Artigo escrito por Daniel Ferreira, Advisor Security, Cyber Security, and IT Risk Partner focus2comply, com base num livro a ser publicado em breve pelo autor intitulado de Segurança de Rede, Defesa Cibernética e Operações
Atualmente, devido ao «Novo Normal» e às novas formas de trabalho, as várias tentativas de fraude relacionadas com Phishing e outras formas de persuadir, quer Clientes, quer funcionários das Organizações têm vindo a tomar proporções cada vez mais preocupantes.
Para que todos possam estar mais despertos para estes tipos de fraude, é primordial que se encontrem bem informados.
Assim sendo, iremos partilhar as várias formas de possíveis fraudes, de modo a adquirirem uma maior consciencialização sobre as mesmas.
PHISHING
O Phishing é a tentativa fraudulenta de obter informações confidenciais; tais como nomes de utilizador, senhas e detalhes de cartão de crédito; disfarçando-se de uma entidade confiável e através de uma comunicação eletrónica.
Esta é realizada, normalmente, por correio eletrónico ou mensagem instantânea simulados, e leva a que os utilizadores insiram informações pessoais num determinado site, que apesar da sua aparência fidedigna, é falso.
O Phishing é um exemplo das técnicas de engenharia social usadas para enganar os utilizadores, que são atraídos por comunicações de organizações, supostamente, confiáveis, como sites de redes sociais, sites de leilões, bancos, processadores de pagamento on-line ou administradores de TI.
Em resumo, o Phishing:
• É o tipo mais comum de tentativa de fraude;
• Utiliza um e-mail de um remetente facilmente reconhecido pela generalidade dos utilizadores;
• Rouba informações fazendo passar-se por um prestador de serviços legítimo.
SPEAR PHISHING
Neste tipo de manobra, os fraudadores personalizam os e-mails de ataque com um nome, um cargo, uma empresa, um número de telefone comercial e outras informações; na tentativa de levar o destinatário a acreditar que tem uma conexão com o remetente.
O objetivo é o mesmo que Phishing enganoso, induzir a vítima a clicar num URL - Uniform Resource Locator, ou a abrir um anexo do e-mail, e desta forma entregar os seus dados pessoais. Dada a quantidade de informações necessárias para criar uma tentativa de ataque convincente, não é surpresa que o Spear Phishing seja comum em sites de redes sociais como o LinkedIn, onde os invasores têm acesso a várias fontes de dados para criar um e-mail de ataque personalizado.
Em síntese, o Spear Phishing:
• É mais comum em sites de redes sociais;
• Recorre a uma identificação reconhecida para criar o remetente do e-mail;
• Utiliza informações personalizadas.
CEO FRAUD
Os Spear Phishers podem atingir qualquer pessoa dentro de uma organização, mesmo os altos cargos. Aliás, essa é a lógica por detrás de um ataque de «caça às baleias». Neste tipo de golpe, o alvo dos defraudadores são os executivos com o objetivo de lhes roubar os detalhes de login.
Caso o ataque seja bem-sucedido, os defraudadores podem optar por realizar a fraude do CEO. A segunda fase de um golpe de comprometimento de e-mail comercial, designada por fraude do CEO, ocorre quando os invasores invadem a conta de correio eletrónico de um CEO ou outro executivo de alta Direção, autorizando transferências eletrónicas fraudulentas para uma instituição financeira à sua escolha.
Os ataques baleeiros (como são conhecidos) são possíveis porque os executivos, geralmente, não participam nas ações de consciencialização de segurança com os seus colaboradores. Para combater as ameaças de fraude do CEO e Phishing, as organizações devem exigir que todos os colaboradores – incluindo os executivos – participem regularmente nas formações de consciencialização de segurança.
As organizações também devem considerar a inclusão de canais de autenticação multifatorial (MFA) nos seus processos de autorização financeira, para que ninguém consiga autorizar pagamentos somente via e-mail.
A fraude do CEO ou CEO FRAUD tem como principais objetivos:
• Segmentação dos executivos;
• Autorização de transferências financeiras fraudulentas;
• Obtenção de informações sobre todos os funcionários.
VISHING
Um outro método pode ser através de um canal de VOIP. Este tipo de ataque de Phishing, cujo o propósito é fazer uma ligação dispensa o envio de um e-mail. Conforme observado pela Comparitech, um invasor pode perpetrar este tipo de ataque ao configurar um servidor de VOIP (Voice over Internet Protocol) para imitar várias entidades, a fim de roubar dados e/ou fundos confidenciais.
Estes ataques já assumiram várias formas. Por exemplo, em setembro de 2019, a Infosecurity Magazine informou que os invasores digitais lançaram uma campanha fictícia para tentar roubar as senhas dos parlamentares e funcionários parlamentares britânicos. Pouco tempo depois, o The Next Web divulgou um ataque em que vishers disfarçaram-se de chefes de uma empresa-mãe alemã com o intuito de enganar uma empresa subsidiária do Reino Unido, e desta forma, obterem uma quantia equivalente a 243.000 USD.
Para se protegerem de ataques de Vishing, os utilizadores devem evitar atender chamadas de números de telefone desconhecidos ou fornecer informações pessoais por esta via. Também é recomendado a utilização de uma aplicação de identificação de chamadas.
O Vishing assenta, essencialmente em:
• Contatos por telefone;
• Falsificação de entidades conhecidas para roubar dados ou fundos confidenciais.
SMISHING
Vishing não é o único tipo de Phishing, no qual os defraudadores digitais cometem através de um telefone. Também podem realizar o que é conhecido como smishing. Este método utiliza mensagens de texto fraudulentas para induzir os utilizadores a clicarem num link malicioso ou a entregarem informações pessoais.
Tal como os vishers, os smishers representam várias entidades para conseguirem o que querem. Por exemplo, em fevereiro de 2019, a Nokia avisou os seus utilizadores sobre uma campanha fraudulenta, na qual os invasores digitais apresentavam-se como uma multinacional de telecomunicações finlandesa, e enviavam mensagens de texto a informar os seus clientes que tinham ganho um carro ou uma quantia de dinheiro. Os fraudadores pediram aos destinatários que enviassem uma verba como pagamento de inscrição para o seu novo carro, informou a Bleeping Computer.
Os utilizadores podem defender-se de ataques de Smishing se pesquisarem, minuciosamente, os números de telefone desconhecidos, e ligarem para a empresa citada nas mensagens, caso tenham alguma dúvida.
O Smishing atua das seguintes formas:
• Contata os possíveis alvos por sms / mensagem de texto;
• Imita entidades conhecidas de modo a roubar dados ou fundos confidenciais.
PHARMING
À medida que os utilizadores se tornam mais conscientes dos golpes tradicionais de Phishing, alguns defraudadores começam a abandonar a ideia de «atrair» as suas vítimas de forma tão direta. Em substituição deste método, passaram a recorrer ao Pharming. Esse procedimento de Phishing utiliza o envenenamento de cache contra o sistema de nomes de domínio (DNS).
Sob um ataque de envenenamento de cache DNS, um «farmacêutico» direciona um servidor DNS e altera o endereço IP associado ao nome do site por ordem alfabética. Isto significa que um invasor pode redirecionar os utilizadores para qualquer site malicioso de sua escolha, mesmo que estes escrevam o endereço do site corretamente.
Para se protegerem de ataques de Pharming, as organizações devem incentivar os funcionários a inserir dados de login apenas em sites protegidos por HTTPS. As empresas devem, igualmente, implementar um software antivírus em todos os dispositivos corporativos, bem como implementar regularmente as atualizações de bases de dados de vírus. Por fim, todos os colaboradores devem manter-se atualizados sobre as normas de segurança emitidas por um fornecedor de serviços de Internet confiável (ISP).
Os efeitos do Pharming são:
• Aproveitamento do envenenamento de cache contra o DNS;
• Alteração o endereço IP associado ao nome do site;
• Redirecionar para um site malicioso.