Blog

Como proteger seu e-mail contra phishing

Me pegue se for capaz

 

“Não há tecnologia hoje que não possa ser derrotada pela engenharia social.” — Frank Abagnale

 

No Gartner Summit de 2018, tive a chance de sentar na primeira fila para o discurso de abertura feito por Frank Abagnale.

Me pegue se for capaz“, o filme aclamado pela crítica estrelado por Leonardo de Caprio e Tom Hanks (2002), é baseado nas façanhas de Abagnale como vigarista que levaram à sua ampla notoriedade.

Depois de cumprir pena na prisão por se passar por médico e advogado, além de suas escapadas como piloto, Abagnale passou a trabalhar para o Federal Bureau of Investigation (FBI) dos EUA, onde começou a investigar pessoas que falsificaram cheques, documentos e desviaram dinheiro.

Enquanto passou um total de 43 anos no FBI, ele lidou com nada além de crimes cibernéticos nos últimos 20 anos de sua carreira.

Abagnale trabalhou em todas as violações de dados, incluindo a TJX (empresa controladora da TJ Maxx, Marshalls e Home Goods, entre outras) em 2007 e, mais recentemente, Marriott e Facebook.

Durante seu discurso na conferência do Gartner, Abagnale lembrou como, aos 16 anos, ele usou engenharia social para se passar por um piloto e ligou para a sede corporativa da Pan Am para obter um uniforme através do departamento de compras.

De acordo com as estimativas da Pan Am, entre os 16 e os 18 anos, Abagnale voou como passageiro penetra (ou seja, ele não assumiu os controles do avião) em mais de 250 voos e viajou mais de um milhão de milhas para 26 países, tudo às custas da empresa.

 

Do físico ao digital, do telefone fixo ao e-mail

Cinquenta anos atrás, o telefone fixo era a única ferramenta que Abagnale tinha para enganar uma empresa ao falar. Hoje, a “área de superfície de ataque” mudou drasticamente por causa da internet, mensagens de texto, e-mails, mídias sociais e muito mais.

As ameaças cibernéticas continuam evoluindo e ficando mais inteligentes, o que torna mais importante do que nunca ficar de olho nelas.

Um relatório recente da IBM afirma que, em 2020, o custo médio de um ataque cibernético a uma empresa foi de US$ 3,86 milhões e levou mais de 200 dias para encontrar uma violação.

Qualquer empresa, grande ou pequena, em qualquer setor pode ser vítima de crimes cibernéticos. Uma coisa que todos eles têm em comum, porém, é que eles provavelmente acontecerão por causa de um erro humano.

“A única coisa que aprendi é que toda violação ocorre porque alguém naquela empresa fez algo que não deveria fazer, ou alguém nessa empresa falhou em fazer algo que deveria fazer”, disse Abagnale.

Os ataques de engenharia social são uma das formas mais difundidas e perigosas de cibercrime que as empresas enfrentam hoje, e o phishing é a forma mais prevalente de engenharia social.

 

O que é phishing?

A engenharia social é um termo genérico para tentativas de enganar ou iludir os usuários da Internet. Phishing é a forma mais popular de engenharia social.

Phishing é a prática de enviar mensagens enganosas, geralmente por e-mail, que parecem vir de uma fonte confiável. Na verdade, o Global Phish Report afirma que 1 em cada 99 e-mails é um ataque de phishing.

E-mails de phishing enganam os usuários para que instalem um programa malicioso, cliquem em um link malicioso ou divulguem informações pessoais, como detalhes de cartão de crédito e credenciais de login.

Ataques de engenharia social, como phishing, são frequentemente acompanhados por outras ameaças, como malware, injeção de código e ataques de rede.

De acordo com os relatórios de investigações de violação de dados de 2021, cerca de 25% de todas as violações de dados incluem phishing e 85% envolvem erro humano.

 

Tipos de ataques de phishing

 

  • Golpe

Golpes são normalmente distribuídos por e-mail não solicitado. Destinam-se a enganar as vítimas para que divulguem informações que resultarão em roubo de identidade ou fraude.

Os cibercriminosos usam golpes para enganar as pessoas com dinheiro ou roubar suas identidades, fazendo com que elas forneçam informações pessoais.

Os golpes incluem anúncios de emprego falsos, oportunidades de investimento, avisos de herança, prêmios de loteria e transferências de fundos.

Os golpistas geralmente tentam ganhar dinheiro com tragédias como furacões, a crise do COVID-19 e outras tragédias. Eles se aproveitam da gentileza, do medo ou da simpatia das pessoas.

Durante o pico do surto de Covid-19, os incidentes de phishing aumentaram 220% em comparação com a média anual.

  • Spear phishing

Spear phishing é um golpe altamente adaptado. Os cibercriminosos realizam extensas pesquisas sobre seus alvos – que podem ser indivíduos, organizações ou empresas – e produzem e-mails cuidadosamente elaborados, frequentemente se passando por um colega, site ou empresa confiável.

Normalmente, os e-mails de spear phishing tentam obter dados confidenciais, como senhas de login ou informações financeiras, que são posteriormente usadas para cometer fraudes, roubo de identidade e outros crimes.

Mais de 71% dos ataques direcionados empregam spear phishing.

Embora o spear phishing geralmente tenha como objetivo roubar credenciais e assumir contas, os cibercriminosos também podem infectar computadores e redes das vítimas com malware, levando a perdas financeiras e danos à sua reputação.

Whaling é uma forma de spear phishing que tem como alvo personalidades públicas, executivos e outros grandes alvos, daí o apelido.

Golpes de extorsão: essa forma de spear phishing está se tornando mais sofisticada porque ignora os gateways de e-mail.

Os criminosos cibernéticos exploram nomes de usuário e senhas roubados para extorquir dinheiro das vítimas, fingindo ter um vídeo incriminador no computador da vítima e ameaçando compartilhá-lo, a menos que paguem.

Os golpes de extorsão são subnotificados porque são embaraçosos e sensíveis.

 

  • Compromisso de e-mail comercial (BEC)

Os golpes BEC são outra forma de spear phishing. Usuários maliciosos comprometem contas de e-mail comerciais para cometer fraudes e outros crimes. Eles conseguem isso por meio de engenharia social, hacking e spoofing.

Três variantes de fraudes BEC são:

O esquema de fatura fraudulenta envolve a falsificação de uma organização bem conhecida. O alvo recebe uma solicitação de pagamento desta organização.

A fraude do CEO envolve o sequestro do endereço de e-mail de um executivo e o envio de e-mails fraudulentos para funcionários que lidam com solicitações financeiras.

As mensagens de contas comprometidas são enviadas para organizações ou contatos que o usuário conhece. Eles contêm faturas e solicitações de pagamento de outras organizações.

Golpes de folha de pagamento, ameaças fiscais, golpes baseados em viagens e instituições de caridade falsas são alguns exemplos de golpes BEC.

 

Leia também:

  • Falsificação de identidade e/ou e-mail

Um ataque de falsificação de identidade ocorre quando os fraudadores aparecem como um contato confiável que coage os funcionários a enviar fundos ou divulgar informações críticas.

O phishing de URL ou representação de domínio é um tipo de ataque em que os criminosos cibernéticos usam e-mails para induzir as pessoas a inserir informações pessoais em um site falso que parece real.

A seguir estão as diferentes maneiras pelas quais os cibercriminosos exploram URLs:

  • Encaminhar vítimas para sites desejados explorando sites respeitáveis, como resultados de mecanismos de pesquisa do Google ou Bing;
  • Hiperlinks sobrepostos mascarados, que redirecionam para uma página separada;
  • Typosquatting: modificar, pular ou escrever incorretamente letras em um nome de domínio de propósito. Por exemplo, managengine.com em vez de manageengine.com ou links de prefixo malformados, como http em vez de https;
  • Links de subpasta que criam a ilusão de que um link leva a um site válido, mas na verdade é uma subpasta inserida propositalmente no meio de uma URL. Por exemplo, Zoho.com.mail.com em vez de zoho.com/mail/.

O phishing clone emprega um e-mail válido ou entregue anteriormente com anexos ou links. O clone é uma cópia quase idêntica do original, com os anexos e links substituídos por malware ou vírus.

Os sequestros de conversas são ataques de representação de domínio altamente personalizados nos quais os cibercriminosos se inserem em discussões de negócios existentes ou criam novas para roubar dinheiro ou informações pessoais.

 

  • Falsificação de marca

O objetivo da falsificação da marca é enganar as pessoas para que divulguem informações pessoais ou confidenciais, personificando uma empresa ou marca.

A representação de serviço é um tipo de ataque de phishing que se faz passar por uma corporação conhecida ou aplicativo de negócios popular.

É um ataque de phishing comum em um ponto de entrada para coletar credenciais e realizar o controle da conta. Além disso, os ataques de representação de serviço são usados ​​para coletar informações de identificação pessoal (PII), como números de cartão de crédito e CPF.

A Microsoft é mais frequentemente falsificada. As credenciais para Microsoft e Office 365 são muito valiosas porque permitem que hackers entrem nas organizações e lancem mais ataques.

Assim, os ataques de phishing do Office 365 mais comuns são: a não entrega de email, solicitações de reativação e alertas de limitação de armazenamento.

O sequestro de marca ocorre quando um invasor parece usar o domínio de uma empresa para se passar pela empresa ou por um de seus funcionários. Isso geralmente é feito enviando e-mails com nomes de domínio falsos ou falsificados que parecem ser válidos.

A adoção abismal do DMARC está tornando mais fácil para os golpistas falsificar marcas. (77% das empresas da Fortune 500 não possuem políticas DMARC configuradas.)

  • Phishing lateral

Um ataque lateral de phishing envia e-mails de uma conta legítima, mas invadida, para destinatários desprevenidos, como contatos da empresa e parceiros externos.

Os invasores podem atingir uma ampla variedade de pessoas e organizações após adquirirem acesso à conta de e-mail de uma empresa.

Em um relatório recente de spear phishing que analisou ataques de phishing laterais realizados contra quase 100 organizações, 63% dos ataques empregaram mensagens de “documento compartilhado” e “problema de conta” (por exemplo, “Você tem um novo documento compartilhado”).

Outros 30% dos eventos usaram comunicações refinadas, visando empresas corporativas (por exemplo, “Agenda de trabalho atualizada”, “Distribua para suas equipes”). Por fim, nos ataques mais sofisticados, 7% usaram conteúdo específico da organização.

Práticas organizacionais como culturas de trabalho remotas e híbridas, BYOD (traga seu próprio dispositivo) e até mesmo traga seu próprio SaaS borraram as barreiras entre o ambiente privado e profissional.

Tanto os empregadores quanto os funcionários devem proteger seus dispositivos e espaço digital em casa e no local de trabalho.

 

Alertas vermelhos de phishing

Existem vários alertas vermelhos que os funcionários devem estar cientes para identificar possíveis golpes de phishing antes que acabem prejudicando um indivíduo ou uma empresa.

 

  • Endereços da web inconsistentes

Procure endereços de e-mail, links e nomes de domínio que não correspondam. É uma boa ideia, por exemplo, examinar uma mensagem anterior que corresponda ao endereço de e-mail do remetente.

Antes de clicar em um link em um e-mail, os destinatários devem sempre passar o mouse sobre ele para ver seu destino. Se o e-mail parece ser da Acme, mas o domínio do endereço de e-mail não contém “Acme.com”, provavelmente é phishing.

 

  • Anexos não solicitados

O malware é frequentemente disseminado por e-mails de phishing com anexos estranhos. Se você receber uma “fatura” na forma de um arquivo .zip, um executável ou qualquer outra coisa fora do comum, provavelmente é um malware.

De acordo com um relatório de ameaças recente da ESET, estes são os tipos mais comuns de arquivos nocivos anexados a e-mails de phishing:

  • Executáveis do Windows (74%)
  • Arquivos de script (11%)
  • Documentos do escritório (5%)
  • Armazenamento de arquivo compactado (4%)
  • Documentos PDF (2%)
  • Arquivos Java (2%)
  • Arquivos iterativos (2%)
  • Cantos cortados (2%)
  • Executáveis do Android (> 1%)
  • Links e URLs inconsistentes

Verifique novamente os URLs. Se o link no texto e o URL exibido quando o cursor estiver sobre o link não forem semelhantes, você será direcionado para um site indesejável.

Se o URL de um hiperlink não parecer correto ou não corresponder ao contexto do e-mail, você não deve confiar nele. Tome a medida de segurança adicional passando o mouse sobre os links incorporados (sem clicar!) e garantindo que o link comece com https://.

Não abra o link se o e-mail for inesperado. Como precaução, visite o site que você acredita ser a origem do e-mail diretamente.

 

  • Saudação genérica

Se uma corporação com a qual você faz negócios quisesse informações da conta, o e-mail o chamaria pelo nome e provavelmente o direcionaria a ligar para eles.

Os e-mails de phishing geralmente contêm saudações genéricas, como “Prezado membro”, “Prezado titular da conta” e “Prezado cliente”.

 

  • Erros de tom e gramática

O tom e a gramática de um email de uma empresa legítima devem ser impecáveis.

Um e-mail de phishing frequentemente contém erros ortográficos e gramaticais. Se um e-mail parecer estranho para seu remetente, provavelmente é malicioso.

Há um propósito por trás da sintaxe imprópria. Os hackers se concentram nos menos experientes em tecnologia porque acreditam que são menos vigilantes e, portanto, alvos mais fáceis.

 

  • Solicitações incomuns

Se um e-mail pedir para você fazer algo fora do comum, pode ser um sinal de que é malicioso.

Por exemplo, se um e-mail diz que é de uma determinada equipe de TI e pede para você instalar um software, mas essas tarefas geralmente são tratadas pelo departamento de TI como um todo, o e-mail provavelmente é malicioso.

De acordo com a pesquisa da KnowBe4, estas foram as linhas de assunto mais comuns para e-mails de phishing da vida real em 2021:

  • TI: e-mails estranhos saindo da sua conta
  • TI: Mudanças Futuras
  • RH: Pesquisa de Satisfação no Trabalho em Casa
  • Facebook: Seu acesso ao Facebook foi desativado temporariamente para que possamos verificar sua identidade.
  • Twitter: possível invasão de conta do Twitter

Mensagens falsas do LinkedIn são usadas em 47% das tentativas de phishing nas redes sociais.

As pessoas geralmente recebem e-mails contextuais pedindo para redefinir suas senhas ou fornecendo “informações” sobre possíveis novas conexões (“Você apareceu em novas pesquisas esta semana!” “As pessoas estão olhando seu perfil do LinkedIn!”).

O papel das empresas na segurança de e-mail

Todos os provedores de e-mail têm prevenção integrada contra vírus e phishing. Os controles antivírus baseados em assinatura impedem ameaças de malware conhecidas.

Além disso, eles também bloqueiam e-mails em massa não solicitados e protegem contra e-mails regulares de phishing.

Os ataques dos cibercriminosos estão ficando cada vez mais sofisticados.

Com phishing e migração de e-mail na nuvem, as empresas precisam de proteção avançada contra ameaças para defender dados confidenciais de invasores e também garantir que a força de trabalho receba treinamento regular de conscientização de segurança.

Confira a postagem do blog intitulada Como está a sua conscientização sobre segurança de e-mail? para ver como os departamentos de TI e os administradores de e-mail podem aproveitar as configurações e os recursos de segurança do Zoho Mail para evitar várias ameaças à segurança de e-mail.

 

Conclusão

Phishing e golpes semelhantes não desaparecerão em breve. A melhor maneira de proteger você e sua empresa é implementar medidas de segurança que atrasam a capacidade de alguém de atingir seu pessoal-chave.

Quer você escolha assinaturas digitais como o Zoho Sign, frases de código, comunicações criptografadas ou uma solução interna, certifique-se de que seus usuários conheçam os riscos.

Eles devem saber porque isso é importante e o que fazer para proteger a si mesmos, seus locais de trabalho e suas informações pessoais.

Lembre de contar com a Zoho, a Manage Engine e todas as ferramentas que possuímos no Zoho One para apoiar sua empresa e seus dados!

Para consultoria especializada Zoho, consulte um Zoho Expert da ItGoal, ligue ou envie WhatsApp para +55 (11) 93937 1547 

Fonte: Zoho.

DSBComo proteger seu e-mail contra phishing

Posts Relacionados