Os casos de phishing têm crescido exponencialmente nos últimos anos, apresentando um risco significativo para organizações e usuários. De acordo com o relatório “The State of Phishing 2023” da SlashNext, os ataques de phishing aumentaram impressionantes 1.265% em 2023, impulsionados, em parte, pelo crescimento da Inteligência Artificial Generativa (GenAI).
O Anti-Phishing Working Group (APWG) observou quase 1,3 milhão de ataques de phishing apenas no segundo trimestre de 2023, sendo o setor financeiro o principal alvo, representando 23,5% de todos os ataques de phishing.
Além disso, recentemente, uma campanha de phishing direcionada à região da América Latina tem chamado a atenção dos especialistas em segurança cibernética. Essa campanha, que tem como alvo sistemas microsoft e apresenta uma série de táticas sofisticadas para entregar payloads. Além disso, casos anteriores indicam uma tendência de aumento na sofisticação e direcionamento desses ataques na região, particularmente com o maior uso de IA.
O phishing é uma ação maliciosa que visa enganar os usuários, o principal objetivo é convencer os incautos para que divulguem informações confidenciais, como senhas, informações financeiras ou dados corporativos sensíveis.
Existem várias variantes do phishing, incluindo o spear phishing, que é altamente personalizado e direcionado a indivíduos específicos. O “Casting the Spear” é uma forma de ataque direcionado e personalizado, onde os criminosos buscam enganar os usuários para revelar informações sensíveis, como senhas ou números de cartão de crédito. Diferentemente dos ataques de phishing em massa, o spear phishing envolve reconhecimento e pesquisa sobre o alvo para criar mensagens convincentes e legítimas. Esses ataques geralmente são entregues por e-mail, mensagem de texto ou mídia social e podem incluir links maliciosos ou anexos infectados.
Além disso, o BEC (Business Email Compromise) é uma forma de phishing que visa enganar os funcionários de uma empresa para realizar transferências financeiras ou divulgar informações sensíveis. O BEC se concentra em enganar indivíduos dentro de uma organização, fingindo ser alguém com autoridade, como um executivo, para induzi-los a realizar uma ação específica, como transferências de dinheiro ou divulgação de informações confidenciais.
Os ataques de phishing podem ser executados de várias maneiras, incluindo anexos de arquivos maliciosos em formatos como ZIP ou PDF, que contêm scripts destinados a comprometer o sistema da vítima. Além disso, os ataques de phishing podem não envolver arquivos, mas sim links maliciosos que direcionam a vítima para sites falsos projetados para roubar informações de login ou infectar o sistema com malware.
Embora os ataques de phishing e as campanhas de malware tenham objetivos diferentes, eles compartilham algumas semelhanças. Ambos utilizam fortemente da engenharia social para enganar as vítimas e induzi-las a realizar ações prejudiciais para si ou para suas organizações, como clicar em links maliciosos ou abrir anexos infectados.
Para mitigar os riscos de phishing, é fundamental que os usuários estejam cientes das táticas utilizadas pelos cibercriminosos e saibam como identificar e relatar emails suspeitos. A conscientização sobre segurança cibernética, a educação dos funcionários e a implementação de políticas de segurança rigorosas são essenciais. Além disso, é importante que os usuários evitem clicar em links ou abrir anexos de remetentes desconhecidos e verifiquem cuidadosamente os emails antes de realizar qualquer ação.
As principais medidas a serem observadas pelos usuários são:
- Desconfie de e-mails e mensagens suspeitas: Sempre verifique cuidadosamente os remetentes de e-mails ou mensagens recebidas. Se algo parecer fora do comum ou se você não estiver esperando um determinado e-mail, seja cauteloso. Preste atenção a erros gramaticais ou de ortografia, pois eles podem ser indicativos de um e-mail de phishing.
- Evite clicar em links suspeitos: Nunca clique em links de e-mails ou mensagens de remetentes desconhecidos ou suspeitos. Mesmo que o link pareça legítimo, é mais seguro digitar o endereço diretamente na barra de endereços do navegador.
- Verifique a legitimidade dos sites: Antes de inserir qualquer informação pessoal ou confidencial em um site, verifique se ele é legítimo. Procure por sinais de segurança, como um cadeado na barra de endereços ou URLs começando com “https://” em vez de “http://”.
- Desenvolva uma mentalidade de segurança: Esteja sempre atento e desconfiado ao lidar com solicitações de informações pessoais ou financeiras. Lembre-se de que instituições legítimas nunca pedirão informações confidenciais por e-mail, mensagens de texto ou telefonemas não solicitados.
- Eduque-se e eduque os outros: Mantenha-se atualizado sobre as últimas tendências em ataques de phishing e compartilhe seu conhecimento com amigos, familiares e colegas. Quanto mais as pessoas estiverem cientes dos riscos, mais preparadas estarão para evitá-los.
No nível organizacional, é fundamental implementar frameworks de segurança cibernética reconhecidos, realizar auditorias regulares de segurança e definir processos formais para lidar com incidentes de phishing.
A separação de funções e a verificação independente de solicitações de transferências financeiras podem ajudar a evitar ataques de BEC. Os principais documentos de segurança da informação e cibernética que devem abordar orientações sobre phishing incluem:
- Política de Segurança da Informação e cibernética (PSIC):* Este documento estabelece as diretrizes gerais para proteger os ativos de informação da organização, incluindo orientações específicas sobre como lidar com ameaças como phishing e engenharia social.
- Diretrizes o normativos específicos formalizados: Estes documentos fornecem orientações detalhadas sobre como os funcionários devem se comportar em relação à segurança da informação e cibernética, incluindo procedimentos para reconhecer e relatar tentativas de phishing e engenharia social.
- Procedimentos Operacionais Padrão (POP): Os POPs detalham os processos operacionais específicos que devem ser seguidos em situações de segurança, como identificação e resposta a incidentes de phishing e engenharia social.
- Treinamento e Conscientização em Segurança da Informação e cibernética: Material de treinamento e conscientização é essencial para educar os funcionários sobre os riscos associados ao phishing e engenharia social, bem como fornecer orientações práticas sobre como identificar e evitar essas ameaças.
- Plano de Resposta a Incidentes de Segurança:Este plano descreve os procedimentos a serem seguidos em caso de incidentes de segurança, incluindo aqueles relacionados a phishing e engenharia social, desde a detecção até a resposta e mitigação.
- Avaliações de Risco e Auditorias: Documentos relacionados a avaliações de risco e auditorias podem destacar áreas de vulnerabilidade em relação ao phishing e engenharia social, bem como recomendações para melhorar a postura de segurança da organização.
- Contratos e Políticas com Fornecedores e Parceiros: Documentos que estabelecem requisitos de segurança da informação para fornecedores e parceiros devem abordar a proteção contra phishing e engenharia social, garantindo que essas ameaças sejam consideradas em todas as interações comerciais.
- Atualizações de Políticas e Procedimentos: É importante revisar regularmente as políticas e procedimentos relacionados à segurança da informação para garantir que estejam alinhados com as últimas ameaças, incluindo phishing e engenharia social, e fazer as atualizações necessárias conforme necessário.
- Atualizações e aplicações de patches: Mantenha seu sistema operacional, navegadores da web e aplicativos sempre atualizados. Isso ajuda a corrigir quaisquer vulnerabilidades conhecidas que os cibercriminosos possam explorar.
O uso de tecnologias de segurança, como firewalls, anti-phishing, IDS (Intrusion Detection Systems) e soluções de proteção de email, pode ajudar a detectar e bloquear ataques de phishing.
Além disso, manter os aplicativos e sistemas atualizados com os patches de segurança mais recentes é fundamental para evitar vulnerabilidades exploradas pelos cibercriminosos. Existem várias soluções e ativos de segurança que podem ajudar na detecção, prevenção, mitigação ou evitar o sucesso de ataques de phishing. Algumas das principais incluem:
- Filtros de E-mail e Antispam:Essas soluções ajudam a filtrar e bloquear e-mails maliciosos antes que eles cheguem às caixas de entrada dos usuários, reduzindo assim a chance de sucesso de ataques de phishing por e-mail.
- Soluções de Autenticação de E-mail: Implementar técnicas como DKIM (DomainKeys Identified Mail), SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) pode ajudar a verificar a autenticidade dos e-mails recebidos, reduzindo a eficácia de e-mails de phishing.
- Soluções de Detecção de Phishing com base em inteligência artificial: Utilizando inteligência artificial e aprendizado de máquina, essas soluções analisam o conteúdo dos e-mails em busca de indicadores de phishing, como URLs suspeitos ou anexos maliciosos, ajudando na detecção precoce de ataques.
- Soluções de Proteção de Endpoints: Implementar soluções de segurança de endpoint, como antivírus, firewalls de host, EPR.
- Filtros de Navegação Web: Utilizando filtros de navegação web, as organizações podem bloquear o acesso a sites conhecidos por hospedar phishing ou malware, reduzindo assim a chance de usuários acessarem sites maliciosos por meio de links em e-mails de phishing.
- Soluções de Gerenciamento de Identidade e Acesso: Implementar autenticação de dois fatores (2FA) e soluções de gerenciamento de acesso privilegiado pode ajudar a proteger contas de usuários contra comprometimento.
Implementar uma combinação dessas soluções e ativos de segurança pode ajudar as organizações a fortalecer suas defesas contra ataques de phishing e proteger seus sistemas, dados e usuários contra as consequências prejudiciais desses ataques.
O phishing continua sendo uma ameaça para instituições e pessoas físicas, com ataques cada vez mais sofisticados e direcionados. No entanto, com a conscientização adequada, a implementação de boas práticas de segurança e o uso de tecnologias de proteção, é possível mitigar os riscos e proteger-se contra esse tipo de ameaça cibernética.
O investimento em segurança deve abranger pessoas, processos e tecnologias. A Educação e a conscientização são fundamentais para ajudar os usuários a reconhecer e evitar ataques de phishing. Além disso, é importante implementar políticas de segurança que incentivem práticas seguras, como verificar a autenticidade de e-mails suspeitos antes de clicar em links ou fornecer informações pessoais. O estabelecimento de processos bem definidos e formalizados, juntamente com auditorias regulares, pode ajudar a garantir que as práticas de segurança sejam seguidas consistentemente em toda a organização. A utilização de tecnologias de segurança, como firewalls, anti-phishing, e sistemas de detecção de intrusos (IDS), juntamente com a implementação de patches de segurança e atualizações de software regulares, pode ajudar a proteger contra ataques de phishing ou mitigar suas consequências.
Para tanto, as organizações devem formalizar políticas, estratégias e procedimentos de segurança cibernética para garantir uma resposta eficaz a ataques de phishing. Isso inclui a criação de planos de segurança cibernética e a implementação de medidas de prevenção de perda de dados.
Referências:
– TechTarget: https://www.techtarget.com/whatis/34-Cybersecurity-Statistics-to-Lose-Sleep-Over-in-2020
– The Hacker News: https://thehackernews.com/2024/04/cybercriminals-targeting-latin-america.html
– Check Point: https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-email-security/business-email-compromise-bec/
– GuidePoint Security: https://www.guidepointsecurity.com/education-center/spear-phishing/
– Perception Point: https://perception-point.io/blog/behind-the-attack-evasive-html-spear-phishing/
– Kaspersky: https://www.kaspersky.com.br/resource-center/preemptive-safety/phishing-prevention-tips
