O que são ataques de phishing?

Ataques de phishing se tornaram recorrentes e com a pandemia os cibercriminosos estão atuando com maior frequência, criando campanhas de ataques direcionadas, que são conhecidas como spear-phishing.

Recentemente, diferentes tipos de phishing começaram a ser apresentados ao mercado, saindo do típico e tradicional “Clique aqui para ter seus dados roubados”. Os ataques são mais sutis e vão muito além do visível.

Tipos de phishing mais comuns

  1. E-mail phishing: É o mais conhecido. O cibercriminoso envia um e-mail para usuários com o objetivo de roubar informações ou induzi-los a clicar em um link malicioso.
  2. Spear-phishing: É um phishing mais direcionado. O objetivo deste ataque é um usuário ou grupo específico. O cibercriminoso lança campanhas de spear-phishing com base em informações reunidas por meio de inteligência e engenharia social.
  3. Vishing: É um ataque que ocorre quando um cibercriminoso liga para um indivíduo criando uma situação de emergência ou pânico e levando a vítima a “pagar” por soluções imediatas.
  4. Pharming: O atacante sequestra o servidor DNS da rede de uma organização, o que faz com que os usuários acabem sendo redirecionados para uma página falsa.

Como são criados os phishings?

Na internet existem inúmeras ferramentas e templates para criar um phishing. Ferramentas open source, como Setoolkit, Blackeye e até mesmo Gophishing, são ótimas para criar campanhas de conscientização.

Já o spear-phishing, que é mais direcionado, é desenvolvido pelo próprio atacante, como pode ser visto na imagem a seguir.

Basicamente, nesse tipo de phishing, é encaminhado um e-mail para uma pessoa fazendo-a acreditar que a sessão de sua conta expirou ou que é preciso verificar sua identidade em razão da confidencialidade das informações e que, por essa razão, ela precisa digitar sua senha. Dessa maneira o atacante obtém as credenciais de acesso da conta de e-mail da vítima.

Geralmente, esses ataques são hospedados em domínios gratuitos ou até mesmo em domínios de empresas que estão vulneráveis e são facilmente utilizados por um atacante para propagar campanhas de spear-phishing.

Uma técnica comumente usada pelos cibercriminosos é o e-mail spoofing, empregada em ataques mais avançados.  Nesse caso, o atacante falsifica um domínio real e manda um e-mail para a vítima se passando por este domínio. Esse ataque ocorre por falha de configuração e de boas práticas de segurança envolvidas na configuração do DNS da organização. Existem ferramentas online que fazem esse tipo de trabalho de maneira perfeita como o Emkei’s Mailer (https://emkei.cz/), além de outras que fazem o mesmo e de forma massiva.

Existem ainda as telas falsas, que são desenvolvidas por cibercriminosos que clonam a página de um site e a hospedam em outro site (malicioso) com domínio (URL) muito parecido para enganar suas vítimas. O uso de ADSense também é muito comum. Este consiste em vincular a campanha de phishing em propagandas nas redes sociais ou sites muito visitados.

Divulgar campanhas de phishing tem sido muito facilitado, uma vez que, muitos atacantes utilizam API’s de e-mails como o Sendgrid, que permitem enviar um grande volume de e-mails de spams, para uma ou várias instituições. Nos fóruns com foco em hacking existe a venda de diversos scripts (códigos maliciosos) e ferramentas para realizar ataques de phishing de maneira automatizada. Nesses fóruns, também paga-se para adquirir um e-mail ou mesmo listas de e-mails de indivíduos.

Como posso me prevenir?

Infelizmente, é difícil identificar um ataque de phishing, pois este pode não ser direcionado para o e-mail da organização, mas sim, para o e-mail pessoal de algum funcionário para, indiretamente, obter informações que afetarão a empresa de alguma forma, possibilitando outros ataques cibernéticos, como os ataques de ransomware.

Diversas recomendações são fornecidas por organizações, como o Mitre, para evitar ataques de phishing. Vale considerar que o um ponto focal deve ser o treinamento dos usuários, mostrando os danos de um ataque de phishing em ação conjunta com a engenharia social.

Faça campanhas de phishing dentro da sua organização, procure parceiros para ajudá-lo a se defender contra esse tipo de ameaça e treine sempre seus funcionários para entender que os perigos por trás de muitos ataques não envolvem apenas o phishing, mas a engenharia social, a famosa “arte de persuadir e enganar pessoas”.

Por Joas Antônio dos Santos

PenTest, Hacking is not crime Advocate, Contribuidor e pesquisador Mitre, Membro da

comunidade OWASP, Voluntário WOMCY  (equipe Membership)