Compreendendo os

Diferentes Tipos de Phishing attacks

Por David Strom

Pelo que sabemos até agora, basta que uma mensagem de phishing passe pelas nossas
defesas para arruinar o nosso dia. Apenas um clique e um invasor pode estar em nossa rede,
conectando-se àquele endpoint único e tentando aproveitar o acesso para espalhar mais
malwares, controlar nossos servidores principais e encontrar algo que possa ser usado para
prejudicar os nossos negócios, além de roubar dados e dinheiro de nossas contas bancárias.

Os primórdios do phishing parecem bem pitorescos aos olhos das medidas atuais. Antes, um
e-mail com phishing usava truques muito simples, como um hiperlink que levava para uma URL
diferente do que estava especificado no texto do link ou um domínio falso (typosquatting)
que diferia do original apenas por um caractere ou pares de caracteres trocados, por exemplo,
Netfilx.com em vez de Netflix.com. Se você não estivesse lendo com cuidado, provavelmente
acabaria clicando em um link "inocente" como os citados anteriormente.

Bom, esses tempos passaram e, com isso, os phishers ficaram mais especializados. Eles
estão utilizando malwares móveis como iscas (um novo site de phishing é criado a cada
20 segundos, de acordo com os pesquisadores). Os hackers estão unindo forças e inovando
a distribuição dos seus malwares e a ocultação dos ataques por meio de diversas
ferramentas. Aqui estão alguns dos meios utilizados pelos "phishers" atualmente.
 Artigo Página 2

Mesmo que os phishers ainda usem domínios falsos, seus truques são
constantemente reinventados. Eles copiam imagens, fontes, layout
Ter um e design do site "verdadeiro". Assim, o truque fica quase imperceptível
certificado à primeira vista. Esse artigo no Dark Reading menciona que as mensagens
imitam deliberadamente estilos e linguagem de cobranças/notas fiscais,
falso dificulta o
confundindo e convencendo as vítimas a acessarem os links.
reconhecimento
Existem vários outros meios que dificultam a distinção entre uma
de um site de
mensagem verdadeira e uma com phishing.
phishing pelas
A primeira ação de muitos phishers é adquirir um certificado de SSL
vítimas, pois
falso para hospedar seus domínios fraudulentos. Ter um certificado
ele estará com falso dificulta o reconhecimento de um site de phishing pelas vítimas,
o ícone do pois ele estará com o ícone do cadeado verde, indicando que o site está
cadeado verde, usando um SSL. Você consegue notar a diferença entre as duas imagens
abaixo e dizer qual é o site verdadeiro e qual é o site com phishing? Esse
indicando que o
é o objetivo dos phishers. Camuflagem.
site está usando
Ironicamente, muitos desses domínios criptografados vêm de algo que
um SSL.
a Google iniciou anos atrás para encorajar mais o tráfego criptografado
de web. Isso se proliferou quando a fundação sem fins lucrativos por trás
do site Let's Encrypt facilitou e forneceu gratuitamente certificados SSL.
Pesquisadores da Zscaler relataram 12.000 tentativas diárias de phishing
por SSL durante o primeiro semestre de 2017, um aumento de 400%
em relação a 2016. Em questão de segundos, um invasor pode obter
o SSL e remover qualquer sinal de alerta da barra URL dos navegadores,
facilitando o golpe. Mesmo que seja ótimo que grande parte do tráfego
da web agora seja criptografado, nós precisamos de mecanismos
melhores do que apenas um indicador vermelho ou verde para ajudar
usuários a saberem o que estão acessando.

Um verdadeiro, um falso. É a sua conta em risco.

Artigo Página 3

A outra mudança veio na forma de um phishing mais direcionado, que

é conhecido por "whaling", cujo objetivo é mandar uma mensagem
"As violações se passando por grandes executivos (CEOs ou CFOs). Esse golpe
mais chocantes também é chamado de imitação de CEO. Uma mensagem que parece
ter vindo dessa pessoa, mas que não passa de um endereço falsificado
que já vi são ou um endereço com partes do nome do executivo. Geralmente,
transações um ataque whaling busca dinheiro, exigindo que a vítima transfira
bancárias quantias da conta bancária corporativa para a conta do criminoso.
gigantescas "As violações mais chocantes que já vi são transações bancárias
sem nenhuma gigantescas sem nenhuma verificação prévia", afirma Jeff Lanza,
verificação um ex-agente do FBI que indiciou vários criminosos do colarinho branco
e viu muitos golpes de phishing durante seus 20 anos de carreira. "Isso
prévia" acontece porque é muito fácil fraudar um endereço de e-mail de um
CEO, principalmente quando os infratores conseguem criar uma história
muito realista e convencer a vítima a realizar a transferência por meio
de uma mensagem de phishing apropriada."

Outro ataque direcionado é conhecido como "spear phishing", pois

o alvo do criminoso é uma pessoa, organização ou cargo muito específico
dentro da empresa. Muitas vezes, o invasor inclui o nome, cargo, empresa,
telefone de trabalho e outras informações na tentativa de enganar o
destinatário, fazendo-o acreditar que existe uma relação com o remetente.

O spear phishing busca dados confidenciais que podem ser explorados

ou vendidos no mercado negro. Um exemplo recente desse tipo
de ataque foi a campanha FreeMilk, que personalizou e-mails com
documentos enganosos para cada destinatário.
 Artigo Página 4

A mais recente onda de ataques leva a técnica dos domínios falsos

um pouco mais longe. Mesmo que você seja uma pessoa muito atenta,
Os passará por maus bocados tentando identificar essa técnica que se dá por
desenvolvedores punycode ou um ataque homográfico de domínio falso. O conceito
é simples: Antigamente, os institutos de normalização da Internet
de navegadores ampliaram a capacidade de suporte a caracteres alfabéticos não latinos
não estão para domínios e URLs. O problema é que muitos desses caracteres são
de braços bastante semelhantes aos utilizados no alfabeto latino. Distribuidores de
cruzados. Muitos spam adquiriam domínios que pareciam conter letras latinas, com uma ou
duas alterações contendo outro conjunto de caracteres. Por exemplo, se
navegadores o domínio "apple.com" fosse registrado como "xn--80ak6aa92e.com" ele
possuem recursos burlaria esse filtro usando apenas caracteres cirílicos.
de proteção
adicional
para alertar
sobre ataques
homográficos.

É claro que os desenvolvedores de navegadores não estão de braços

cruzados. Muitos navegadores possuem recursos de proteção adicional
para alertar sobre ataques homográficos. Como mostrado acima,
as versões mais recentes de navegadores exibirão o punycode sem
torná-lo semelhante às letras latinas.

A captura de credenciais é outro meio de ataque especializado.

Os invasores tentam fazer com que os usuários se conectem a domínios
falsos do Google Docs, Dropbox e outras contas baseadas na nuvem
para obter suas credenciais. Novamente, isso é feito por páginas
de Internet criadas pelos criminosos, imitando as verdadeiras. Depois
são enviados e-mails com links para elas esperando que uma vítima
os preencha, fornecendo o nome de usuário e a senha. Esses dados
serão usados para diversas atividades ilegais. Quando essas páginas são
enviadas para dispositivos móveis, a chance de sucesso é muito grande,
pois geralmente usuários de dispositivos móveis não verificam com
cuidado páginas falsas de login e fornecem as informações exigidas sem
pensar no que estão fazendo.
Artigo Página 5

Pharming ou envenenamento de DNS é mais um método de phishing.

O tráfego é redirecionado por meio de brechas ou artifícios nos
Enquanto os protocolos de DNS. Assim, o usuário acha que está navegando no site
criminosos verdadeiro, mas na verdade está conectado ao site do criminoso.
Frequentemente é usado para obter credenciais ou informações visando
conseguirem se apropriar da identidade de alguém.
dinheiro com
Outro método conhecido é o smishing, que é uma combinação
os ataques,
de técnicas de engenharia social enviadas por textos SMS no lugar
isso nunca vai de e-mails. Os criminosos tentam se passar por um correspondente
acabar. confiável, como o seu banco, para obter as informações da sua conta.
Em um caso recente, um criminoso tenta fazer com que você use
a etapa de autenticação do seu banco para lhe enviar uma pergunta
de autenticação verdadeira, que será usada posteriormente para
comprometer a sua conta. Evidentemente, os invasores estão cada vez
mais espertos. Uma variação desse método é conhecida por whishing,
em que o WhatsApp passa a ser o meio de phishing, enviando mensagens
com descontos promocionais e se passando por marcas famosas.

Para se defender desses tipos de ataques é necessário uma

combinação de abordagens, incluindo treinamento de conscientização
de segurança (VEJA O ARTIGO Nº 7) e uma série de etapas técnicas
como a manutenção dos níveis de reparos dos seus endpoints,
desativar a execução automática dos macros de Office e utilizar
um provedor de DNS confiável.

Como pode ver, há um aumento na especialização e sofisticação

no mundo do phishing. Sem dúvidas haverá mais combinações
e extensões do que os invasores poderão fazer nos próximos meses
ou anos. Como Lanza disse, "Phishing e ransomware não são apenas
incômodos, são negócios lucrativos." Enquanto os criminosos
conseguirem dinheiro com os ataques, isso nunca vai acabar.

2018 de março Copyright © Veeam 2018 | Veeam.com