveniente, mas geralmente ela é usada apenas na primeira vez que você faz login em um aplicativo ou dispositivo, ou na primeira vez que faz login após alterar sua senha. Depois disso, você só precisará do seu fator primário, geralmente uma senha, como faz agora.
A segurança adicional vem do fato de que alguém tentando invadir sua conta provavelmente não está usando seu dispositivo, então eles precisarão do segundo fator para entrar.
A autenticação multifatorial não é apenas para trabalho ou escola. Quase todos os serviços online, desde seu banco até seu e-mail pessoal e suas contas de redes sociais, oferecem suporte para adicionar uma segunda etapa de autenticação, e você deve acessar as configurações de conta desses serviços e ativá-la.
Senhas comprometidas são uma das maneiras mais comuns pelas quais os mal-intencionados podem acessar seus dados, sua identidade ou seu dinheiro. Usar a autenticação multifatorial é uma das maneiras mais fáceis de tornar isso muito mais difícil para eles.
Recomendações para Empresas
As empresas desempenham um papel crucial na luta contra o phishing, pois são frequentemente alvos de ataques cibernéticos. Implementar uma abordagem abrangente de segurança cibernética é essencial para proteger não apenas os dados da empresa, mas também para contribuir para a segurança global da Internet. Aqui estão algumas diretrizes detalhadas para empresas:
- Treinamento de Conscientização em Segurança Cibernética
Educação dos Usuários: Promova a conscientização dos funcionários sobre engenharia social e as táticas empregadas em ataques de phishing. Ofereça treinamento regular para mantê-los atualizados sobre as últimas ameaças cibernéticas. - Implemente o DMARC
Autenticação de E-mails: Adote o Protocolo de Autenticação de Mensagens, Relatórios e Conformidade de Domínio (DMARC) para verificar a autenticidade dos e-mails recebidos. Isso ajuda a evitar a falsificação de remetentes. - Monitoramento Interno
Acompanhamento Proativo: Estabeleça um sistema de monitoramento para identificar atividades suspeitas no tráfego de e-mails e mensagens internas. Isso permite a detecção precoce de possíveis ataques de phishing. - Fortalecimento de Credenciais
Autenticação de Dois Fatores (2FA): Implemente a autenticação de dois fatores (2FA) com foco em FIDO/FIDO2. Isso acrescenta uma camada adicional de segurança, exigindo que os usuários forneçam duas formas de autenticação para acessar suas contas. - Treinamento para Empresas
Treinamento Específico: Ofereça treinamento em segurança cibernética adaptado às necessidades da sua empresa. Certifique-se de que os funcionários compreendam as políticas e procedimentos de segurança. - Centralize Logins com SSO
Simplificação do Acesso: Implemente um sistema de autenticação única (SSO) para simplificar o processo de login dos usuários. Isso permite que eles acessem várias contas com um único login seguro. - Reveja Configurações MFA
Monitoramento Proativo: Estabeleça uma rotina de monitoramento para revisar e ajustar as configurações de autenticação de dois fatores (2FA). Bloqueie contas imediatamente em caso de atividades suspeitas ou tentativas maliciosas de login. - Plano de Resposta a Incidentes
Preparação para Emergências: Desenvolva um plano de resposta a incidentes de phishing documentado. Esse plano deve incluir procedimentos claros e eficazes para lidar com incidentes de phishing, minimizando danos e restaurando a segurança da empresa.
A implementação dessas recomendações contribuirá significativamente para fortalecer a postura de segurança cibernética de sua empresa e reduzir os riscos associados a ataques de phishing.
Conclusão
Em um mundo cada vez mais digital, o phishing é uma ameaça real que afeta pessoas e empresas em todo o mundo. Entender o que é phishing, suas origens, tipos e como se proteger é fundamental. Com a utilização de tecnologias de autenticação segura, como o FIDO e dispositivos de segurança como a chave Lockeet, somos capazes de defender-nos eficazmente contra esses ataques. Além disso, as empresas desempenham um papel crucial na educação e treinamento de seus funcionários para combater essa ameaça.
Lembre-se, a segurança cibernética é responsabilidade de todos nós. Este guia visa capacitá-lo com o conhecimento necessário para se proteger e ajudar a criar um ambiente online mais seguro para todos. Mantenha-se vigilante e esteja preparado para enfrentar as ameaças do mundo virtual.
Fontes:
https://www.fortinet.com/resources/cyberglossary/types-of-phishing-attacks
https://www.phishing.org/history-of-phishing
https://support.microsoft.com/en-gb/topic/what-is-multifactor-authentication-e5e39437-121c-be60-d123-eda06bddf661