Os Elementos de um Convincente Ataque de Phishing

Cassie Chadwick era um defraudador na viragem do século XX. Chadwick cometeu uma versão inicial de roubo de identidade para levar a cabo fraudes com fios, convencendo os bancos de que ela era a filha ilegítima de Andrew Carnegie a contrair empréstimos contra este crédito. Em 1905, Cassie foi condenada a dez anos de prisão por ter defraudado um banco. Bem sucedido truques, como o de Chadwick, tornam-se o material da lenda. Ao longo dos séculos, os autores de fraudes têm utilizado engenharia social e similares truques para acumular vastas somas de dinheiro, enganando os seus alvos. Hoje em dia, os autores de fraudes utilizam comunicações modernas como o correio electrónico para realizar truques. No entanto, ainda precisam de utilizar os elementos de uma história convincente para se certificarem de que um e-mail de phishing engana com sucesso os seus destinatário. Aqui estão os elementos de um convincente ataque de phishing.

Porquê concentrar-se em ataques de Phishing?

Phishing ataques existem desde o primeiros dias do correio electrónico. Isto faz sentido, pois o e-mail pode ser utilizado como ponto de ligação entre um hacker e a rede corporativa; também conhecido como gateway de comunicação que pode abrir essa rede, ajudando a roubar palavras-passe, nomes de utilizador, e endereços electrónicos ou entregar malware. Phishing continua a ser o "vector de ataque mais comum", de acordo com a última investigação do governo britânico apresentada no relatório ".Cyber Security Breaches Survey 2021”. A razão para a continuação da utilização de phishing é porque continua a ser muito bem sucedida com até 32% dos empregados clicando num link de e-mail dephishing e até 8% sem sequer saber o que é um e-mail de phishing é. Um único empregado clicando num e-mail de phishing link e, em seguida, entrar no login credenciais coloca toda a empresa em risco de uma violação de dados ou infecção por malware. Mesmo os funcionários com privilégios de acesso mais baixos podem ainda levar a escalada de privilégios e violações de dados. Phishing é um ponto principal de ataque, e como tal, cibercriminosos esforçar-se por tornar este vector de ataque convincente para garantir o sucesso.

Elementos de Sucesso para Empregados de Phishing

Para que um funcionário phish seja bem sucedido, um defraudador precisa de assegurar-se de que todo o phishing campanha é convincente pelo aspecto do e-mail, mesmo no caminho para qualquer site falsificado que o phishing links levam o empregado a. Os elementos de um convincente phishing são cada vez mais sofisticadas e envolvem:

Personificação da marca

A falsificação da marca tem sido utilizada desde o advento de phishing por e-mail. Certas marcas são populares nas empresas, e são constantemente utilizadas para enganar destinatários a acreditar que o correio electrónico é legítimo e a entregar as suas informações pessoais. Ponto de verificação realiza investigações regulares sobre as marcas mais populares que são utilizadas como base para phishing campanhas. Uma das marcas mais falsificadas em 2021 foi a Microsoft, sendo a marca utilizada em cerca de 45% dos phishing campanhas no segundo trimestre de 2021.

URLs Rogue, Long, e Redireccionadas

Passar o cursor sobre uma ligação num e-mail nem sempre é uma forma segura de detectar uma ligação maliciosa. Recentemente, os autores de fraudes começaram a usar "vilões URLs" para mascarar a natureza maliciosa de um phishing ligação. Isto implica tipicamente esconder o verdadeiro endereço de uma ligação utilizando caracteres especiais. A URL O codificador é utilizado para mudar um URL adicionando sinais percentuais, ou seja, iniciando um URL com um % de caracteres para ocultar a verdadeira natureza de um endereço web. Estes URLs são aceites pelo Google, pelo que é difícil impedir a utilização de filtros de conteúdo estático. Muito longo URLs são também utilizados para mascarar um endereço web malicioso. As ligações de correio electrónico em dispositivos móveis são notoriamente difíceis de ver, e muito longas. URLs estão a dificultar ainda mais a detecção de ligações suspeitas. O uso de múltiplas ligações e redireccionamentos é agora também utilizado para confundir os utilizadores. A recente campanha de phishing multi-redireccional levou os utilizadores através de uma série de redireccionamentos, terminando numa página de reCaptcha do Google que depois foi finalmente redireccionada para uma página de spoof Office 365 onde o login credenciais foram roubados.

Falsos Sinais de Segurança

As pessoas já não podem confiar na utilização de sinais de segurança para indicar que um website é digno de confiança. Por exemplo, o símbolo do cadeado visto em certos websites e associado ao S no final do HTTP, ou seja, HTTPS. Isto indica que um website utiliza um certificado digital (certificado SSL) como sinal de que se trata de um site seguro. No entanto, o Grupo de Trabalho Anti-Phishing (APWG) identificou que 82% dos phishing Os sítios utilizaram um certificado SSL no segundo trimestre de 2021.

Truques de Engenharia Social

Todas as tácticas acima referidas são apoiadas por várias tácticas bem testadas engenharia social truques que apanham os empregados, movendo-os para o próximo nível do jogo da campanha phishers. É o engenharia social aspecto de phishing que permite cibercriminosos por detrás da campanha para dar o pontapé de saída ao processo que termina em ransomware, violações de dados e outros tipos de ciber ataques. Engenharia social é um termo abrangente que utiliza uma variedade de técnicas para manipular o comportamento dos empregados; os métodos típicos incluem:

• Urgência: um e-mail dephishing ou uma mensagem de texto pode utilizar um pedido urgente para realizar uma tarefa. O Business Email Compromise (BEC), que aplica componentes de phishing no ataque, utiliza frequentemente este truque. Um exemplo é um e-mail falso que pode parecer ser de um executivo de alto nível com um pedido urgente para transferir dinheiro para um novo cliente ou correr o risco de perder o cliente.

• Outros estímulos emocionais: os defraudadores brincam com as emoções das pessoas para as obrigar a executar tarefas como clicar numa ligação maliciosa num e-mail ou fornecer informação sensível. Curiosidade, preocupação com a segurança, desejo de agradar, e vontade de fazer um trabalho bem feito, são todos usados como isco de phishing.

• Spear phishing e reconhecimento: para aperfeiçoar os seus ataques dephishing, os golpistas podem utilizar o spear phishing. Esta forma direccionada de phishing está por detrás de muitos ataques, mas requer mais esforço por parte dos infractores, uma vez que estes criam e-mails que reflectem de perto o papel do indivíduo visado. Para que os e-mails dephishing com lança sejam um sucesso, os infractores normalmente realizam o reconhecimento do alvo antes de criarem a campanha de phishing.

Cibercriminosos são mestres em criar com sucesso phishing campanhas e as estatísticas provam-no. A relatório do APWG disse que "depois de duplicar em 2020, o montante de phishing tem permanecido a um nível estável mas elevado". Os elementos de um convincente ataque de phishing são experimentados, testados e confiados por fraudadores. Ao compreender estes elementos, uma organização pode atenuá-los de forma mais eficaz.

Como defender a sua organização contra um ataque de Phishing

Cada vez mais, os elementos de um sucesso phishing ataque baseiam-se na aplicação de técnicas para fugir aos tradicionais antiphishing tecnologias, tais como filtros de conteúdo. Isto não significa dizer que os filtros de conteúdo não desempenham um papel na protecção de uma empresa contra phishing campanhas. No entanto, não se pode confiar neles. Phishing campanhas continuam a utilizar o humano na máquina como forma de entrar numa rede corporativa. Devemos esperar que esta situação continue, e para phishing os criadores de campanhas a encontrar sempre formas de contornar a tecnologia. Uma abordagem estratificada de phishing o controlo é para capacitar a sua força de trabalho com as ferramentas para impedir o sucesso phishing. Ao utilizar uma mistura de Formação de Sensibilização para a Segurança aliada à utilização de exercícios de simulação de phishing em cursouma força de trabalho está preparada para detectar um e-mail de phishing antes de se tornar um ponto de entrada.