Como funciona o phishing
The basic element of a phishing attack is a message sent by email, social media, or other electronic communication means.
Um phisher pode usar recursos públicos, especialmente redes sociais, para coletar informações básicas sobre a experiência pessoal e profissional de sua vítima. Essas fontes são usadas para coletar informações como nome da vítima em potencial, cargo e endereço de e-mail, bem como interesses e atividades. O phisher pode então usar essas informações para criar uma mensagem falsa confiável.
Typically, the emails the victim receives appear to come from a known contact or organization. Attacks are carried out through malicious attachments or links to malicious websites. Attackers often set up fake websites, which appear to be owned by a trusted entity like the victim’s bank, workplace, or university. Via these websites, attackers attempt to collect private information like usernames and passwords or payment information.
Some phishing emails can be identified due to poor copywriting and improper use of fonts, logos, and layouts. However, many cybercriminals are becoming more sophisticated at creating authentic-looking messages and are using professional marketing techniques to test and improve the effectiveness of their emails.
5 tipos de ataques de phishing
#1. Email Phishing
A maioria dos ataques de phishing é enviada por e-mail. Os invasores normalmente registram nomes de domínio falsos que imitam organizações reais e enviam milhares de solicitações comuns às vítimas.
For fake domains, attackers may add or replace characters (e.g., my-bank.com instead of mybank.com), use subdomains (e.g., mybank.host.com), or use the trusted organization’s name as the email username (e.g., mybank@host.com).
Many phishing emails use a sense of urgency or a threat to cause a user to comply quickly without checking the source or authenticity of the email.
As mensagens de phishing por e-mail têm um dos seguintes objetivos:
- Causing the user to click a link to a malicious website in order to install malware on their device.
- Causing the user to download an infected file and using it to deploy malware.
- Fazendo com que o usuário clique em um link para um site falso e envie dados pessoais.
- Fazendo com que o usuário responda e forneça dados pessoais.
#2. Spear Phishing
Spear phishing includes malicious emails sent to specific people. The attacker typically already has some or all of the following information about the victim:
- Nome
- Local de trabalho
- Cargo
- Endereço de email
- Informações específicas sobre sua função
- Colegas de confiança, familiares ou outros contatos e exemplos de sua escrita
Essas informações ajudam a aumentar a eficácia dos e-mails de phishing e a manipular as vítimas para que executem tarefas e atividades, como transferência de dinheiro.
#3. Whaling
Whaling attacks target senior management and other highly privileged roles. The ultimate goal of whaling is the same as other types of phishing attacks, but the technique is often very subtle. Senior employees commonly have a lot of information in the public domain, and attackers can use this information to craft highly effective attacks.
Typically, these attacks do not use tricks like malicious URLs and fake links. Instead, they leverage highly personalized messages using information they discover in their research about the victim. For example, whaling attackers commonly use bogus tax returns to discover sensitive data about the victim and use it to craft their attack.
#4. Smishing and Vishing
This is a phishing attack that uses a phone instead of written communication. Smishing involves sending fraudulent SMS messages, while vishing involves phone conversations.
Em um scam típico de phishing por voz, um invasor finge ser um investigador scam de uma empresa de cartão de crédito ou de um banco, informando às vítimas que sua conta foi violada. Os criminosos então pedem à vítima que forneça informações do cartão de pagamento, supostamente para verificar sua identidade ou transferir dinheiro para uma conta segura (que na verdade é do invasor).
Vishing scams may also involve automated phone calls pretending to be from a trusted entity, asking the victim to type personal details using their phone keypad.
#5. Angler Phishing
These attacks use fake social media accounts belonging to well-known organizations. The attacker uses an account handle that mimics a legitimate organization (e.g., “@pizzahutcustomercare”) and uses the same profile picture as the real company account.
Os invasores aproveitam a tendência dos consumidores de fazer reclamações e solicitar assistência das marcas por meio dos canais de mídia social. Porém, em vez de entrar em contato com a marca real, o consumidor entra em contato com a conta social falsa do invasor.
Quando os invasores recebem tal solicitação, eles podem pedir ao cliente que forneça informações pessoais para que possam identificar o problema e responder adequadamente. Em outros casos, o invasor fornece um link para uma página falsa de suporte ao cliente, que na verdade é um site malicioso.
Quais são os sinais de phishing?
Ameaças ou senso de urgência
E-mails que ameaçam consequências negativas devem sempre ser tratados com ceticismo. Outra estratégia é usar a urgência para encorajar ou exigir ação imediata. Os phishers esperam que, ao ler o e-mail com pressa, não examinem minuciosamente o conteúdo e não descubram inconsistências.
Estilo de mensagem
An immediate indication of phishing is that a message is written with inappropriate language or tone. If, for example, a colleague from work sounds overly casual or a close friend uses formal language, this should trigger suspicion. Recipients of the message should check for anything else that could indicate a phishing message.
Solicitações incomuns
Se um e-mail exigir que você execute ações fora do padrão, isso pode indicar que o e-mail é malicioso. Por exemplo, se um e-mail afirma ser de uma equipe de TI específica e solicita a instalação de software, mas essas atividades geralmente são gerenciadas centralmente pelo departamento de TI, o e-mail provavelmente é malicioso.
Erros Linguísticos
Misspellings and grammatical misuse are another sign of phishing emails. Most companies have set up spell-checking in their email clients for outgoing emails. Therefore, emails with spelling or grammatical errors should raise suspicion, as they may not originate from the claimed source.
Inconsistências em endereços da Web
Outra maneira fácil de identificar possíveis ataques de phishing é procurar endereços de e-mail, links e nomes de domínio incompatíveis. Por exemplo, é uma boa ideia verificar uma comunicação anterior que corresponda ao endereço de e-mail do remetente.
Recipients should always hover over a link in an email before clicking it to see the actual link destination. If the email is believed to be sent by Bank of America, but the domain of the email address does not contain “bankofamerica.com”, that is a sign of a phishing email.
Request for Credentials, Payment Information, or Other Personal Details
Em muitos e-mails de phishing, os invasores criam páginas de login falsas vinculadas a e-mails que parecem ser oficiais. A página de login falsa normalmente possui uma caixa de login ou uma solicitação de informações financeiras da conta. Se o e-mail for inesperado, o destinatário não deverá inserir credenciais de login nem clicar no link. Por precaução, os destinatários devem visitar diretamente o site que consideram ser a origem do e-mail.
5 maneiras de proteger sua organização contra ataques de phishing
Aqui estão algumas maneiras pelas quais sua organização pode reduzir o risco de ataques de phishing.
#1. Employee Awareness Training
É fundamental treinar os funcionários para compreender as estratégias de phishing, identificar sinais de phishing e relatar incidentes suspeitos à equipe de segurança.
Similarly, organizations should encourage employees to look for trust badges or stickers from well-known cyber security or antivirus companies before interacting with a website. This shows that the website is serious about security and is probably not fake or malicious.
#2. Deploy Email Security Solutions
Soluções modernas de filtragem de e-mail podem proteger contra malware e outras cargas maliciosas em mensagens de e-mail. As soluções podem detectar e-mails que contenham links maliciosos, anexos, conteúdo de spam e linguagem que possa sugerir um ataque de phishing.
As soluções de segurança de e-mail bloqueiam e colocam em quarentena automaticamente e-mails suspeitos e usam tecnologia de sandbox para “detonar” e-mails e verificar se contêm código malicioso.
#3. Make Use of Endpoint Monitoring and Protection
O uso crescente de serviços em nuvem e dispositivos pessoais no local de trabalho introduziu muitos novos endpoint que podem não estar totalmente protegidos. As equipes de segurança devem presumir que alguns endpoints serão violados por ataques de endpoint. é essencial monitorar endpoint em busca de ameaças à segurança e implementar soluções e respostas rápidas no dispositivo comprometido.
#4. Conduct Phishing Attack Tests
Simulated phishing attack testing can help security teams evaluate the effectiveness of security awareness training programs and help end users better understand attacks. Even if your employees are good at finding suspicious messages, they should be tested regularly to mimic real phishing attacks. The threat landscape continues to evolve, and cyberattack simulations must also evolve.
#5. Limit User Access to High-Value Systems and Data
A maioria dos métodos de phishing são projetados para enganar operadores humanos, e contas de usuários privilegiados são alvos atraentes para os cibercriminosos. Restringir o acesso a sistemas e dados pode ajudar a proteger dados confidenciais contra vazamentos. Use o princípio do menor privilégio e conceda acesso apenas aos usuários que realmente precisam dele.
Opinião