Phishing é um importante vetor de ataques para os mais diversos fins no cibercrime, utilizando principalmente o e-mail como meio de disseminação, mas também mensagens de voz, sms e redes sociais. É fundamentalmente uma técnica de engenharia social que utiliza a tática de enganar, por meio da personificação, para manipular as pessoas e com isto poder obter informações confidenciais e/ou acesso ao seu dispositivo. 

Trata-se de uma técnica, infelizmente, ainda muito eficiente para a execução de diversos tipos de fraudes cibernéticas, pois sua eficácia existe baseada na colaboração do usuário. 

O termo phishing foi criado em meados de 1995 quando hackers praticavam roubo de contas da AOL, fraudando senhas de usuários, aludindo a uma pescaria.

Tipos de phishing

Na literatura, existem descritos vários tipos de phishing, alguns dos quais incluem:

Phishing por e-mail: realizado por meio de e-mails fraudulentos, também conhecidos como Phishing Scam, que parecem vir de entidades confiáveis, como bancos ou empresas. Esses e-mails pedem informações pessoais ou financeiras ou levam as pessoas a clicar em links maliciosos, como mostra a imagem abaixo.

Ainda sobre esse exemplo de tentativa de phishing, é possível observar que a mensagem contém erros de português e solicita atualização de segurança para continuidade no uso dos serviços. Os bancos frequentemente alertam seus clientes que não enviam solicitações para fornecimento de dados ou atualizações cadastrais via e-mail.

Phishing por mensagem de texto: também conhecidas como smishing, usam técnicas semelhantes às do phishing por e-mail, entretanto usando como canal de distribuição o sistema de SMS de telefonia móvel.

Tomando como exemplo a imagem acima, apesar de muitos serviços de entrega enviarem mensagens sobre o status do pedido, neste caso, fica visível que o endereço do link não apresenta nenhuma relação com a empresa citada no SMS.

Phishing de clonagem: envolve a criação de sites ou URLs que se parecem com sites legítimos e são utilizados para roubar informações pessoais e financeiras.

Phishing de voz: é um método que se aproveita das tecnologias de reconhecimento de voz para obter informações pessoais ou financeiras das vítimas, geralmente por telefone.

Vishing: similar ao phishing de voz, faz o uso de chamadas telefônicas para obter informações pessoais ou financeiras das vítimas.

Spear Phishing: ação de phishing que tem como alvo um grupo específico ou tipo de indivíduo, como administradores de sistema de uma empresa.

Whaling Phishing: é um tipo de phishing ainda mais direcionado a alvos específicos, normalmente executivos de alto escalão dentro de uma empresa.

Phishing de mecanismo de pesquisa: também conhecido como envenenamento de SEO, é onde os atacantes trabalham para se tornar o principal hit em resultados nos mecanismos de pesquisa na internet, com objetivo de redirecionar os acessos via resultado de pesquisa para um site malicioso ao invés do site legítimo, como mostra a imagem abaixo.

Anatomia de um ataque de phishing

Normalmente, o cibercriminoso utiliza mensagens que podem chamar a atenção da vítima, contendo conteúdo erótico, vantagens financeiras, contemplação em sorteio, fácil enriquecimento, ganhos financeiros, esquemas “milagrosos” de trabalho remoto com ganhos extraordinários, atualizações de cadastro, detecção de vulnerabilidade, bloqueio de conta, efim, as possibilidades são muitas para serem usadas como isca. 

Observamos principalmente phishing com e-mails personificando (com a aparência muito parecida com e-mails legítimos) instituições de sua confiança, empresas que você é cliente ou uma rede social que você utiliza. As mensagens podem conter  arquivos anexos maliciosos, links para sites que personificam portais legítimos com objetivo de roubar as suas credenciais ou links que fazem o download automático de arquivos que contém malwares. Em alguns exemplos de phishing direcionado (Spear ou Whaling) a presença de dados válidos na mensagem, maximizam a eficácia, pois o usuário ao observar um dado real, pode acreditar que se trata de uma mensagem legítima.

Conforme ilustrado na imagem acima podemos descrever a ação de phishing em 4 passos:

Passo 1
O atacante envia um e-mail, personificando uma instituição de confiança da vítima com conteúdo malicioso (um link para um site clonado, personificado com a aparência do site legítimo) com objetivo de coletar as credenciais da vítima.

Passo 2
A vítima abre o e-mail, é enganada pela aparência da mensagem e clica no link informado, abrindo o site clonado.

Passo 3
Ao abrir a página, a vítima acredita estar no site legítimo e tenta fazer o login fornecendo suas credenciais. Nesse momento, o usuário tem as suas credenciais (login e senha) coletadas pelo ofensor.

Passo 4
O cibercriminoso passa a ter acesso ao sistema legítimo, com as credenciais da vítima, concluindo o seu objetivo com o ataque de phishing.

Uma outra variação do ataque de phishing é quando o objetivo do atacante não é o roubo de credenciais e sim instalar software malicioso no computador da vítima. Com objetivo de ter acesso administrativo (root) ao seu host utilizando-o como um proxy para ataques a outras vítimas ou roubando seus dados e encriptando-os tornando o sistema indisponível para você (ataque de Ransomware), o que podemos em resumo descrever em 5 passos conforme ilustrado na imagem abaixo.

Passo 1
O atacante envia um e-mail, personificando uma instituição de confiança da vítima, com conteúdo malicioso (um anexo/conteúdo ativo) com objetivo de efetuar um download de software malicioso no computador da vítima e fazer com que esse dispositivo torne-se um bot e ser utilizado em outros ataques cibernéticos ou para roubar os dados da vítima, tornando-os indisponíveis através da encriptação do volume de armazenamento (ransomware).

Passo 2
A vítima abre o e-mail, personificado com a aparência de uma mensagem legítima de instituição conhecida pela vítima, o que chama a sua atenção.

Passo 3
Convencida que o e-mail é legítimo, a vítima segue as instruções clicando onde é solicitado.

Passo 4
Após a vítima clicar no link do e-mail, ela faz o download de um conteúdo malicioso conforme a intenção do atacante.

Passo 5
O cibercriminoso conclui seu objetivo, descarregando o malware no computador da vítima.

Como identificar uma tentativa de phishing?

O “sucesso” de um ataque de phishing está associado a vítima ser convencida de que aquele e-mail é de origem legítima, o que pode ser alcançado pelos atacantes com a personificação feita da melhor forma possível, também contando com a falta de atenção da vítima, além de não ter a proteção adequada em seu dispositivo.

Os indicadores comuns de uma tentativa de phishing podem ser:

• Uso de subdomínios, URLs com escrita diferente (letra ou número) em comparação a legítima;
• Utilização de um provedor de e-mail gratuito e o link do nome de domínio no conteúdo do e-mail não corresponde diretamente ao link do nome de domínio original;
• A mensagem é projetada para evocar uma sensação de medo ou urgência;
• Inclui uma solicitação para verificar informações pessoais, como seu login bancário ou senha cadastral;
• Contém erros de digitação e/ou erros gramaticais;
• A URL do e-mail não corresponde à URL do site usado para engenharia social.

Veja a seguir um exemplo prático de phishing.

De fato os e-mails de phishing a cada dia que passa estão com melhor aparência, justamente para enganar o usuário menos atento, entretanto por mais que o cibercrime melhore suas técnicas de criação, aqui vão algumas dicas com este exemplo prático para reconhecimento do phishing: 

• O e-mail tem uma saudação genérica;
• Informa que a conta está suspensa devido a um problema de cobrança;
• Solicita clicar em um link para atualizar os detalhes de pagamento;
• O endereço de e-mail do remetente não condiz com a empresa cuja mensagem poderia ter sido enviada.

Quando identificado pelo usuário, a tentativa de phishing deve ser primeiro ignorada, jamais clique/abra e-mails que não são de sua confiança. Em seguida, faça uma denúncia ao seu provedor de internet, ao seu provedor de serviços de e-mail e a comunidade de pesquisa e caça a este tipo de ameaça cibernética. 

Como denunciar?

Todo provedor de serviços de cloud, assim como todo sistema autônomo na internet tem, por boa prática, um contato ativo e real de abuse, com a finalidade de ser o contato de e-mail para a recepção de denúncia de phishing e providenciar o devido combate (takedown) do emissor. 

Veja a seguir a relação de alguns cloud providers e seus respectivos contatos de report de atividade maliciosa, relacionados em um top 10 baseado nas estatísticas de phishing do dia 06/02/2023, coletadas pelo UPX Phishing Sonar. 

A existência de atividade de phishing em um provedor de serviços, geralmente, significa um descumprimento de sua política de uso aceitável, sendo necessária e fundamental a referida denúncia de phishing ao ser encontrado e após comprovação

Além dos sistemas autônomos citados acima, podemos incluir outros 10 ASNs também envolvidos em phishing, conforme identificado pelo monitoramento da UPX nos últimos 2 meses.

O Grupo de trabalho anti-phishing APWG (Anti-Phishing Working Group), formado por diversos membros da indústria nos mais diversos segmentos, também mantém um serviço de utilidade pública para report de phishing, principalmente por e-mail, que também deve ser utilizado, reportphishing@apwg.org.

Phishing é tão sério por ser um vetor de ataque tão eficiente, mesmo com todas as campanhas e tentativas de informar e educar os usuários. É importante ressaltar que esse tipo de ataque é uma “porta de entrada” para um espectro enorme de malwares que podem proporcionar ao cibercrime os seus dados e os seus recursos computacionais, conectividade para ser ponte de anonimização de ataques, vetor para ataques DDoS, vetor para anonimização em roubo de dados de terceiros, sequestro com a encriptação dos seus dados.

Phishing em números

O APWG mantém um relatório sobre as estatísticas de phishing no qual, pode-se destacar 1.270.883 ataques registrados no terceiro quarter de 2022, sendo um aumento significativo em comparação ao mesmo período em 2021, refletindo o avanço da efetividade desta técnica.

Abaixo, é possível observar os segmentos mais afetados, conforme o APWG.

Para comparação de dados estatísticos, a tabela abaixo mostra uma análise feita pela UPX nos últimos 30 dias e identificando as 10 empresas que mais tiveram campanhas de phishing direcionadas para os usuários.

A UPX também fez um levantamento de algumas marcas/domínios brasileiros de representantes relevantes do segmento financeiro, que foi possível a identificação por palavra-chave e domínio sobre ocorrências de phishing.

Conforme já citado neste artigo, os domínios e marcas que são personificados em campanhas de phishing, são escolhidos pelo cibercrime justamente pelo seu sucesso/aceitação/uso em seus respectivos segmentos, não tendo nenhuma relação em princípio com o respectivo domínio legítimo. Também é importante reforçar que, geralmente, os gerenciadores dos respectivos TLDs que mantém o domínio de phishing, na maioria dos casos, estão fazendo uso indevido dos respectivos serviços, devendo por isto serem denunciados para que seja retirado do ar (takedown).

Veja a seguir uma relação de algumas estatísticas globais:

• 82% das violações envolveram o elemento humano;
• 35% dos ataques de ransomware são entregues por e-mail;
• O phishing continua sendo um dos quatro principais pontos de entrada para uma organização, respondendo por mais de 60% de todos os ataques de engenharia social;
• 14% dos comprometimentos de e-mail comercial nos Estados Unidos não recuperaram nenhuma de suas perdas financeiras;
• 95% das perdas de comprometimento de e-mail comercial ficaram entre US$ 250 e US$ 984.855;
• 35% das violações na América do Norte envolveram engenharia social;
• Quase 100% dos ataques sociais no setor da Administração Pública envolveram phishing;
• Na indústria de manufatura, mais de 75% dos ataques de engenharia social envolveram phishing;
• 86% das violações realizadas via phishing, tiveram motivação financeira;
• Em 2021, o IC3 recebeu 19.954 denúncias de fraude/comprometimento via e-mail corporativo, com perdas ajustadas de quase US$2,4 bilhões.

Como combater o phishing?

O que é efetivo, é uma proteção multicamadas onde, desde a plena conscientização do usuário e sua colaboração e a utilização de ferramentas auxiliares são necessárias para o combate. 

Também é necessária a colaboração/participação dos fornecedores (ISPs e fornecedores de serviços web) na adoção de boas práticas de cibersegurança e engenharia de redes.

Dicas básicas de proteção contra Phishing

Ponto de vista de usuário:

• Não abra e-mails de remetentes com os quais você não está familiarizado;
• Nunca clique em um link que esteja em um e-mail a menos que você conheça muito bem quem o mandou. E mesmo assim antes de clicar procure observar o link e o alvo do link no software de e-mail em uso;
• Se possível, configure seu sistema de e-mail (seja webmail ou software para leitura de e-mail) para utilizar somente texto e não utilize a composição de e-mails em formato HTML, utilize a composição de e-mail em formato texto puro;
• Procure sempre o certificado digital de um website e questione sua origem, validade e emissor;
• Suspeite de pop-ups e na menor dúvida, bloqueie-os;
• Suspeite de qualquer anexo de fontes conhecidas e desconhecidas. Sempre faça uma checagem, na dúvida, procure suporte especializado;
• Não forneça suas informações pessoais, até realizar várias confirmações do fluxo de comunicação para confirmar que o interlocutor é realmente quem diz ser e representa realmente quem diz que representa.;
• Habilite a autenticação de dois fatores (2FA) em qualquer conta/aplicativo que você puder.

Proteção “da camada de software” na visão do usuário:

• Mantenha seu sistema operacional e demais componentes de software atualizados;
• Muitos navegadores de internet têm componentes integrados e oficiais dos seus mantenedores que auxiliam a caça e combate a phishing, na forma de extensões/add-on, uma sugestão é utilizar os oficiais (na dúvida, questione seu fornecedor de browser) e sua respectiva loja de aplicativos, add-ons ou repositório oficial;
• Utilize soluções integradas de antivírus, anti-malware e anti-spam;

Proteção sugerida para operadores (não restrita a apenas estas):

• Em servidores de e-mail (MTAs) a proteção com mecanismos de reputação e filtragem de spam/phishing, ainda no gateway de e-mail, para dropar mensagens de phishing ou alertar da melhor forma o usuário;
• Adotar técnicas como SPF, DNSSEC, DKIM, DMARC, BIMI e similares que auxiliam neste processo, portanto é imperativo implementar. Muitos fornecedores de serviços web (hosting, e-mail) não suportam;
• Utilizar mecanismos de detecção de eventos nos endpoints, como EDRs é de extrema utilidade somando com demais técnicas de proteção de perímetro (voltado para corporações/governo) associado aos seus mecanismos de inteligência de sinais/cibersegurança;

Para seu dispositivo móvel:

• Não clique em links de mensagens SMS a menos que conheça absolutamente a URL do link e seu emissor.
• Não forneça dados pessoais via SMS.
• Se receber um SMS supostamente vindo do banco, procure diretamente a sua agência e não forneça nenhum dado, nem clique no link da mensagem, caso houver.
• Se você tem certeza que não precisa, desabilite os serviços de sms no seu dispositivo móvel.
• Se você receber uma ligação, de alguém se identificando como um prestador de serviços seu ou operador legal (representante do estado/governo), desconfie se ele pedir dados completos (por exemplo, CPF ou RG) e diversos dados seus combinados (no objetivo de contextualizar) e não informe. No máximo, o que estes operadores podem, e devem fazer, é a confirmação da sua identidade e isto é feito, com trechos dos seus dados que eles possuem e são privativos conforme a lei.

Existem várias maneiras de monitorar sua organização contra phishing:

Treinamento de segurança

Ofereça treinamentos regulares para funcionários sobre como identificar e evitar tentativas de phishing;

Políticas e procedimentos

Defina políticas e procedimentos claros para lidar com e-mails ou mensagens de texto suspeitos, incluindo instruções sobre como reportar esses incidentes;

Monitoramento de redes

Monitorar as redes para detectar atividades suspeitas e identificar ataques em andamento.

Testes de Susceptibilidade a Phishing

Realizar testes de phishing internos para identificar vulnerabilidades e ajudar a melhorar a capacidade de resposta da sua organização.

Monitoramento de reputação

Utilize ferramentas para monitorar a reputação da sua marca e detectar possíveis sites ou URLs maliciosos que possam estar se passando por sua empresa, a exemplo da nossa solução UPX Phishing Sonar.

Lembre-se de que é importante ser proativo e manter-se atualizado constantemente com as técnicas e ferramentas mais recentes para proteger a organização de ataques de phishing.

Adote uma ferramenta de análise do seu tráfego de rede e identificação de eventos maliciosos.

Aqui na UPX, temos em nossa solução de SASE, componentes para o monitoramento proativo do tráfego de rede como o XDR e também um componente específico para o monitoramento e combate a phishing , o UPX Phishing Sonar. 

O que faz o Phishing Sonar da UPX?

O UPX Phishing Sonar usa inteligência artificial e aprendizado de máquina associado a toda a base de dados coletada e analisada pela camada analítica UPX Córtex, para detectar e bloquear phishing contra a sua instituição. O objetivo do Phishing Sonar é ajudar a proteger as pessoas e as empresas contra o phishing, fornecendo recursos para identificar e bloquear sites de phishing personificando a sua organização e auxiliar no procedimento de takedown.