Conteúdo Geral
O que é phishing?
Brasiline
8 de julho de 2020

O phishing é uma forma de engenharia social na qual um invasor se disfarça como uma entidade confiável e tenta persuadir, assustar ou ameaçar o destinatário a executar uma ação específica ou revelar informações pessoais que levam a um comprometimento da segurança. Os ataques de phishing usam email, mensagens de texto, postagens em mídias sociais, comunicações por voz e outras mídias. Muitas vezes, eles contêm links para sites falsificados, projetados para induzi-los a revelar informações confidenciais, como nomes de usuário, senhas, números de contas e detalhes de cartão de crédito. Mais de uma década após sua primeira aparição, o phishing continua sendo o tipo mais comum de ciberataque. Em uma pesquisa recente, 96% das organizações dizem que os golpes de phishing por email representam o maior risco à segurança, seguidos pelo descuido do usuário final (76%) e pela engenharia social (70%).

Quem está em risco?

Praticamente qualquer pessoa na organização que usa e-mail, mensagens de texto, mensagens instantâneas, mídias sociais ou comunicações de voz é uma possível vítima de phishing. No passado, os invasores enviavam milhares ou milhões de e-mails de phishing na esperança de prender algumas vítimas. Nos últimos anos, houve uma mudança para técnicas mais específicas, como spear phishing e voice phishing (vishing).

Hoje, os ataques de phishing têm como alvo cada vez mais executivos, tanto porque suas informações de contato costumam ser acessíveis ao público, como são mais propensas a possuir dados valiosos. Os cibercriminosos usam credenciais de e-mail roubadas do executivo para enviar mensagens com aparência autêntica, solicitando aos funcionários que transfiram dinheiro para contas no exterior ou cometam outros tipos de fraude.

Quais tipos de ataques de phishing existem?

Embora não seja uma lista abrangente, as seguintes explorações são algumas das técnicas de phishing mais comuns empregadas pelos ciberataques:

  • Phishing por e-mail - Os e-mails de phishing, onde os invasores se apresentam como colegas de confiança ou outros contatos "conhecidos" para induzir funcionários e contratados incautos a entregar senhas ou outros detalhes, são fáceis de enviar e difíceis de combater. O sucesso dessas explorações depende da proximidade com a qual o email de phishing se assemelha à correspondência oficial por meio do uso de logotipos, slogans e gráficos da marca. Usuários com treinamento em conscientização de segurança podem impedir muitos ataques de phishing, identificando pistas como URLs falsas em links incorporados.
  • Spear Phishing - Têm como alvo indivíduos específicos dentro de uma organização. Nesse tipo de golpe, os hackers personalizam seus e-mails de phishing com o nome, título, número de telefone comercial e outras informações do alvo, para induzir o destinatário a acreditar que ele possui uma conexão com o remetente. Além disso, a maioria dos ataques de ransomware usa spear phishing.
  • Whaling - A Whaling é uma variante do spear phishing que tem como alvo os CEOs e outros executivos e é cada vez mais uma exploração de phishing de criminosos cibernéticos. Como esses contatos normalmente têm acesso irrestrito a segredos corporativos sensíveis, a recompensa de risco é dramaticamente maior.
  • Baiting - É uma técnica que oferece algo de interesse à vítima como uma maneira de induzir o usuário a abrir um anexo infectado. Ataques recentes usaram questões políticas e sociais com carga emocional para atrair as vítimas a violações de segurança. Nesse incidente, os atacantes lançaram uma campanha de spear-phishing com o lançamento de um livro de memórias de denunciantes envolvendo questões de segurança nacional. O email, escrito em vários idiomas, inclui um anexo do Microsoft Word que parece ser o texto do livro. No entanto, na realidade, ele contém o vírus Emotet Trojan.
  • Sites falsificados - Os invasores criam sites falsificados para coletar informações confidenciais ou lançar ataques de malware, como ransomware. Esses sites foram criados para imitar um site familiar da Internet (por exemplo, banco, cooperativa de crédito, agência governamental ou fornecedor confiável) para atrair o visitante a uma falsa sensação de segurança.

Para ajudar a evitar esses sites impostores, o treinamento em segurança cibernética incentiva funcionários e contratados a confiar apenas em URLs segurAs começando com https e exibindo o ícone de cadeado na barra de endereços do navegador da web, o que indica que o site oferece suporte a comunicações criptografadas. No entanto, esse método não é infalível. Recentemente, hackers falsificaram um site das Nações Unidas, incluindo as informações de segurança.

  • Phishing por SMS (Smishing) - Os dispositivos móveis estão se tornando cada vez mais alvos de ataques de smishing, uma variação do phishing usando mensagens de texto SMS. Como em outros ataques de phishing, criminosos se disfarçam de funcionários do governo, representantes de suporte técnico ou instituições financeiras para atrair as pessoas a divulgar informações pessoais. Uma razão para o aumento do smishing é que os usuários de smartphones tendem a confiar mais em mensagens de texto do que em telefonemas ou e-mails1.
  • Phishing por voz (Vishing) - Assim como cobradores de dívidas experientes podem convencer os consumidores a divulgar informações financeiras, criminosos habilidosos podem atacar organizações usando uma técnica chamada phishing ou vishing por voz. Em um tipo recente de ataque de vishing, o fraudador exibe o número de telefone real do FBI no identificador de chamadas da vítima para atrair o destinatário a atender a chamada. O golpista, em seguida, personifica um funcionário do governo e usa táticas de intimidação para exigir o pagamento de dinheiro supostamente devido ao governo.

O que são defesas eficazes contra phishing?

Para serem eficazes, os programas anti-phishing precisam incluir três componentes principais: conscientização e treinamento em segurança cibernética, segurança de email e filtragem de endereços da web.

Conscientização e treinamento em segurança cibernética:

Embora o comportamento dos funcionários possa contribuir para o problema do phishing, também pode constituir uma parte importante da solução. Os membros da equipe primeiro detectaram e relataram as violações mais perturbadoras em 63% das vezes. Os líderes de segurança reconhecem a importância do treinamento de conscientização sobre segurança. Mais da metade das organizações indica que implementar o treinamento de conscientização de segurança para departamentos de TI e usuários finais está no topo de sua lista de prioridades.

Para os líderes de segurança que avaliam seus programas de conscientização de segurança cibernética, a seguir estão algumas das principais áreas a serem avaliadas:

  • Estabelecer métricas para mudança de comportamento, como número de tickets de suporte técnico relacionados à segurança e usuários que se enquadram em esquemas de phishing;
  • Pesquisar a força de trabalho para medir a motivação, a capacidade e os gatilhos para descobrir o que os funcionários realmente sabem e como estão inclinados a agir com base nesse conhecimento;
  • Repetir a pesquisa regularmente para medir tendências.

Segurança de Email:

Ainda existem fornecedores de segurança por e-mail “pur-play”, fornecedores de segurança que oferecem amplos portfólios e suítes e até empresas de infraestrutura que oferecem soluções. Independentemente do tipo de fornecedor, a segurança do email deve fornecer três recursos básicos para impedir ataques de phishing:

  • Abordar o risco representado por um cenário de ameaças em constante mudança e aceleração;
  • Ajudar as organizações a mudarem de uma postura de segurança reativa para uma mais proativa;
  • Fornecer um retorno quantificável do investimento (ROI).

Filtragem de endereços da Web:

A filtragem de endereço da Web (WAF) limita o acesso com base em um banco de dados de informações conhecidas sobre sites específicos. As soluções WAF permitem o acesso a sites seguros conhecidos (lista de permissões) ou proíbem o acesso a sites usados ​​em ataques de phishing e malware (lista negra). Devido à natureza dinâmica de sites mal-intencionados, as soluções WAF de primeira linha usam aprendizado de máquina e serviços de assinatura de inteligência de ameaças para se manterem atualizados.

Como as organizações podem parar os ataques de phishing?

Para impedir ataques bem-sucedidos de phishing, as seguintes ações são recomendadas:

  • Instituir programas para conscientização e treinamento de segurança cibernética dos funcionários e medir continuamente sua eficácia;
  • Adquira gateways da Web seguros com ataques da Web com filtragem de URL, visibilidade e inspeção SSL (Secure Sockets Layer) e TLS (Transport Layer Security);
  • Verifique se o sistema de segurança de email é validado por testadores independentes de terceiros;
  • Notifique os funcionários imediatamente quando forem detectadas explorações de phishing específicas;
  • Ativar autenticação multifatorial, priorizando contas com acesso a dados confidenciais;
  • Defina alertas para identificar atividades suspeitas, como autenticação de endereços IP em regiões de alto risco, encaminhamento de email e legado.

Fale com um de nossos especialistas e veja como as nossas soluções podem ajudar a sua empresa a se manter protegida contra o Phishing!

Mais Recentes
FortiSRA: Acesso Remoto Seguro para Sistemas OT
Brasiline
4 de novembro de 2024
O FortiSRA da Fortinet é uma solução de acesso remoto seguro adaptada para ambientes OT, projetada para gerenciar os riscos […]
Brasil vê ciberataques crescerem 38% no primeiro trimestre
Brasiline
28 de outubro de 2024
Especialista em segurança da informação destaca a importância de empresas adotarem soluções que aumentem a sua proteção. Uma delas é […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?