O que é phishing?

Como o phishing funciona?

A maneira mais fácil de cometer um roubo provavelmente é convencer as vítimas de que elas não estão sendo roubadas. Esse é o modelo básico do golpista de phishing.

Os ataques de phishing começam com um e-mail, telefonema, mensagem de SMS, publicação em redes sociais ou algo similar que pareça vir de uma fonte confiável. A partir disso, o agressor pode ter vários tipos de objetivos, como convencer a vítima a fornecer informações de conta, fazer uma transferência no PayPal, baixar malwares ocultos e assim por diante.

Vejamos um exemplo comum. Um invasor obtém o endereço de e-mail ou número de telefone da vítima. Em seguida, a vítima recebe um e-mail ou mensagem de texto que parece ser do seu banco. A mensagem de phishing menciona uma oferta especial que está acabando, uma suspeita de roubo de identidade ou algo semelhante e solicita que a vítima acesse sua conta bancária. A mensagem leva a uma página web falsa, e a vítima involuntariamente fornece ao invasor suas credenciais de login.

O ataque nesse exemplo, como a maioria dos ataques de phishing, cria cuidadosamente um senso de urgência que engana a vítima a baixar a guarda e não parar para considerar se a mensagem é suspeita. No entanto, na prática, isso não é tão simples, pois o agressor dispõe de vários artifícios.

Tipos de ataques de phishing

Os agressores inventaram uma ampla variedade de técnicas de phishing para explorar diferentes tecnologias, tendências, setores e usuários. Esses são alguns dos tipos mais comuns:

• Phishing de e-mail: um email de um remetente aparentemente legítimo tenta convencer o destinatário a seguir um link malicioso e/ou baixar um arquivo infectado. O endereço de e-mail e qualquer URL em um phishing de e-mail podem usar técnicas de falsificação para parecerem legítimos.
• Smishing/phishing por SMS: através de mensagens de texto enviadas para dispositivos móveis, os invasores tentam enganar as vítimas para que forneçam informações pessoais, como números de cartão de crédito ou outros números de contas.
• Vishing/phishing por voz: ele é essencialmente igual ao smishing, mas é realizado por telefone. Esses ataques buscam obter informações de cartões de crédito ou outros detalhes sigilosos.
• Angler phishing: fazendo-se passar por organizações legítimas nas redes sociais, os agressores solicitam informações pessoais das vítimas, geralmente oferecendo vales-presente, descontos, etc.
• Phishing pop-up: um ataque comum em sistemas Apple, Android ou outros smartphones, uma oferta ou mensagem de aviso aparece em um pop-up, geralmente contendo um link malicioso para induzir as vítimas a divulgar dados pessoais.
• Spear phishing: enquanto muitos golpes de phishing buscam vítimas aleatoriamente, o spear phishing ataca indivíduos específicos cujos detalhes pessoais o invasor já conhece até certo ponto. Esse detalhe extra pode aumentar muito as chances do phishing ser bem-sucedido.
• Ataques de whaling: os invasores fazem phishing em executivos ou outros membros importantes de uma organização na tentativa de obter informações que lhes darão acesso privilegiado ao ambiente alvo.
• Clone phishing: os phishers enviam às vítimas e-mails falsificados que parecem ser de remetentes em que a vítima confia, como instituições financeiras ou empresas credenciadas como a Amazon. Isso está altamente relacionado ao spear phishing e é uma tática comum em ataques de comprometimento de e-mail corporativo (BEC).
• Evil twin phishing: os agressores atraem as vítimas com um ponto de acesso de Wi-Fi aparentemente confiável e, em seguida, realizam ataques “man-in-the-middle”, interceptando os dados que as vítimas transferem por essa conexão.
• Pharming: os agressores sequestram a funcionalidade de um servidor DNS (Domain Name System) para que ele redirecione os usuários para um site falso malicioso mesmo quando eles digitam um URL benigno.

Os ataques de phishing são muito perigosos?

Os ataques de phishing podem ser extremamente perigosos. Grandes campanhas de phishing podem afetar milhões de pessoas, roubando dados sigilosos, implantando ransomware e outros malwares e obtendo acesso às áreas mais sigilosas dos sistemas de uma empresa.

Perda de dados sigilosos, danos à reputação e problemas regulatórios estão entre as muitas possíveis consequências de um ataque de phishing bem-sucedido em nível organizacional. Os riscos para qualquer vítima de phishing podem incluir a perda ou o comprometimento de dados sigilosos, e as organizações também enfrentam possíveis danos à reputação e problemas regulatórios.

Como o phishing afeta as empresas?

No nível organizacional, as consequências de um ataque de phishing bem-sucedido podem ser graves e extensas. Uma conta bancária corporativa comprometida pode resultar em perdas financeiras. Um phishing que leva a um ataque de ransomware pode resultar na perda de dados. Uma organização pode sofrer grandes danos à reputação por qualquer violação de dados sigilosos que exija sua divulgação.

Além disso, qualquer uma dessas situações pode ter consequências ainda mais graves. Os criminosos cibernéticos podem vender os dados roubados na dark web, inclusive para concorrentes sem escrúpulos. Ademais, muitas violações precisarão ser divulgadas aos órgãos reguladores do setor ou do governo, que podem impor multas ou outras sanções. Isso pode envolver a organização até mesmo em investigações de crimes cibernéticos, o que pode consumir muito tempo e atrair atenção negativa.

Como protejo minha organização contra ataques de phishing?

Felizmente, a maioria dos tipos de phishing pode ser detida se você tomar as devidas precauções. Isso significa:

• Use contramedidas eficazes de segurança cibernética. As soluções modernas de antivírus e antiphishing, juntamente com filtros de spam eficazes, podem filtrar muitas tentativas de phishing.
• Manter os sistemas operacionais e navegadores atualizados. Os provedores de software abordam com frequência as vulnerabilidades recém-descobertas em seus produtos. Sem essas atualizações, seu sistema ficará exposto.
• Proteger os dados com backups automáticos. Implemente um processo regular de backup de dados do sistema para que seja possível recuperá-los caso haja uma violação.
• Use autenticação multifator (MFA) avançada. Estratégias de zero trust, como a MFA, criam camadas adicionais de defesa entre invasores e seus sistemas internos.
• Garantir que seus usuários sejam instruídos. Os criminosos cibernéticos inventam constantemente novas estratégias, e as ferramentas de segurança de e-mail não detectam tudo. Seus usuários e sua organização em geral ficarão mais seguros se todos os usuários souberem como identificar mensagens de e-mail suspeitas e denunciar tentativas de phishing.

Quais são os sinais de phishing?

Quando se trata de phishing, os usuários mais seguros são aqueles que sabem como evitar ser fisgados. Embora um breve resumo não substitua um treinamento de conscientização focado em segurança, esses são alguns sinais de alerta importantes sobre as tentativas de phishing:

• Discrepâncias nos nomes de domínio: endereços de e-mail e domínios da web podem ter inconsistências. Por exemplo, você recebe um e-mail afirmando ser de uma marca famosa, mas o endereço de e-mail não corresponde.
• Erros de ortografia: embora os ataques de phishing tenham se tornado muito mais eficazes, geralmente as mensagens ainda contêm erros ortográficos ou gramaticais.
• Saudações não comuns: às vezes, o estilo de uma saudação ou assinatura pode indicar que algo não está certo. Observe se alguém que sempre inicia as mensagens com “Oi!” de repente usa “Querido amigo” em vez disso.
• Conciso e cortês: e-mails de phishing geralmente contêm poucas informações e utilizam a ambiguidade para confundir as vítimas. Se muitos detalhes importantes estiverem ausentes, isso pode ser sinal de uma tentativa de phishing.
• Solicitações incomuns: um e-mail solicitando que você faça algo incomum, principalmente se não houver explicação, é um forte sinal vermelho. Por exemplo, uma tentativa de phishing pode afirmar ser da sua equipe de TI e solicitar que você baixe um arquivo sem especificar o motivo.

Phishing e IA

Os ataques de phishing baseados em IA utilizam ferramentas de IA para aumentar a sofisticação e a eficácia das campanhas de phishing. A IA automatiza e personaliza vários aspectos do processo de ataque, tornando a detecção de phishing ainda mais difícil. Por exemplo, os chatbots são comumente usados para criar e-mails de phishing altamente convincentes e sem erros. Além disso, os invasores estão aproveitando cada vez mais serviços avançados de IA, como tecnologia deepfake e clonagem de voz, para se passar por organizações ou pessoas respeitáveis e enganar as vítimas. Eles exploram vários canais de comunicação, incluindo e-mails, chamadas telefônicas e de vídeo, SMS e aplicativos de mensagens criptografadas.

A IA generativa está impulsionando rapidamente o cenário de ameaças de phishing, oferecendo automação e eficiência em vários estágios da cadeia de ataque. Ao analisar rapidamente dados disponíveis publicamente, como detalhes sobre organizações ou executivos, a IA generativa economiza tempo de reconhecimento dos criminosos, ao mesmo tempo que facilita ataques direcionados mais precisos. Ao eliminar erros ortográficos e gramaticais, as ferramentas de IA generativa aumentam a credibilidade das comunicações de phishing. Além disso, a IA generativa pode criar rapidamente páginas de phishing sofisticadas ou ampliar seus recursos para gerar malware e ransomware para ataques secundários. À medida que as ferramentas e táticas de IA generativa evoluem rapidamente, os ataques de phishing se tornarão mais dinâmicos (e difíceis de detectar) a cada dia.

A crescente popularidade e uso de ferramentas de IA generativa, como ChatGPT e Drift, já está começando a impactar a atividade de phishing e o aumento de ataques conduzidos por IA. Países como os EUA e a Índia, onde essas ferramentas são altamente utilizadas, de acordo com a pesquisa da ThreatLabz no Relatório de Segurança de IA de 2024, são os principais alvos de golpes de phishing e enfrentaram o maior número de ataques criptografados no ano passado, um subconjunto dos quais são ataques de phishing .

Proteção contra phishing da Zscaler

Por depender da exploração da natureza humana para ser bem-sucedido, o comprometimento do usuário é um dos desafios de segurança mais difíceis de superar. Para detectar violações ativas e minimizar os danos que violações bem-sucedidas possam causar, você precisa implementar controles eficazes de prevenção de phishing como parte de uma estratégia zero trust mais ampla.

A plataforma Zscaler Zero Trust Exchange™, desenvolvida em uma arquitetura zero trust holística para minimizar a superfície de ataque, evitar o comprometimento, eliminar a movimentação lateral e impedir a perda de dados ajuda a bloquear o phishing ao:

• Evitar ataques: recursos como inspeção de TLS/SSL completa, isolamento do navegador e controle de acesso orientado por políticas evitam o acesso de sites mal-intencionados.
• Evitar a movimentação lateral: assim que entra no sistema, o malware pode se espalhar e causar ainda mais danos. Com a Zero Trust Exchange, os usuários se conectam diretamente aos aplicativos, e não à rede, impedindo a propagação de malware.
• Bloquear ameaças internas: nossa arquitetura proxy na nuvem bloqueia as tentativas de exploração de aplicativos e detecta até as técnicas de ataque mais sofisticadas com a inspeção completa integrada.
• Impedir a perda de dados: a Zero Trust Exchange inspeciona os dados em trânsito e em repouso para evitar o possível roubo de dados por um invasor ativo.