Perry Carpenter é Evangelista-chefe da KnowBe4 Inc., provedor do popular treinamento de conscientização de segurança & plataforma de Phishing simulada.
getty
Phishing está em ascensão e não mostra sinais de desaceleração. O Google registrou um recorde de 2,1 milhões de sites de phishing em 2020, quase 25% a mais que 2019. Além do mais, o Google tem bloqueado proativamente mais de 18 milhões de E-mails de phishing todos os dias desde o início da pandemia Covid-19. Impressionante.
a maioria dos ataques de phishing são como spam comum. E-mails, textos, tweets e postagens de mídia social geralmente saem em volume simplesmente porque é mais barato fazê-lo, visando quem clica na mensagem, o que inicia o ataque real. Mas seria um erro pensar que todos os ataques de phishing são tão genéricos. Bem-vindo ao mundo do spear-phishing e baleeira (uma classe superior de phish). Essas técnicas de phishing estão em constante evolução e são tudo menos dispersa em sua abordagem. Os relatórios indicam que os sindicatos do cibercrime investem ativamente tempo, dinheiro e esforço para perseguir alvos de alto valor.
o que diferencia o spear-phishing e a caça às baleias de seus irmãos mais genéricos e de baixo mercado é a natureza focada dos ataques. Enquanto spear-phishing envolve ir atrás de tipos específicos de alvos, muitas vezes por afiliação organizacional, a caça às baleias envolve ir atrás de alvos específicos (geralmente substanciais e presumivelmente ricos) por posição, identidade ou nome. Vamos dar uma olhada nos mecanismos de spear-phishing e ataques baleeiros com mais detalhes.
Spear-Phishing: a mudança de ataques indiscriminados para o alvo
Spear-phishing tendem a explorar informações publicamente acessíveis e organizações-alvo. Postagens de mídia Social, comunicados de Imprensa, Artigos de notícias, etc. são usados por cibercriminosos para criar mensagens de E-mail que parecem confiáveis e autênticas. Essas mensagens podem até parecer originárias de alguém dentro da organização que tem autoridade para solicitar informações confidenciais. Depois que os invasores estabelecem confiança, os Spear-phishers geralmente solicitam nomes de usuário e senhas ou pedem às vítimas que cliquem em um link que instala secretamente downloads drive-by em seus PCs.
em dezembro de 2020, a IBM anunciou a descoberta de uma campanha de spear-phishing que visava uma cadeia fria de vacinas Covid-19 enviando e-mails de phishing para funcionários selecionados em posições de vendas, compras, tecnologia da informação e finanças.O FBI também emitiu um aviso às empresas dos EUA contra um crescente ataque de spear-phishing baseado em voz que visa capturar as credenciais de login dos funcionários. Os atacantes se disfarçam como outras pessoas chamavam de funcionários do trabalho em casa em uma tentativa de obter suas credenciais de conta. Depois de ter acesso a essas credenciais, os invasores obtêm acesso ao ambiente da empresa e traçam seu próximo curso de ação. Em última análise, o spear-phisher pode obter senhas administrativas, informações de contas bancárias, acesso a propriedade intelectual ou outros dados valiosos ou ter sucesso em conseguir que alguém dentro de uma organização específica execute um programa de malware malicioso.
caça às baleias: Os ataques gerais de phishing lançaram uma ampla rede Na esperança de pegar qualquer um que se apaixone pela isca, enquanto a caça às baleias tem como alvo um indivíduo selecionado, geralmente um executivo de Nível C de uma grande corporação. Um dos primeiros avistamentos de um ataque baleeiro apareceu em 2008, quando o New York Times relatou um ataque cibernético que visava milhares de executivos de alto escalão em empresas de serviços financeiros.
cada alvo recebeu uma mensagem de E-mail disfarçada de intimação dos EUA. Tribunal Distrital de San Diego que incluiu o nome, empresa, endereço e número de telefone do executivo e instruções para comparecer perante um grande júri em um próximo julgamento civil. A mensagem levou os destinatários a baixar uma cópia completa da intimação, que então iniciou um download drive-by que incluía um keylogger e um Trojan backdoor.
em outro exemplo, em 2019, a cidade de Saskatoon transferiu US $1 milhão para fraudadores que se apresentavam como Diretor Financeiro de uma empresa de construção de renome. Os invasores criaram nomes de domínio e endereços de E-mail parecidos e convenceram a cidade de que suas informações bancárias haviam mudado.Relatórios que sugerem o uso da tecnologia de Inteligência artificial (IA) e aprendizado de máquina (ML) também começaram a surgir. Os atacantes estão chegando ao ponto de usar a IA para emular executivos de alto escalão e executar ataques baleeiros de alto perfil.
prevenção de ataques de Spear-Phishing e caça às baleias
embora os ataques de spear-phishing e caça às baleias não possam ser interrompidos, seguir essas cinco melhores práticas certamente pode ajudar as pessoas a se apaixonarem por elas:
1. Nunca clique em links ou baixe anexos suspeitos. A maioria dos ataques de phishing termina com uma chamada à ação — geralmente clicando em um link ou abrindo um anexo. Assim que você encontrar um link onde você deveria clicar, você deve suspeitar. Se você acha que o link é legítimo, navegue até o navegador e digite o URL em vez de colá-lo. A maioria dos invasores usa encurtadores de URL e nomes de domínio parecidos para enganar as vítimas.
2. Não seja vítima de uma urgência manufaturada. Um componente vital de um spear-phishing ou um ataque baleeiro é a urgência de solicitação ou demanda. A maioria dos atacantes fabricará uma urgência que faz a vítima se preocupar com uma ameaça iminente ou prazo. Responder a tais pedidos, solicitações ou demandas nunca é aconselhável.
3. Verifique as solicitações antes de agir. O CEO ou CFO pediria que você transferisse milhares de dólares para uma conta offshore? Se você acha que algo está errado, verifique imediatamente sua autenticidade. Mesmo quando você acha que a solicitação é genuína, é sempre uma boa ideia pegar o telefone e verificar. Se você receber uma chamada telefônica aleatória solicitando credenciais de acesso, sempre verifique sua identidade antes de compartilhar qualquer informação sensível.
4. Restrinja suas informações pessoais online. Spear-phishers muitas vezes aproveitam informações pessoais de contas de mídia social como Facebook, Twitter ou LinkedIn. Mantenha suas contas privadas e evite postar todos os detalhes de sua vida pessoal e profissional nessas plataformas.
5. Aumente sua conscientização sobre segurança cibernética. É importante que você e seus funcionários sejam submetidos a educação e treinamento regulares que ajudem a desenvolver a memória muscular para identificar e repelir ataques cibernéticos. Estudos mostraram que o treinamento de phishing simulado pode reduzir a porcentagem média propensa a phish em mais de 60%.
golpes direcionados podem ser extremamente prejudiciais. No entanto, a prática de uma boa higiene cibernética, combinada com treinamento regular de conscientização e fortes defesas tecnológicas, certamente pode ajudar as empresas a se protegerem e manterem os phishers afastados.
Forbes Business Council é a principal organização de crescimento e networking para empresários e líderes. Eu me qualifico?
Siga-me no Twitter ou LinkedIn. Confira meu site.
Perry Carpenter é Evangelista chefe da KnowBe4 Inc., provedor do popular treinamento de conscientização de segurança & plataforma de Phishing simulada. Leia o perfil executivo completo de Perry Carpenter aqui.
Ler MaisLeia Menos