Phishing é um tipo de ataque cibernético que utiliza comunicações fraudulentas para roubar informações confidenciais das vítimas. Os ataques são feitos através e-mails, mensagens de texto, chamadas telefônicas ou sites que parecem verdadeiros e confiáveis, porém escondem algum tipo de ameaça.
Os ataques de phishing geralmente levam ao roubo de identidade, roubo de números de CPF, fraude de cartão de crédito, ataques de ransomware, roubo de números de contas bancárias, credenciais de login e outras violações de dados, gerando enormes perdas financeiras para indivíduos e empresas.
Phishing é o tipo mais comum de engenharia social, a prática de enganar, pressionar ou manipular pessoas para que enviem informações ou recursos para as pessoas erradas. Os ataques de engenharia social dependem de erros humanos e táticas de pressão para obter sucesso. O invasor normalmente se disfarça de uma pessoa ou organização em quem a vítima confia – por exemplo, um colega de trabalho, um chefe, uma empresa com a qual a vítima ou o empregador da vítima faz negócios – e cria um senso de urgência que leva a vítima a agir precipitadamente. Os hackers e fraudadores usam essas táticas porque é mais fácil e menos dispendioso enganar as pessoas do que invadir um computador ou rede.
De acordo com o FBI, os e-mails de phishing são o método de ataque, ou vetor, mais popular usado por hackers para propagar ransomware entre indivíduos e organizações. O relatório do Custo da Violação de Dados 2023 da IBM mostra que o phishing é a causa mais comum de violações de dados, e que as violações de dados causadas por phishing ficaram em segundo lugar entre as mais caras, custando às vítimas US$ 4,76 milhões em média.
O phishing em massa por e-mail é o tipo mais comum de ataque de phishing. Um golpista cria uma mensagem de e-mail que parece vir de uma grande e bem conhecida empresa ou organização legítima – um banco nacional ou global, um grande varejista on-line, os criadores de um software ou aplicativo popular – e envia a mensagem para milhões de destinatários. O phishing de e-mail em massa é um jogo de números: quanto maior ou mais popular for o remetente pelo qual o hacker está tentando se passar, maior a chance de alcançar destinatários que sejam clientes, assinantes ou membros.
Os cibercriminosos fazem de tudo para fazer com que o e-mail de phishing pareça legítimo. Em geral, eles incluem o logotipo do remetente falso no e-mail e mascaram o endereço de e-mail "de" para incluir o nome de domínio do remetente falso; alguns até imitam o nome de domínio do remetente, por exemplo, usando "rnicrosoft.com" em vez de "microsoft.com", para parecer legítimo à primeira vista.
A linha de assunto aborda um tópico que o remetente personificado pode abordar com credibilidade e que apela a emoções fortes, como medo, ganância, curiosidade, senso de urgência ou pressão de tempo, para chamar a atenção do destinatário. As linhas de assunto típicas incluem "Atualize seu perfil de usuário", "Problema com seu pedido", "Seus documentos de encerramento estão prontos para serem assinados", "Sua fatura está anexada."
O corpo do e-mail instrui o destinatário a tomar uma medida que pareça perfeitamente razoável e consistente com o tópico, mas resultará na divulgação de informações confidenciais do destinatário, como o número da previdência social, números de contas bancárias, números de cartão de crédito, credenciais de login, ou no download de um arquivo que infecte o dispositivo ou a rede do destinatário.
Por exemplo, os destinatários podem ser direcionados a um "clique aqui para atualizar seu perfil", mas o hiperlink subjacente os leva a um site falso que os faz inserir suas credenciais de login reais como parte do processo de atualização do perfil. Ou eles podem ser levados a abrir um anexo que pareça ser legítimo (por exemplo, 'invoice20.xlsx'), mas que propaga um malware ou código malicioso no dispositivo ou rede do destinatário.
Spear phishing é um ataque de phishing que tem como alvo um indivíduo específico, geralmente uma pessoa que tem acesso privilegiado a dados confidenciais ou recursos de rede, ou autoridade especial que o golpista pode explorar para fins fraudulentos ou nefastos.
O spear phisher estuda o alvo para coletar as informações necessárias para se passar por uma pessoa ou entidade em que o alvo realmente confia – um amigo, chefe, colega de trabalho, conhecido, fornecedor confiável ou instituição financeira – ou para se passar pelo indivíduo-alvo. As mídias sociais e os sites de redes sociais – onde as pessoas parabenizam publicamente colegas de trabalho, endossam colegas e fornecedores e tendem a compartilhar demais sobre reuniões, eventos ou planos de viagem – tornaram-se ricas fontes de informações para pesquisas de spear phishing.
Com essas informações, o spear phisher pode enviar uma mensagem contendo informações pessoais específicas ou informações financeiras e fazer uma solicitação confiável para o alvo, como: "Sei que você está saindo de férias hoje, mas poderia pagar esta fatura (ou transferir US$ XXX. XX para esta conta) antes do fim do expediente hoje?"
Um ataque de spear phishing direcionado a um executivo da alta direção, um indivíduo rico ou algum outro alvo de alto valor é muitas vezes chamado de ataque de phishing de baleia, ou ataque baleeiro .
BEC é uma classe de ataque de spear phishing que tenta roubar grandes somas de dinheiro ou informações extremamente valiosas, por exemplo, segredos comerciais, dados de clientes, informações financeiras, de corporações ou instituições.
Os ataques de BEC podem assumir várias formas diferentes. Duas das mais comuns são:
Fraude de CEO: o golpista falsifica a conta de e-mail de um executivo de nível de diretoria, ou a invade diretamente, e envia uma mensagem a um funcionário de nível inferior instruindo-o a transferir fundos para uma conta fraudulenta, fazer uma compra de um fornecedor fraudulento ou enviar arquivos para uma parte não autorizada.
Comprometimento de conta de e-mail (EAC): aqui, o golpista obtém acesso à conta de e-mail de um funcionário de nível inferior, por exemplo, um gerente financeiro, de vendas, P&D, e a usa para enviar faturas fraudulentas aos fornecedores, instruir outros funcionários a fazer pagamentos ou depósitos fraudulentos, ou solicitar acesso a dados confidenciais.
Como parte desses ataques, os golpistas muitas vezes obtêm acesso às contas de e-mail da empresa enviando a um executivo ou funcionário uma mensagem de spear phishing que os engana e os leva a divulgar as credenciais das conta de e-mail (nome de usuário e senha). Por exemplo, uma mensagem como "Sua senha está prestes a expirar. Clique neste link para atualizar sua conta" pode esconder um link malicioso para um site falso criado para roubar as informações da conta.
Independentemente das táticas usadas, os ataques de BEC bem-sucedidos estão entre os ataques cibernéticos mais caros. Em um dos exemplos mais conhecidos do BEC, hackers que se faziam passar por um CEO convenceram o departamento financeiro de sua empresa a transferir 42 milhões de euros para uma conta bancária fraudulenta..
O phishing por SMS, ou smishing, é um phishing usando mensagens de texto para celular ou smartphone. Os esquemas de smishing mais eficazes são contextuais, ou seja, relacionados ao gerenciamento de contas de smartphones ou aplicativos. Por exemplo, os destinatários podem receber uma mensagem de texto oferecendo um presente como "agradecimento" por pagar uma conta on-line ou solicitar que atualizem suas informações de cartão de crédito para continuar usando um serviço de streaming.
O phishing por voz, ou vishing, é o phishing por meio de uma chamada telefônica. Graças à tecnologia de voz sobre IP (VoIP), os golpistas podem fazer milhões de chamadas vishing automatizadas por dia; eles costumam usar falsificação de ID de chamada para fazer com que suas ligações pareçam ser feitas de organizações legítimas ou números de telefone locais. As ligações de vishing normalmente assustam os destinatários com avisos de problemas no processamento de cartão de crédito, pagamentos em atraso ou problemas com a Receita Federal. As pessoas que atendem acabam fornecendo dados confidenciais para as pessoas que trabalham para os cibercriminosos; algumas até acabam concedendo o controle remoto dos seus computadores aos golpistas do outro lado da linha.
O phishing por rede social emprega vários recursos de uma plataforma de rede social para obter informações confidenciais dos membros. Os golpistas usam os próprios recursos de mensagens das plataformas, como o Facebook Messenger, mensagens do LinkedIn ou InMail e DMs do Twitter, da mesma forma que usam e-mails e mensagens de texto comuns. Eles também enviam e-mails de phishing aos usuários que parecem vir do site da rede social, pedindo aos destinatários que atualizem as credenciais de login ou as informações de pagamento. Esses ataques podem ser especialmente caros para as vítimas que usam as mesmas credenciais de login em vários sites de redes sociais, uma "pior prática" comum.
Mensagens do aplicativo ou no aplicativo. Aplicativos populares para dispositivos móveis e aplicativos baseados na web (software como serviço, ou SaaS) enviam e-mails aos usuários regularmente. Como resultado, esses usuários estão propensos a campanhas de phishing que falsificam e-mails de fornecedores de aplicativos ou software. Mais uma vez jogando o jogo dos números, os golpistas normalmente falsificam os e-mails dos aplicativos móveis e web mais populares, por exemplo, PayPal, Microsoft Office 365 ou Teams, para obter o máximo retorno do seu investimento em phishing.
Apesar das melhores práticas de treinamento e práticas recomendadas rigorosas, os usuários ainda cometem erros. Felizmente, várias tecnologias de segurança de rede e endpoint estabelecidas e emergentes podem ajudar as equipes de segurança a enfrentar o phishing quando o treinamento e a política não são suficientes.
Filtros de spam e software de segurança de e-mail usam dados de golpes de phishing existentes e algoritmos de aprendizado de máquina para identificar suspeitas de e-mails de phishing (e outros spams) e, em seguida, transferi-los para uma pasta separada e desabilitar todos os links contidos.
O software antivírus e antimalware detecta e neutraliza arquivos ou códigos maliciosos em e-mails de phishing.
A autenticação multifatorial exige pelo menos uma credencial de login, além de um nome de usuário e uma senha – por exemplo, um código de uso único enviado para o celular do usuário. Ao fornecer mais uma barreira de defesa contra golpes de phishing ou outros ataques que comprometem senhas com sucesso, a autenticação multifatorial pode enfraquecer os ataques de phishing e impedir o BEC.
Os filtros da web impedem que os usuários acessem sites maliciosos conhecidos (sites na "lista negra") e exibem alertas sempre que os usuários acessam sites maliciosos ou falsos.
Soluções empresariais de cibersegurança, por exemplo: orquestração, automação e resposta de segurança (SOAR), informações de segurança e gerenciamento de eventos (SIEM), detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR) e detecção e resposta estendida (XDR); combine as tecnologias acima e outras tecnologias com uma inteligência de ameaças continuamente atualizada e recursos automatizados de resposta a incidentes. Essas soluções podem ajudar as organizações a impedir golpes de phishing antes que eles atinjam os usuários e limitar o impacto dos ataques de phishing que ultrapassam endpoints tradicionais ou as defesas da rede.
As organizações são incentivadas a ensinar os usuários a reconhecer golpes de phishing e a desenvolver as melhores práticas para lidar com e-mails e mensagens de texto suspeitos. Por exemplo, os usuários podem ser ensinados a reconhecer estes e outros recursos característicos de e-mails de phishing:
- Solicitações de informações pessoais ou confidenciais, ou atualização de perfil, ou de informações de pagamento
- Solicitações de envio ou transferência de dinheiro
- Anexo(s) que o destinatário não solicitou ou espera
- Uma sensação de urgência, seja evidente ("Sua conta será encerrada hoje...") ou sutil (por exemplo, uma solicitação de um colega para pagar uma fatura imediatamente), com ameaças de prisão ou outras consequências irrealistas
- Ameaças de prisão ou outras consequências irrealistas
- Erros de ortografia ou gramática
- Endereço do remetente inconsistente ou falsificado
- Links encurtados usando Bit.Ly ou outro serviço de encurtamento de link
- Imagens de texto usadas no lugar do texto (em mensagens ou em páginas da web vinculadas a mensagens)
Esta é apenas uma lista parcial; infelizmente, os hackers estão sempre desenvolvendo novas técnicas de phishing para evitar a detecção. Publicações como o Relatório de Atividade de Tendências de Phishing trimestral do Grupo de Trabalho Anti-Phishing (link externo a ibm.com) podem ajudar as organizações a acompanhar o ritmo.
As organizações também podem incentivar ou aplicar melhores práticas que pressionem menos os funcionários a serem caçadores de phishing. Por exemplo, as organizações podem estabelecer e comunicar políticas de esclarecimento – por exemplo, um colega ou superior nunca enviará uma solicitação de transferência de fundos por e-mail. Elas podem exigir que os funcionários verifiquem qualquer solicitação de informações pessoais ou confidenciais entrando em contato com o remetente ou visitando diretamente o site legítimo do remetente, usando meios diferentes daqueles fornecidos na mensagem. E podem insistir para que os funcionários relatem tentativas de phishing e e-mails suspeitos ao grupo de TI ou de segurança.
Detecte ameaças avançadas que outras pessoas simplesmente não percebem. O QRadar SIEM aproveita a análise de dados e a IA para monitorar informações sobre ameaças, anomalias de comportamento da rede e do usuário e priorizar onde a atenção imediata e a correção são necessárias.
O IBM Trusteer Rapport ajuda as instituições financeiras a detectar e prevenir infecções por malware e ataques de phishing, protegendo seus clientes de negócios e de varejo.
Proteja endpoints contra ciberataques, detecte comportamentos anômalos e corrija em tempo real com esta solução sofisticada, porém fácil de usar, de detecção e resposta de endpoints (EDR).
Esse relatório compartilha os mais recentes insights sobre o cenário de ameaças em expansão e oferece recomendações para economizar tempo e limitar as perdas.
Ransomware é uma forma de malware que ameaça destruir ou reter os dados ou arquivos da vítima, a menos que um resgate seja pago ao invasor para descriptografar e restaurar o acesso aos dados.
Os sistemas de prevenção de intrusões monitoram o tráfego de rede em busca de possíveis ameaças e interrompem automaticamente atividades maliciosas.
Mantenha-se atualizado sobre notícias, tendências e técnicas de prevenção de phishing no Security Intelligence, o blog de liderança de pensamento hospedado pela IBM Security.