À medida que o medo sobre o coronavírus continua a se espalhar pelo mundo, cibercriminosos aproveitam o tema para enviar e-mails de phishing usando uma variedade de táticas e uma ampla gama de alvos.

Algumas campanhas de phishing estão incorporando domínios falsos projetados para se parecerem com os Centros de Controle e Prevenção de Doenças dos EUA e a Organização Mundial de Saúde (OMS).

O phishing é um dos métodos mais comuns e eficazes para conseguir informação de usuários descuidados, e os cibercriminosos sabem disso. O método é simples, de baixa tecnologia e explora as emoções humanas, como o medo, para enganar usuários inocentes e induzi-los a clicar em links maliciosos.

Em 2019, o número de páginas de phishing no Brasil teve um crescimento recorde de mais de 231%. Além de atividades nesse padrão e vazamento de credenciais (e-mails com senha) e cartões de crédito, é notório o número de senhas vazadas de organizações com domínios .br: foram 23,6 milhões de credenciais únicas detectadas, sendo "123456" a senha mais comum com 37,65 milhões de detecções no mundo.

Hackers se utilizam do assunto do momento para enviar e-mails maliciosos na tentativa de obter informações importantes dos usuários.
Hackers se utilizam do assunto do momento para enviar e-mails maliciosos na tentativa de obter informações importantes dos usuários.

Desde 2013 foram mais de US$12,6 bilhões de dólares roubados por meio de perdas globais de e-mails corporativos, conhecido como "fraude do CEO"; em 2018 aproximadamente US$5 mil dólares de golpes relatados por um a cada 10 consumidores, 190% de ataques de phishing contra usuários de redes sociais e 66% de malwares instalados via anexos de e-mails maliciosos, pedidos de compra, pagamentos falsos, faturas e recebimentos.

O phishing possui várias formas, mas abaixo estão as mais comuns:

  • Mass phishing é a forma predominante. Os hackers enviam milhares de mensagens fraudulentas para uma grande base de usuários, visando quantidade acima da qualidade. O phishing em massa pode capturar quantidades significativas de informações, mesmo que apenas uma pequena porcentagem dos destinatários caia no golpe.
  • O spear phishing tem como alvo uma pessoa ou função específica na empresa. Cibercriminosos pesquisam e analisam suas vítimas, reunindo dados pessoais nas mídias sociais antes de orquestrar o ataque. Normalmente, o spear phishing é usado como uma primeira etapa para obter acesso aos recursos corporativos, redes e outros.
  • O DNS hijacking é muito difícil de detectar. O serviço de nomes de domínios de roteadores domésticos normalmente inseguros é invadido para redirecionar o tráfego para endereços IP de sites de phishing cuidadosamente criados. Usuários desavisados digitam o endereço de domínio em seus navegadores e entregam suas credenciais. Um hack de DNS como esse ocorreu com o Itau e Banco do Brasil em 2018.
  • E, por fim, os chamados Tech support scams são uma forma particularmente nociva de phishing para as operadoras. Phishers se fazem passar por operadoras e solicitam credenciais de conta aos clientes ou tentam vender serviços falsos de suporte técnico e roubar detalhes dos cartões de crédito. Esses golpes podem prejudicar a reputação de empresas e manchar a imagem de marcas, por exemplo.

Quando você observa o caminho que um ataque de phishing percorre, há dois cenários muito claros nos quais o comportamento malicioso pode ser mitigado. A primeira situação é baseada nos agentes de Endpoint Security que examinam e barram continuamente as mensagens maliciosas, mas cabe aos usuários instalar e atualizar o software.

A eficácia desse tipo de solução está além do controle das operadoras e possuem taxas de adoção extremamente baixas. No cenário ideal, as operadoras podem proteger os clientes que se tornam vítimas ao clicar nos links maliciosos com uma solução de segurança baseada em rede.

Essas soluções não exigem que os usuários realizem qualquer ação e oferecem oportunidades de engajamento e altas de adoção. Ao abraçar o ônus da proteção e educar os clientes, as operadoras podem contribuir para diminuir a incidência de crimes cibernéticos e tornar a internet um lugar mais seguro para os consumidores.

Infelizmente parece que tal iniciativa por parte das operadoras não vem ocorrendo, dado o enorme crescimento desses tipos de ataque. Parece que estamos em mais um caso do bom e velho "cada um por si e Deus por todos". Não deveria ser assim, mas é.

Então veja as 10 dicas para se proteger de ataques de phishing agora mesmo!