Quais tipos de Phishing você Conhece? O phishing é um dos ciberataques mais comuns e perigosos da atualidade. Tem como alvo as vulnerabilidades da mente humana, transformando todos os funcionários em um backdoor em potencial para os ativos da empresa.
“Em phishing, todo mundo é alvo potencial.”
Não é de surpreender que os cibercriminosos inventem técnicas de phishing cada vez mais sofisticadas no dia-a-dia.
Leia abaixo sobre os truques de ponta em ataques de phishing – e verifique sua capacidade de combatê-los. Os exemplos são muito simples e foram dados pela Lucy Security baseado no mercado Americano, porém com o objetivo aqui é definir o conceito, vale a leitura e a imaginação de como pode ser aplicado no Brasil.
Smishing
Smishing é um tipo de phishing realizado via SMS. É muito simples, mas lucrativo para os cibercriminosos. Você pode receber um SMS de uma garota desconhecida convidando você para um encontro com um link para as fotos em seu perfil em uma rede social. É claro que, para ver o perfil, você deverá fazer login primeiro na página de phishing com a qual o link está conectado.
Outro tópico popular de tal SMS é “problema com conta bancária ou cartão de crédito”. Nesse caso, o link vai para uma página de phishing do banco. Em geral, o tópico de tal SMS pode ser diferente, mas o padrão é sempre o mesmo: atrair os usuários para clicar no link e inserir suas credenciais. Mas existem algumas opções de ataque adicionais quando se trata de Smishing:
- SMS Premium: com uma resposta à mensagem, a vítima pode se inscrever em um serviço pago
- Instalação do aplicativo: dependendo da versão e do tipo do sistema operacional, o usuário pode ser levado a fazer download de aplicativos que controlam seu telefone.
Exemplo da vida real
Um típico ataque baseado em SMS aconteceu no final de 2018, criminosos usaram o phishing por SMS para roubar caixas eletrônicos em operações sem cartão.
OTP bypass phishing
OTP (One-Time-Password) é uma parte da autenticação de dois fatores que muitas pessoas usam para proteger suas contas. Além do login e senha, você precisa de um OTP que muitas vezes é enviado por SMS. O processo parece super seguro, mas agora os cibercriminosos inventaram os métodos para contornar essa proteção com truques de phishing.
Imagine, você recebe um email com um link para sua conta com autenticação de dois fatores e clica nele. Em seguida, a página de login do site real é aberta, você obtém o OTP e efetua o login com sucesso. Parece que nada de ruim aconteceu, certo? Não pule para a conclusão. Sim, o site em que você fez login não é phishing. Mas, quando você clica no link do e-mail, todo o seu tráfego passa pelo servidor do invasor mal-intencionado, que extrai seu cookie e o passa para o invasor. Usando esse cookie, o atacante pode facilmente se passar por você e fazer login na sua conta.
Exemplo da vida real
O banco sueco Nordea foi uma das primeiras vítimas de um grande ataque em 2005, quando seu sistema de segurança OTP em papel foi infiltrado por uma tentativa de phishing. Para os OTP Mobile está técnica não é mais tão eficiente, pois o OTP só pode ser utilizado uma única vez, porém inda assim pode expor operações que não exijam confirmações por OTP após logado no sistema.
Então, se o phishing OTP não é novidade, existe alguma outra técnica em evolução? A resposta rápida: não.
Phishing e engenharia social são uma das mais antigas técnicas de hackers existentes. É por isso que achamos que é hora de fornecer uma visão geral dos diferentes métodos de ataque técnico.
Attachment based phishing
Phishing chega a muitas vítimas sob o disfarce de um link em um arquivo anexado. Com muita frequência, é um arquivo .pdf que não contém nada, exceto o link malicioso. Se você clicar nele, acessará uma página da Web de phishing que tentará descobrir suas credenciais.
Hoje em dia muitas pessoas estão cientes de que um .pdf pode ter um código venenoso dentro. Mas o que acontece com outros arquivos, por exemplo, mensagem de voz .eml? Eles podem ser perigosos?
Imagine que você receba uma mensagem como “Novo mensagem de voz recebido” com o arquivo anexado. Claro, você está curioso para saber o que está dentro e clica no arquivo. Em seguida, uma página de login da Microsoft é baixada e solicita que você insira as credenciais.
Muitas pessoas acham lógico – como a Microsoft se preocupa com sua segurança. Más notícias para eles: as credenciais caem diretamente nas mãos dos cibercriminosos.
Às vezes, pode ser um arquivo HTML, disfarçado de formulário da web do seu banco para ser preenchido imediatamente. Na realidade, ele contém um script para abrir uma página de phishing com forma de web no seu navegador. Em todos os casos, o impacto é o mesmo – os cibercriminosos obtêm suas credenciais.
Exemplo da vida real
Uma das campanhas de phishing que está em andamento em 2019 nos Estados Unidos, finge ser uma mensagem de voz recebida pelo RingCentral
Machine learning on the cybercriminals’ service
(Aprendizado de máquina no serviço dos cibercriminosos)
E se você encontrar em seu Gmail uma carta de alguém que você conhece sobre o assunto que lhe interessa com um arquivo .pdf no anexo? Você tem muitas chances de clicar no arquivo anexado, certo? Em seguida, a página de login do Google será aberta e solicitará que você insira credenciais. Parece confiável, porque ele até mesmo tem google.com na barra de endereço, parecendo um pouco estranho, como: “data: text / html, https: //accounts.google.com“.
Mas, na realidade, nada é como parece. A página é phishing, o .pdf é uma imagem com um link incorporado e o nome do remetente, e o tópico foi retirado de uma máquina hackeada de um de seus contatos.
Como? O algoritmo malicioso acessa contatos de máquinas já hackeadas e cria e envia automaticamente novos e-mails de phishing com nomes e tópicos correspondentes. É assim que o spear-phishing automatizado com aprendizado de máquina funciona.
E essa não é a única instância de ML e AI usando phishers. Esta técnica também permite extrair muitas informações sobre os usuários da Internet, especialmente redes sociais. Anteriormente, um invasor precisava coletar informações sobre uma vítima e gastava muito tempo nesta operação. Agora, um algoritmo pode reunir as informações e criar um email de spear phishing nessa base. Assim, o número de vítimas em potencial está crescendo exponencialmente.
Exemplo da vida real
Usando o banco de dados Phishtank, um grupo de empresas de cibersegurança sediado na Flórida, EUA, construiu o DeepPhish, que é um software de aprendizado de máquina que, supostamente, gera URLs de phishing que superam os mecanismos de defesa.
O Deeplocker é outro conjunto de uma nova geração de ferramentas de ataque altamente direcionadas e evasivas com tecnologia AI sem precedente.
QR code phishing
Você já usou um código QR? Claro, todo mundo usa hoje. Mas apenas um pequeno círculo de especialistas em segurança estão conscientes do risco deste processo.
A questão é que todos podem criar seu próprio código QR em segundos – incluindo criminosos cibernéticos, é claro.
Eles podem forjar um código QR de alguma organização confiável com URL de seu site malicioso. Assim, você pode pensar em inserir suas credenciais no website do banco, mas, na verdade, você as distribui para os cibercriminosos que esvaziam sua conta.
Esse ataque é ainda mais difícil de ser detectado, pois o endereço de URL no código QR é usado de forma resumida, por isso você não pode verificar se está correto antes que o site seja baixado.
Outro ataque astuto usando um código QR rouba credenciais de mensagens instantâneas como o WhatsApp. Os invasores usam um aplicativo mal-intencionado que executa um servidor entre o usuário e a interface da Web do WhatsApp. O aplicativo abre uma página real do WhatsApp solicitando que a vítima faça o login via código QR. Se você fizer isso, o aplicativo intercepta seus dados de login em seu servidor e os extrai em um arquivo de texto. E “vuolá” – o invasor agora pode fazer login na sua conta, ler suas mensagens e se passar por você em suas correspondências.
Sem falar que aqui no Brasil alguns bancos, como o Banco do Brasil, começaram a usar o QR Code como segundo fator de autenticação.
Exemplo da vida real
Com a ascensão da última tendência de usar o QR Code na Malásia, foram observados vários casos em que os adversários usavam códigos QR para roubar dados e dinheiro das pessoas.
Vishing (voice pishing)
Esse tipo de phishing pode ser o mais antigo – enganar os usuários para extrair dados secretos por telefone data da década de 1990.
O ponto é simples: os golpistas telefonam para você se passando por alguém do “seu banco” e tentam extrair dados de sua conta e cartão com perguntas astutas.
Mas hoje em dia o vishing aumentou um novo nível. Não só os golpistas humanos chamam as vítimas para atraírem suas credenciais, mas bots e robôs também.
Este é um verdadeiro salto técnico de criminosos cibernéticos, pois permite que eles ataquem um grande número de vítimas em potencial sem quase nenhum esforço 24 horas por dia, 7 dias por semana. Hoje, os robôs podem personificar os seres humanos de maneira plausível, e essa capacidade está subindo rapidamente com o progresso das tecnologias de Aprendizado de Máquina e IA.
Além do que, utilizando outras técnicas de Phishing combinadas, os atacantes possuem dados reais e convincentes sobre você a fim de fazer uma identificação positiva realista, capaz de enganar as mais astutas das pessoas.
Exemplo da vida real
Múltiplos casos de comunicação fraudulenta foram observados quando o adversário alega ser da Receita Federal do Canadá (Canadá Reveneu Agency – CRA) solicitando informações pessoais e, em muitos casos, também usando uma linguagem ameaçadora ou coercitiva para assustar os indivíduos a pagar dívidas fictícias à conta do adversário (qual o atacante forja como conta CRA).
Aqui no Brasil temos notado uma nova crescente neste tipo de ataque, utilizando muitas informações verdadeiras e convincentes. Algumas incluem inclusive o contato e “identificação” por uma “atendente” que passa para outro “setor” que lhe dará seguimento no assunto, ou melhor, na fraude!
Phishing Kits
Existem muitas ferramentas para phishing que mesmo usuários não-técnicos podem executar facilmente.
Na Darknet, os golpistas podem comprar algumas chamadas de “kit de phishing multimarcas” . Um software que permite que eles criem um clone muito plausível de lojas famosas na internet. Para um scammer, basta implantar um site malicioso e anunciá-lo para obter o site nas primeiras linhas dos mecanismos de busca.
Na verdade, é uma combinação com outro tipo de phishing – o phishing do mecanismo de pesquisa. Para atrair as vítimas, os criminosos anunciam em seus sites uma “grande venda” com preços inacreditáveis para os produtos mais populares, como smartphones e laptops. (Eles roubam fotos e descrições das mercadorias das lojas online reais). Para comprá-los, os usuários são obrigados a inserir seus números de cartão de crédito e outros dados pessoais e … você sabe o quão triste a história termina.
Exemplo da vida real
Recentemente, em 2018, uma nova geração de kit de phishing – [A]pache phishing kit, que está sendo vendido na Dark Web por um criminoso cibernético conhecido como “[A]pache”. O software supostamente permite que criminosos cibernéticos criem sites falsos de aparência realista de marcas conceituadas, como o Walmart e outras. O kit é dirigido a um público brasileiro na maior parte, mas há outros que também têm como alvo as marcas dos EUA.
Sextortion
Um dia você pode encontrar uma carta em sua caixa postal começando com a frase “Sua senha é…” e contendo sua senha real para alguma conta. Em seguida, o invasor o intimida com uma declaração de que ele invadiu seu PC e gravou um vídeo comprometedor de você assistindo a um site adulto. Agora seu computador está sob seu controle total, ele diz, e se você não pagar o resgate imediatamente, o vídeo será enviado para todos os contatos do seu catálogo de endereços.
Mas, na realidade, tudo isso não é nada além de um blefe. Ninguém invadiu sua máquina. Mas como o bandido descobriu sua senha? Não é um enigma. Ele pegou de um banco de dados roubado de uma loja na Internet ou outro recurso da web onde você se inscreveu algum dia. Essas bases de dados são amplamente vendidas na Darknet. Então tudo que você precisa fazer é mudar a senha roubada – e esquecer tudo isso.
Exemplo da vida real
Milhares de pessoas em todo o mundo têm recebido e-mails de sextortion de scammers em vários golpes. Em um golpe recente de sextortion, centenas de membros militares do Exército, Marinha, Força Aérea e Corpo de Fuzileiros dos EUA foram vítimas de um esquema fraudulento em que prisioneiras posavam como mulheres desenvolvendo relacionamento online, compartilhando fotos sexualmente explícitas com os membros do serviço. Depois de compartilhar fotos, eles enganaram os membros do serviço exigindo dinheiro, mudando rapidamente de tom. O esquema roubou mais de US$ 560.000 de mais de 400 membros militares, de acordo com o Serviço de Investigação Criminal Naval.
Transcrevo abaixo um exemplo real de um email que recebi neste sentido, eu já havia verificado pelo site Have I Being Pwed que minha senha realmente havia sido comprometida então não me surpreendi pelo email contê-la e e também eu não tinha o que temer em relação ao afirmado, pois claro havia acessado tal tipo de site. Segue a copia original em inglês do email recebido:
“Subject: kleber.melo – ‘mypassword’ “
“I am aware ’mypassword’ one of your pass words. Lets get straight to the purpose. absolutely no one has compensated me to check you. You don’t know me and you are most likely thinking why you’re getting this mail? actually, i actually installed a malware on the adult vids (porno) site and you know what, you visited this website to have fun (you know what i mean). When you were viewing video clips, your internet browser began functioning as a Remote Desktop that has a keylogger which provided me access to your display screen and also webcam. immediately after that, my software program collected all your contacts from your Messenger, social networks, and e-mailaccount. after that i created a double video. 1st part shows the video you were watching (you have a fine taste lmao), and second part shows the recording of your web camera, and it is you. You will have 2 solutions. We should understand these solutions in aspects: 1st choice is to disregard this message. in this case, i most certainly will send your actual recorded material to all your your contacts and also think about concerning the shame you will get. Do not forget in case you are in a committed relationship, just how it will certainly affect? Next alternative is to compensate me $7500. Lets describe it as a donation. in this instance, i will immediately remove your video. You could go forward daily life like this never happened and you will never hear back again from me. You’ll make the payment through Bitcoin (if you do not know this, search ’how to buy bitcoin’ in Google search engine). BTC address:
1BoLNE2NHNdPAghWAmnA2e2Wu6yZVwPMmk
[case-sensitive, copy & paste it] Should you are thinking about going to the cop, surely, this e-mail cannot be traced back to me. I have covered my actions. i am not looking to demand a whole lot, i simply prefer to be paid. You now have 48 hours in order to pay. i’ve a special pixel in this e mail, and now i know that you have read this email message. if i do not receive the BitCoins, i will definately send out your video to all of your contacts including close relatives, co-workers, and so forth. Having said that, if i do get paid, i’ll erase the video right away. This is the nonnegotiable offer so do not waste my personal time & yours by responding to this mail. if you really want evidence, reply with Yeah! and i will certainly send out your video to your 15 contacts.”
IDN spoofing phishing attacks
IDN significa nome de domínio internacionalizado – nomes de domínio escritos em idiomas diferentes do inglês. Correspondentemente, esse ataque é baseado no fato de que algumas letras em alfabetos de muitas linguagens diferentes são parecidas. Por exemplo, cirílico “n” e “r” é semelhante ao latim “h” e “p”. Essas letras são homógrafos. Assim, alterar algumas letras em um URL para o semelhante de outro idioma permite que os cibercriminosos falsifiquem facilmente um site.
Por exemplo, se um invasor alterar o “p” em inglês para o homógrafo russo “p” em apple.com, ele poderá criar um domínio da web com a mesma aparência. Mais do que isso, o atacante pode até obter legitimamente um certificado SSL para este site. Isso significa que você verá hptts: //www.apple.com na barra do seu navegador exatamente da mesma forma que o URL real do site da Apple e, assim, doará suas credenciais aos criminosos.
Exemplo da vida real
Certos kits de exploração usaram as técnicas de falsificação de IDN para distribuir o malware. Um exemplo famoso é o “kit de exploração RIG“
Subdomain takeover
Os cibercriminosos podem assumir um subdomínio de um site legítimo da empresa.
Como? Imagine, você tem um serviço em um subdomínio do site da sua empresa. O serviço está registrado no Amazon S3. Depois de um tempo, você se decepciona com o serviço e desiste, mas não se importa em remover a entrada de DNS conectada ao Amazon S3 Bucket – um recurso que relaciona com o conteúdo do nome do subdomínio.
É aqui os cibercriminosos vêm brincar. Eles registram esse bucket do S3 livre para si e o usam para fins maliciosos, como phishing. Mas, como o DNS permanece vinculado ao seu endereço de subdomínio, você pode ficar muito surpreso em algum dia descobrir que seu subdomínio fechado está vivo e serve para criminosos.
Exemplo da vida real
Esse ataque se tornou muito popular quando um invasor usou uma invasão de subdomínio para desfigurar um site usado pelo presidente Donald Trump para angariar fundos para a campanha.
Phishing via web-applications vulnerabilities
Muitas falhas de segurança em aplicativos da Web podem ser usadas para phishing.
Um deles está usa um site legítimo com a vulnerabilidade Open Redirect. Nesse caso, um invasor pode adicionar ao URL do website um link externo redirecionando para uma página da Web de phishing. A maioria dos usuários notará apenas a primeira parte legítima do URL – e tem um falso pressentimento de que o site é seguro.
O XSS (Cross-Site-Scripting), um dos ataques mais populares em aplicativos da Web, também é usado para phishing – e não apenas de uma só maneira. Por exemplo, um invasor pode adicionar um JavaScript mal-intencionado ao URL do website para redirecionar os usuários para uma página de phishing. Explorando o XSS, ele também pode incorporar a página de phishing diretamente no site.
Os ataques XSS também são usados para fornecer injeções de conteúdo – mais uma maneira de propagar ataques de phishing. Nesse caso, dados maliciosos são injetados no conteúdo legítimo. Como resultado, um usuário vê um elemento de phishing – por exemplo, um formulário da Web falsificado – no site confiável e acha que é verdade. Resultado triste é óbvio.
Exemplo da vida real
Esse tipo de ataque foi registrado pela primeira vez em 2006, quando uma vulnerabilidade no PayPal foi explorada em um ataque de phishing. Milhares de ataques semelhantes seguiram os próximos anos. Especialmente aquelas plataformas onde o código JavaScript poderia ser armazenado permanentemente (como em um anúncio ou leilão) eram um grande risco para os usuários. Ebay foi um dos principais alvos dete tipo de ataque.
Pharming Phishing
Esse ataque redireciona o tráfego legítimo para uma página da Web de phishing diretamente dentro do seu computador.
Por exemplo, você digita em um navegador “google.com”, mas acessa um site de phishing. Como isso é possível? Alterando o arquivo “hosts” em seu computador com malware que de alguma forma infectou sua estação de trabalho.
Nesse arquivo, o malware defini uma correspondência errada entre os endereços IP e um nome de domínio, redirecionando o tráfego.
Em nosso exemplo, o malware alterou o endereço IP real de google.com para o endereço IP do site do invasor. É claro que os cibercriminosos podem fazer isso em qualquer nome de domínio, incluindo seu banco ou site de mídia social. Desconhecendo, você é redirecionado para a página da web de phishing, insira suas credenciais – e os problemas começam.
Exemplo da vida real
Ocorreram ocorrências em 2007, em que mais de 50 instituições financeiras voltadas para clientes online nos EUA, Europa e Ásia-Pacífico foram encerradas devido a ataques em grande escala, mas não antes de infectar pelo menos 1.000 PCs por dia durante um período de três dias. As empresas-alvo foram o Barclays Bank, o Bank of Scotland, o PayPal, o eBay, o Discover Card e o American Express.
Impersonation or BEC attacks
Os ataques Business Email Compromise (BEC) são e-mails de phishing que não têm uma carga útil, como um URL ou anexo. Em vez disso, eles usam a representação e o conhecimento da estrutura da empresa ou de transações comuns para convencer os funcionários a transferir dinheiro ou dados ou alterar as informações da conta bancária para pagamentos pendentes.
Segundo os números mais recentes do FBI, nos últimos anos (particularmente nos últimos dois anos), os esquemas Business Email Compromise (BEC) causaram pelo menos US$ 3,1 bilhões em perdas totais para cerca de 22.000 organizações em todo o mundo.
Desde janeiro de 2015, houve um aumento de 1.300% em perdas expostas reconhecidas, totalizando uma perda média de US$ 140.000 por fraude.
Exemplo da vida real
Em 24 de janeiro de 2018, o First Business Bank recebeu uma solicitação de transferência eletrônica de US$ 15.850,00 por e-mail de um CEO de um cliente de negócios. O e-mail veio do endereço de e-mail comercial do CEO e o contador da empresa foi copiado no e-mail. O funcionário do banco enviou por e-mail um formulário de solicitação de transferência em branco e um contrato em branco para concluir a transação.
Em breve, um e-mail de retorno veio do e-mail do CEO, que incluía o formulário de solicitação de transferência preenchido e o contrato por transferência bancária, ambos também tinham a assinatura autêntica do CEO.
Phishing via Social Media
Tal como acontece com Smishing, esses vetores de ataque (por exemplo, links maliciosos, representação etc.) são entregues através da nova geração de aplicativos de colaboração de mídia social, por exemplo (Whatsapp, LinkedIn, Slack, Skype, Times, Facebook Messenger). Embora os usuários tenham sido treinados para desconfiar de e-mails, eles tendem a confiar demais no uso dessas ferramentas
Exemplo da vida real
Em 2017, o Facebook divulgou que até 270 milhões de contas eram ilegítimas, enquanto o Twitter identificou mais de 70 milhões de contas falsas e suspeitas em 2018. Segundo o relatório da Corrate, a maioria dessas contas foi usada para espalhar phishing via mídia social por meio do uso nefasto da plataforma.
Conclusão
Como você pode ver, hoje em dia o phishing vem em várias formas e até mesmo um nerd de computador não é capaz de reconhecê-los todos. Então, como podemos lutar contra esse perigo? O método mais eficaz para obter segurança é treinar os funcionários nas condições mais próximas da realidade. Precisamos treinar os usuários além de simples simulações de phishing com apenas um e-mail e um link.
A MindSec vem se especializando em desenvolver ofertas deste tipo de simulação e treinamento, com ferramentas especializadas customizáveis segundo as necessidades das empresas, caso tenha interesse em saber mais contate-nos contato@mindsec.com.br
Fonte: Lucy Security
Veja também:
Deixe sua opinião!