Phishing

Phishing é uma modalidade de crime que utiliza engenharia social e recursos técnicos para roubar dados pessoais e credenciais – dados de acesso a bancos, cartões de crédito, serviços, acesso a sistemas corporativos, nome de clientes e informações de contato, comunicações corporativas, segredos industriais entre outros.

A técnica consiste em fazer com que as vítimas acreditem que estão interagindo com pessoas/instituições confiáveis. O objetivo é levar a vítima a intencionalmente executar uma série de ações que permitirão acesso a informações confidenciais, como por exemplo, acessar um site falsificado do seu banco e digitar seu usuário e senha reais para acessar a conta corrente.

Na maioria das vezes, o ataque tem início com uma comunicação falsa, como uma promoção imperdível, a informação de que sua conta corrente foi bloqueada, uma mensagem de um amigo ou colega de trabalho falando sobre um encontro etc. Outra abordagem é enviar mensagens sobre assuntos do momento ou recorrentes como desastres naturais (terremotos, inundações etc), epidemias e eventos de saúde (COVID-19), eleições, feriados.

Os ataques estão se tornando mais dirigidos e profissionais, usando inclusive informações reais, como logo da sua empresa. Mensagens informando que seu relatório de reembolso de despesas foi recusado, que o RH está solicitando que você atualize suas informações sobre certificações, reclamações de clientes sobre a qualidade de serviço prestado etc.

O que todas essas mensagens têm em comum é a necessidade de que a vítima acesse um site ou faça o download e abra ou execute um arquivo em sua máquina.

Demonstrando sua adaptabilidade, o phishing evoluiu de uma modalidade de ataque baseada apenas em e-mail e passou a incluir SMS e redes sociais. Como exemplo, um volume grande de ataques via WhatsApp ocorreu no Brasil no início de 2020. Aproveitando-se da notícia do saque imediato do FGTS para os afetados pelo COVID-19, várias mensagens WhatsApp foram enviadas – e propagadas “de forma inocente” por quem as recebeu – com um link para um site que permitia agilizar a consulta. Este site tinha o sugestivo nome de auxiliocorona.online.

Por falar em Brasil, segundo a APWG (Anti-Phishing Working Group, Inc) o número de ataques no primeiro trimestre cresceu 24% ante o quarto trimestre de 2019. Neste mesmo período, bancos e instituições financeiras foram, pela primeira vez, os setores mais afetados pelo phishing, representando cerca de 40% do total.

As ferramentas utilizadas por cibercriminosos para espalhar seu ataque são simples e virtualmente gratuitas. Criar e enviar e-mails, mensagens de WhatsApp, Twitter é muito simples. Ou seja, com baixo esforço e custo, os atacantes tem a possibilidade de obter acesso a dados valiosos.

O phishing pode permitir não apenas o roubo de identidades e perda de dados, mas ser uma porta de entrada de um ransomware.

Qual é o cenário atual?

Seguindo a linha de sofisticação dos cibercriminosos, a credibilidade dos sites – ou pelo menos parecer confiável – é um movimento cada vez mais comum. Relatório da PhishingLabs do primeiro trimestre de 2020, aponta que 74% dos sites utilizavam HTTPS. Segundo outra pesquisa da mesma empresa, para 80% dos usuários o famoso cadeado fechado do HTTPS indica que um site é seguro. Uma informação incorreta, pois na verdade ele indica que a comunicação entre seu navegador e o servidor no qual o domínio está hospedado é segura. Alguns certificados SSL, utilizados para verificar conexões HTTPS, também podem validar o proprietário, mas a maioria dos certificados emitidos hoje não são deste tipo.

Dados do serviço Navegação Segura do Google apontam um crescimento de 382% no número de sites identificados como potenciais causadores de ataque phishing entre maio de 2017 e maio de 2020, de 501,9 mil para 1,9 milhão.

Como se prevenir?

O phishing busca explorar o que é considerado pelos hackers o elo mais fraco e vulnerável nos programas de segurança: as pessoas. O foco é explorar a fragilidade e interesse humano. Ser humano por sinal que é a última fronteira para a quebra da segurança.

O principal foco de atenção de qualquer forma de prevenção deve ser tornar as pessoas um dos elos mais fortes da cadeia. Embora possa parecer um certo romantismo de nossa parte, o conjunto de ações que vieram a reboque do isolamento social inerente ao COVID-19, trouxe a todos os profissionais um maior entendimento e conscientização sobre a necessidade das ferramentas e dos procedimentos de segurança.

Conforme frisado pelo Osterman Research “O cibercrime é um setor com conhecimento técnico significativo, amplo financiamento e um rico ambiente-alvo”.

Algumas ações que devem ser observadas pela empresa:

Conscientize, treine e eduque – O treinamento e conscientização dos funcionários são críticos. Os profissionais, independentemente de serem da área de TI, devem saber o que fazer – e o que não fazer –, para evitar e denunciar o phishing. Crie programas de treinamento, ciclos de workshops, comunicados internos entre outros sobre o assunto. Divulgue nos treinamentos e comunicados problemas que ocorreram em outras empresas, demonstrando os impactos operacionais, financeiros e de reputação decorrentes do ataque. Torne este treinamento periódico de modo a que o assunto não caia no esquecimento.

Facilite a comunicação – Crie um canal de comunicação para que os colaboradores possam informar sobre mensagens que receberam e considerem estranhos. Incorpore esse movimento a cultura corporativa. Determine o processo e responsáveis pela análise e validação; e, considere a resposta ao funcionário como uma das suas partes mais importantes mantendo a motivação da equipe.

Simule – Adote programas que simulem o envio de phishing para sua corporação. Existem hoje várias ferramentas, inclusive em português, que simulam mensagens de grandes instituições brasileiras. Os funcionários que clicarem nos e-mails devem ser direcionados, preferencialmente de forma automática, a um treinamento sobre o assunto que tenha como objetivo o aprimoramento do treinamento. Repita o teste periodicamente.

Contribua com sua reputação – Certifique-se que o domínio de sua empresa possui DMARC ativo e corretamente configurado. Esta simples configuração impede que atacantes falsifiquem seu domínio e ajuda a proteger a reputação de sua empresa. Aproveite o momento e confirme se o SPF e DKIM de seu domínio estão ativos e corretamente configurados.

Mantenha seus produtos atualizados – Mantenha seus sistemas operacionais, navegadores e outros softwares atualizados com os patches mais recentes dos fabricantes.

Política de segurança e Ferramentas – Revise e atualize suas políticas anti-spam e de firewall.

Política corporativa – Interaja com o RH e compliance e verifique se o “código de ética e conduta” e o documento de “uso de redes sociais” precisam de alguma adequação para prever um melhor uso das ferramentas por parte dos colaboradores.

Enquanto usuário, considere que os criminosos esperam que um rápido exame nos dados seja tudo o que uma vítima fará antes de inserir credenciais, informações pessoais ou baixar um arquivo.

Enquanto usuário, você deve:

Suspeite sempre de anexos recebidos – Tenha certeza de que o arquivo que recebeu é realmente necessário e foi realmente enviado de forma intencional pelo remetente descrito. Os atacantes contam com sua curiosidade em abrir o arquivo. Nunca confie em anexos. Planilhas, documentos de texto, PDFs não solicitados ou de fontes desconhecidas podem esconder códigos maliciosos.

Remetente – Sempre desconfie de remetentes desconhecidos. Se desconfiar do e-mail, tente se certificar que o remetente é quem realmente diz ser. Se necessário entre em contato por outros meios.

Saudações e assinaturas genéricas – Saudações como “Prezado cliente”, “Estimado <seu email>”, “Senhor/senhora” e a ausência de informações de contato na assinatura são fortes indícios de phishing. Uma organização confiável normalmente manterá contato identificando você pelo nome e fornecerá as informações de contato para quais você poderá retornar.

Autenticidade do site – Verifique a autenticidade de um site antes de inserir seus dados de identificação. Atente a forma como o nome do site está escrito e mesmo se este é um site da instituição. Posicione o cursor do mouse (não o clique) sobre qualquer link no corpo do e-mail. Sempre verifique se o link corresponder ao texto ou desconfie se o nome parecer estranho. Sites maliciosos podem parecer idênticos aos legítimos, a URL pode usar uma variação do nome ou uma terminação de domínio diferente (.com ao invés de .com). No início de 2019 um ataque informava sobre a tentativa de uso do cartão de crédito e solicitava que a vítima verificasse seu saldo no site itaucard/./digital (a / foi colocada neste artigo para evitar o clique). Obviamente este site, que inclusive era acessado via HTTPS, não tinha nenhuma relação com o Itaú.

Links – Suspeite de links recebidos por SMS, mensagens de WhatsApp ou redes sociais, principalmente quando o endereço ou remetente parecer suspeito ou estranho.

Utilize senhas diferentes – Utilize senhas diferentes para cada conta de e-mail que possuir. Em hipótese nenhuma utilize a mesma senha corporativa em algum serviço pessoal. Preferencialmente utilize um bom programa gerenciador de senhas para facilitar seu controle.

Utilize ferramentas de proteção anti-phishing e anti-ransomware – Anti-vírus que trabalham com base em assinatura, embora sejam eficientes em muitas situações, não conseguem acompanhar a velocidade dos atacantes. Faça uso de uma ferramenta que utilize inteligência artificial para monitoramento de seu endpoint. Se essa ferramenta puder combinar assinatura com inteligência artificial e trabalhar em conjunto com outras ferramentas de segurança em sua rede, como seu firewall, certamente você terá ganhos expressivos em seu cenário.

Informações pessoais e financeiras – Não revele informações pessoais ou financeiras se não tiver certeza absoluta do que está fazendo. Solicitações por e-mail questionando por informações, ou links para sites não devem ser clicados ou respondidos.