Os ataques de phishing, que são ataques de engenharia social que visam roubar dados dos usuários, estão passando por uma revolução. O rápido desenvolvimento recente da IA fez mais do que abrir novos caminhos para empresas legítimas: o ChatGPT está agora a ser utilizado para conduzir esquemas de phishing.
Saiba como o LayerX pode ajudar sua equipe de segurança
O que são ataques de phishing?
O phishing existe há quase tanto tempo quanto a Internet. Os primeiros ataques aproveitaram a segurança rudimentar de e-mail, que permitiu que os invasores raspassem endereços de e-mail e disparassem mensagens maliciosas pelas ondas aéreas. A figura de proa dos primeiros ataques de phishing foi o golpe do Príncipe Nigeriano. Nisto, um membro da aparente família real nigeriana chegaria às vítimas em potencial, oferecendo uma quantia de dinheiro exorbitante. Aproveitando as suas inseguranças financeiras, a quantia seria prometida aos indivíduos vulneráveis assim que enviassem uma “taxa de processamento”.
Os ataques modernos adotaram esse modelo e cresceram e floresceram muito além dos truques carregados de erros de digitação. Graças ao grande volume de informações tratadas atualmente pelas contas online, os invasores agora pretendem coletar qualquer coisa, desde detalhes de contas bancárias até nomes de usuário e senhas. Sob o disfarce de uma fonte legítima e respeitável, um invasor tenta extrair informações com uma solicitação atraente ou alarmante.
Numa recente prova de conceito – apesar do aviso da ferramenta sobre uma potencial violação da sua política de conteúdo – os investigadores solicitaram que a ferramenta se passasse por um e-mail de uma empresa de alojamento. Isso criou um bom primeiro rascunho. Repetindo essa primeira tentativa, eles solicitaram uma variação que convencesse o alvo a baixar um documento Trojan Excel.
Este foi o resultado:
Os pesquisadores foram além: com o programa Codex da Open AI – usado para converter texto em código – eles conseguiram criar um documento Excel que iniciava automaticamente o download de códigos maliciosos ao ser aberto. Apesar das limitações impostas a esses sistemas de IA, o Codex não conseguiu identificar a intenção maliciosa na solicitação. Assim como o e-mail de phishing do ChatGPT, o código inicial apresentava falhas, mas após algumas iterações, oferecia um script malicioso perfeitamente funcional.
À medida que os ataques de phishing evoluem, é vital que a sua organização esteja um passo à frente.
Como funciona o phishing
O núcleo de qualquer ataque de phishing é uma mensagem. Isso pode ser por e-mail, mídia social ou telefone. A conexão constante de smartphones e dispositivos modernos constitui a maior superfície de ataque da história cibernética.
Um invasor de phishing geralmente utiliza informações públicas – sejam informações postadas em contas de mídia social ou vazamentos anteriores sofridos por grandes coletores de dados. Essas informações básicas os ajudam a criar um perfil de vítima, incluindo o nome, interesses pessoais e experiência profissional do destinatário. Todos esses dados são inseridos em um ataque para criar uma mensagem confiável e convincente. Os destinatários dos ataques de phishing modernos são obtidos a partir de milhões de endereços de e-mail envolvidos em violações de dados todos os anos. O recente estudo Cost of Data Breach da IBM e da Ponemon descobriu que as violações de dados custam agora em média quase US$ 4 milhões, com até 90% das empresas tendo sofrido uma violação ao longo do ano passado. As informações de contato vazadas são trocadas através de mercados clandestinos, agrupadas em bancos de dados utilizáveis para campanhas generalizadas de phishing.
O e-mail que aparece na caixa de entrada da vítima muitas vezes tenta se disfarçar como legítimo: essas campanhas podem ser apoiadas com anexos maliciosos e sites de apoio, projetados para coletar ainda mais dados pessoais de suas vítimas.
Tipos de Ataques de Phishing
Existem vários canais que os invasores usam para entrar em contato com suas vítimas. Esses ataques de phishing representam uma ampla variedade de comprometimentos, com cada tipo dependendo de determinados pontos fortes de seu meio.
Phishing por e-mail
Uma das formas mais antigas e bem-sucedidas de phishing: os invasores geralmente se registram sob nomes de domínio que são quase falsificações da versão legítima. Eles podem variar de domínios completamente amadores – se os invasores optarem por atingir deliberadamente aqueles que leem e-mails – ou domínios de e-mail falsificados que parecem quase idênticos às suas versões legítimas. Substituir ou adicionar caracteres especiais é uma das abordagens mais comuns (mudar mybank para my-bank, por exemplo). Com uma falsificação sólida, eles começam a enviar spam para ataques de phishing contra milhares de vítimas em potencial.
Smishing
Embora os ataques de phishing tradicionais dependam de e-mail, os smartphones abriram uma abordagem totalmente nova aos ataques na última década. Mensagens SMS fraudulentas aproveitam ao máximo os protocolos de segurança mais flexíveis que os dispositivos móveis (e seus usuários) empregam. Essas mensagens geralmente direcionam para um site infectado por malware controlado pelo invasor, com URLs encurtados e a falta de passagem do mouse permitindo que os invasores tenham vantagem.
Spear Phishing
Em resposta à abordagem cada vez menos eficaz de espalhar e rezar, os invasores recorreram a uma forma de ataque mais potente: o spear phishing. Isto condensa os esforços dos atacantes num número menor de vítimas, visando um número específico de vítimas. Esses ataques se beneficiam de toda a força da atenção do invasor, além de utilizar toda a extensão das informações apresentadas nos perfis públicos do Facebook e do LinkedIn.
vishing
Semelhante a smishing, os invasores também estão ansiosos para utilizar outras abordagens: o phishing por voz, ou vishing, faz uso do relacionamento mais direto entre o chamador e a vítima. Isto torna certos aspectos dos ataques de phishing – como urgência induzida e ameaças – particularmente potentes. Aqui, os invasores usam a mesma abordagem fraudulenta, muitas vezes fingindo ser uma equipe de investigação de golpes do banco da vítima. A partir daí, os criminosos muitas vezes pedem informações do cartão de crédito da vítima para verificar a sua identidade. No entanto, o vishing também pode ser automatizado: essas chamadas robóticas geralmente solicitam que o usuário final digite detalhes pessoais no teclado.
Phishing de pescador
Embora muitos invasores persigam ativamente suas vítimas em potencial, o phishing de pescador adota uma abordagem diferente, em vez disso, espera que eles entrem em contato. Ao se esconder atrás da fachada de uma conta falsa de mídia social de uma organização genuína e conhecida, o invasor também pode incluir a foto do perfil da conta genuína. Juntamente com um identificador convincentemente falso, os pescadores phishers aproveitam a tendência crescente de reclamações de consumidores serem tratadas através de canais de mídia social. Embora os clientes os utilizem para pedir ajuda, os invasores são livres para manipular a conversa em direção aos seus próprios objetivos de coleta de dados.
Como identificar sinais de phishing?
Embora a engenharia social seja um componente importante dos e-mails maliciosos, há boas notícias: os invasores geralmente contam com algumas abordagens importantes em suas mensagens. Eles são recorrentes o suficiente para que – apenas ficando atento – seja possível detectar ataques de phishing de baixo esforço antes que um link ou documento malicioso seja clicado.
Consequências negativas e urgentes
Qualquer mensagem que ameace ou dê especial ênfase às consequências negativas deve ser encarada com extrema cautela. Isso ocorre porque a implicação da ameaça desencadeia a resposta do cortisol no cérebro. Enquanto o coração bate mais rápido e o sangue flui para os músculos em resposta direta a esse hormônio do estresse, o agressor sequestra essa resposta biológica. Essa é uma das razões pelas quais e-mails falsos de redefinição de senha são uma ferramenta tão poderosa no arsenal do invasor: ao se esconderem sob a ameaça de comprometimento da conta, os invasores conseguem contornar processos de pensamento crítico que geralmente mantêm você protegido. Quando combinado com um tom urgente, as vítimas ficam muito propensas a atender a todas as exigências do invasor.
Tom incomum
Outra característica das mensagens de phishing que deve disparar um alarme imediato no destinatário é um tom inadequado ou inesperado. A vantagem das vítimas é simples: você sabe quantos de seus colegas, amigos e familiares se comunicam. Essa consciência coloca você em uma posição mais forte para detectar casos de comunicação anormal. Se um amigo próximo enviar uma mensagem incluindo linguagem formal ou um colega começar a usar termos excessivamente amigáveis, esse pode ser o primeiro indicador que permite que você se proteja.
Solicitações inesperadas
Semelhante ao tom do e-mail – as solicitações incorporadas em um e-mail de phishing podem fornecer outra visão sobre a verdadeira intenção do remetente. Se de repente você for solicitado a realizar uma ação que não está dentro de suas funções habituais, vale a pena reservar um segundo a mais para verificar novamente. Isto pode tirar partido da maior compreensão contextual disponível para as vítimas: por exemplo, se a sua organização tiver uma equipa central de TI que gere a instalação de software, sabe que deve tratar qualquer e-mail que solicite o download de software com extremo cuidado.
Como proteger sua empresa contra ataques de phishing
Embora seja possível que os indivíduos se tornem incrivelmente cautelosos em relação ao phishing, o fato é que o phishing em toda a empresa é simplesmente um jogo de estatísticas: alguém, em algum lugar, estará com pressa e abrirá a porta para os invasores. Proteção em toda a empresa requer uma combinação de treinamento envolvente e focado em hábitos, e soluções que apoiem melhor os funcionários para que permaneçam protegidos.
Treinamento de Conscientização do Funcionário
A base de proteção sólida contra phishing os planos começam com a vítima: ao fornecer aos funcionários informações atualizadas e relevantes sobre a natureza dos ataques atuais, os ataques de engenharia social tornam-se muito mais difíceis de serem cometidos com sucesso. Isso torna o treinamento de funcionários uma das formas mais importantes de defesa empresarial. Os funcionários precisam compreender os objetivos e as técnicas dos ataques de phishing de ponta e saber a quais membros da equipe reportar incidentes suspeitos. Dessa forma, a organização não apenas apoia os funcionários, mas assume uma postura proativa de segurança cibernética que se adapta e evolui com os invasores.
Paralelamente, os funcionários devem ser incentivados a ficar atentos a indicadores positivos de segurança: selos de confiança de soluções antivírus confiáveis oferecem um indicador rápido e acessível de segurança de sites e aplicativos.
Limitar acesso
Embora os usuários melhorem sua própria proteção contra phishing, as políticas de toda a empresa podem apoiar esses esforços. Contas de usuários privilegiados são um dos maiores alvos dos perpetradores, graças ao maior raio de explosão proporcionado a um ataque bem-sucedido. O princípio do menor privilégio permite que os funcionários ainda acessem os dados de que precisam, ao mesmo tempo que minimiza o risco de se tornarem um alvo.
Teste a resiliência antes que os ataques aconteçam
Com treinamento e infraestrutura implementados, a resiliência da sua organização ao phishing já está começando a tomar forma. No entanto, o custo das violações de dados hoje é demasiado elevado para correr riscos, e é por isso que tanto as equipas de segurança como os utilizadores finais beneficiam imensamente das simulações semi-regulares de ataques de phishing. Desde o desenvolvimento da familiaridade dos usuários com técnicas modernas de ataque até o fornecimento de uma visão macro de quão bem defendida uma empresa realmente está, esses testes são um trunfo para proteção proativa contra phishing.
Prevenção de phishing com plataforma de segurança de navegador LayerX
A peça final do quebra-cabeça antiphishing é uma camada de mecanismos preventivos que bloqueiam ataques completamente novos. As soluções antiphishing tradicionais funcionam bloqueando URLs conhecidos já em uso pelos invasores. Embora seja eficaz contra agentes de ameaças mais antigos e estabelecidos, esta abordagem é totalmente reativa: ela só pode impedir ataques se o URL de sua escolha tiver sido sinalizado e relatado. Os invasores, por outro lado, conseguem pular constantemente de URL para URL, fazendo com que a grande maioria da arquitetura de phishing permaneça fora do escopo dessa proteção.
LayerX oferece detecção de ameaças de alta precisão, sem dependência de conhecimento prévio. Em vez de uma simples lista de URLs na lista negra, o LayerX conduz a identificação de sites suspeitos com base na análise da atividade projetada do site. Nosso mecanismo de ML independente realiza essa análise em tempo real por meio de um extensão de navegador de fácil instalação, com latência zero. Dessa forma, intenções maliciosas podem ser descobertas antes que o dispositivo do usuário final se conecte ao servidor web controlado pelo invasor. Com uma abordagem proativa ao phishing, sua organização pode ficar à frente de qualquer invasor – IA ou humano.