Em uma das palestras na última edição da conferência de segurança BlackHat, realizada em agosto deste ano, Elie Bursztein, da Google, e Daniela Oliveira, da Universidade da Flórida, explicaram por que os ataques de phishing ainda são atualmente tão eficazes. Os especialistas identificaram alguns pontos-chave para explicar esse fenômeno, entre eles: sua constante evolução, as técnicas de persuasão que utilizam e o pouco conhecimento dos usuários sobre o que é phishing.
As campanhas de phishing por e-mail é um dos métodos mais comuns utilizados por cibercriminosos na hora de realizar um ataque. A maioria dos usuários, em algum momento, já deve ter aberto um e-mail que se passa por uma empresa e que solicita o clique em um link ou a realização do download de um anexo, considerando que essa é uma prática que já existe há mais de 20 anos.
No Brasil, segundo informações publicadas pelo Anti-Phishing Working Group (APWG), o phishing em dispositivos móveis cresceu e os cibercriminosos por trás das campanhas de phishing têm direcionado os ataques a "software como serviço", do inglês Software as a service (SaaS), e serviços de webmail, seguidos por instituições financeiras e serviços de E-commerce. Além disso, os atacantes também implementaram malware direcionados a vários bancos simultaneamente. Ao total, 3.220 casos de phishing e 180 casos de malware foram observados entre janeiro e março de 2019. Esses ataques foram direcionados principalmente a marcas brasileiras ou serviços estrangeiros que estão disponíveis em português no Brasil.
Mas, antes de continuarmos, vamos explicar o que é phishing para que o conceito também possa se tornar algo mais claro para alguns leitores. Phishing são mensagens maliciosas propagadas por meios digitais, como e-mail ou WhatsApp, que buscam influenciar um usuário a tomar uma ação contrária aos seus interesses, como clicar em um link malicioso, abrir um anexo malicioso e até mesmo ler informações falsas. As consequências do phishing podem variar desde a instalação de software malicioso, roubo de credenciais de acesso à conta e/ou manipulação das opiniões dos usuários.
Para entender o crescimento do phishing no cenário de segurança atual, a Google, por exemplo, bloqueia mais de 100 milhões de e-mails de phishing por dia. Por outro lado, de acordo com um relatório global publicado este ano pela Verizon, 32% das brechas de segurança conhecidas em 2018 começaram através de um phishing e 78% dos incidentes de segurança destinados a espionar ou instalar um backdoor foram realizados através de ataques de phishing.
A constante evolução do phishing
A constante evolução do phishing é uma das chaves que explicam a sua vigência. De acordo com dados compartilhados durante a apresentação no BlackHat, 68% dos e-mails de phishing bloqueados diariamente pelo Gmail são compostos por novas variantes que nunca foram vistas antes, forçando os mecanismos de defesa humana e tecnológica a se adaptarem rapidamente para prevenir esses ataques. Isso é agravado por um problema de educação, uma vez que, de acordo com números compartilhados por especialistas, 45% dos usuários da Internet não entendem bem o que é phishing.
A arte da persuasão através de e-mails
Outro aspecto que explica a vigência do phishing é que os responsáveis por trás do design dessas campanhas tornaram-se especialistas em persuasão. De acordo com uma pesquisa realizada por Daniela Oliveira, os cibercriminosos tornaram-se mestres no gerenciamento de técnicas de manipulação psicológica. Nossa capacidade de detectar um golpe difere de pessoa para pessoa, já que há um grande número de fatores que influenciam na decisão que tomamos diante de um e-mail de phishing, como personalidade, humor em um momento específico, motivação cognitiva, inteligência emocional e até mesmo um fator hormonal. Portanto, quando estamos de bom humor e nossos níveis de ocitocina, serotonina e dopamina aumentam, temos mais chances de sermos enganados, enquanto que quando os níveis de cortisol estão elevados (comumente associados ao estresse), temos mais chances de sermos mais cautelosos e atentos.
Como descreve Daniela Oliveira, há três táticas de persuasão comuns em e-mails de phishing: o uso de uma autoridade respeitada pelo usuário, a promessa de benefício econômico se o indivíduo interage com o e-mail (ou perda econômica se ignorado); e, finalmente, o apelo ao fator emocional.
Muitas campanhas de phishing são direcionadas a alvos específicos
Outro aspecto para entender por que o phishing ainda é usado por cibercriminosos é a personalização de campanhas. Com base nos e-mails que a Google bloqueia diariamente, eles desenvolveram uma categorização de acordo com o grau de especificidade de seus alvos de ataque. Portanto, existem por um lado os ataques conhecidos como "spearphishing", que são aqueles e-mails personalizados que são dirigidos a uma pessoa específica dentro de uma organização. Anteriormente, publicamos no WeLiveSecurity análises de um grande número de campanhas de malware que começam com este tipo de e-mails especialmente direcionados, tais como a análise de Machete e sua campanha de ciberespionagem em andamento enfocada em organizações governamentais da América Latina no início de agosto.
Outra categoria, chamada de “phishing boutique”, corresponde a campanhas de phishing personalizadas - não tanto quanto as anteriores - que visam a algumas dezenas de indivíduos ou organizações. Finalmente, a terceira categoria corresponde aos e-mails de phishing em massa, que são aqueles dirigidos a milhares de indivíduos ou organizações.
Curiosamente, as campanhas de “phishing boutique” duram apenas sete minutos, enquanto as campanhas em massa estão ativas em média por 13 horas.
Em termos de segmentação, de acordo com a Google, a maioria das campanhas de phishing estão direcionadas ao Gmail, com muitas das campanhas enfocadas a usuários finais, enquanto as campanhas direcionadas a perfis de empresas visam um número limitado de indivíduos. Além disso, o perfil de negócios é quase cinco vezes mais direcionado do que os usuários finais, seguido pelas organizações não-governamentais.
Quanto ao phishing, em 42% dos ataques às páginas utilizadas fingem ser sites legítimos de serviços de e-mail, com o objetivo de que as vítimas possam inserir seus dados de acesso. Em segundo lugar, 25% das campanhas se passam pelos serviços em nuvem, seguida de páginas que fingem ser de instituições financeiras com 13%, de sites de comércio electrônico com 5% e de serviços de entrega com 3,9%.
Como evitar ser vítima de uma campanha de phishing
Embora os responsáveis pelas campanhas de phishing tenham evoluído para torná-las cada vez mais atraentes, a educação continua sendo um fator-chave na redução do número de vítimas desse tipo de ataque. Portanto, a Google publicou um teste on-line para testar a capacidade dos usuários de reconhecer um e-mail de phishing em uma tentativa de treinamento e que mais e mais pessoas sejam capazes de reconhecer se estão diante de um e-mail suspeito ou não.
Outro fator fundamental para reduzir o número de vítimas de phishing é implementar o uso de autenticação de dois fatores em todos os serviços disponíveis, pois essa camada extra de segurança é adicionada para ajudar a impedir que outros usuários acessem nossas contas em caso de ser vítima do roubo de credenciais de acesso em uma brecha de segurança. Na verdade, um estudo publicado pela Google este ano mostrou que a autenticação de dois fatores é a solução mais eficaz para evitar o sequestro de contas.
O primeiro passo para os usuários é aprender a reconhecer este tipo de e-mail, por isso recomendamos a leitura do post “Fraudes na Internet: 8 sinais que indicam que você é um alvo fácil”.