Os ataques de Phishing têm tanto a ver com a manipulação do comportamento humano como com a tecnologia. Esta afirmação encerra a razão pela qual é tão difícil impedir campanhas de phishing que resultam em resgates, credenciais roubadas, e outros ciberataques.
Nos anos 70, houve uma campanha de condução sob o lema "Pense, antes de beber, antes de conduzir". Foi uma campanha eficaz, ajudando a reduzir os acidentes de condução relacionados com o consumo de álcool no Reino Unido. Fazer as pessoas 'pensar' antes de agir não é tão fácil como parece. De facto, não é pensar e ter uma reacção irreflectida a um e-mail em que as campanhas de phishing confiam. O phishing é um negócio sério, com um relatório recente a constatar que 95% dos líderes de TI acreditam que os dados estão em risco a partir do canal de correio electrónico.
Então, como pode a empresa média esperar ser tão bem sucedida como a campanha de condução sob o efeito do álcool dos anos 70 quando se trata de contrariar os truques na manga de um cibercriminoso?
Ataques de Phishing e Comportamento Humano
Esta dificuldade na prevenção reflecte-se na natureza bem sucedida dos ataques de phishing: Na pré-pandemia de 2019, as estatísticas de phishing eram terríveis, com a companhia de seguros Beazley a encontrar um aumento de 105% nos ataques de resgates no 1º trimestre de 2019. Mas, em 2020, os ataques de phishing saíram da escala. O FBI publicou um relatório mostrando que o phishing era de longe o mais prevalecente dos crimes reportados à sua secção de queixas, IC3. Uma das forças motrizes do sucesso do phishing durante os últimos 12 meses foi a pandemia de Covid-19, que proporcionou inúmeras oportunidades para os phishers explorarem o comportamento humano: isto é evidenciado por um aumento espantoso de 30.000 % das ameaças baseadas em Covid-19 durante 2020; a maioria destes ataques utilizou websites maliciosos e e-mails de phishing.
Phishing (e as suas variantes, Vishing/Smishing/Pharming) é um vector de ataque prevalecente porque a técnica funciona. Funciona porque utiliza o comportamento humano natural para realizar uma acção que beneficia o cibercriminoso por detrás de um ataque. Ser capaz de manipular uma pessoa legítima para fazer uma acção ilegítima é a marca do esquema, mesmo antes do advento das tecnologias modernas. Mas a tecnologia pode até mesmo preparar utilizadores experientes, uma vez que os padrões de utilização da tecnologia se tornam "codificados" à medida que nos familiarizamos com um sistema.
O e-mail, por exemplo, é uma tecnologia quotidiana que utilizamos continuamente. Em 2020, foram enviados e recebidos diariamente 306,4 milhões de e-mails. Abrir um e-mail e clicar num link é quase uma segunda natureza, um comportamento irreflectido para uma tarefa regular. É nesta repetitividade, e na falta de pensamento necessário para agir, que o phisher se concentra.
5 Características típicas de Phishing
Os ataques de phishing querem apanhar as pessoas antes que elas pensem demais. Para tal, as campanhas precisam de assegurar que certos critérios sejam cumpridos e que as circunstâncias sejam optimizadas:
- Fonte fidedigna: Uma forma de remover o processo de pensamento é fazer com que o destinatário do correio electrónico se sinta seguro. As campanhas de phishing serão tipicamente disfarçadas de marcas bem conhecidas. Numa análise das marcas que são utilizadas pelos phishers, a Microsoft aparece repetidamente no topo como uma das marcas preferidas dos phishers para falsificar. Outras marcas falsificadas incluem Netflix e PayPal.
- A atracção do clique: Enquanto 79% das pessoas dizem que conseguem reconhecer um e-mail de phishing, quase metade ainda clicará num link de um e-mail suspeito. As razões para este comportamento devem-se provavelmente à formação implícita que todos nós já passámos para utilizar conteúdos prontos para a Internet. Clicar é quase uma resposta pavloviana quando um e-mail contém uma hiperligação. Os designers de experiência do utilizador (UX) têm utilizado este tipo de condicionamento para ajudar as pessoas a utilizar mais facilmente a tecnologia; os cibercriminosos utilizam a mesma manipulação psicológica para nos levar a clicar num link de phishing para iniciar a fase seguinte do phish.
- Liderar por tarefa: Manter o e-mail focalizado numa tarefa simples ajuda na remoção do processo de pensamento. Tarefas repetitivas e reconhecidas, tais como a redefinição de palavras-passe, são as favoritas do phisher. Isto permite que todos os 'cliques' importantes sejam feitos sem pensar demasiado profundamente nas possíveis consequências. Se a tarefa estiver relacionada com o trabalho, então é mais provável que o clique seja feito, e que o evento de phishing seja iniciado.
- A urgência: Muitas vezes, os e-mails de phishing conterão algum tipo de condutor para pressionar o comportamento de auto-clique. Estes condutores são frequentemente a ameaça de uma disciplina ou de uma preocupação levantada por uma acção, como o pagamento de uma conta. Algumas campanhas de phishing são altamente direccionadas (Spear phishing). Estas campanhas fazem-se frequentemente passar por um CEO; o falso CEO envia então um e-mail para o departamento de contas colocando um pedido urgente para transferir dinheiro para uma conta bancária. A conta é, evidentemente, propriedade de um burlão.
- Excesso de trabalho: Um estudo sobre hospitais alvo de campanhas de phishing concluiu que o pessoal com excesso de trabalho era mais susceptível de clicar num link de phishing. Se não tiver tempo para pensar, não terá resposta automática.
Uma nota sobre os ataques de phishing de lança. Este tipo de phishing requer um nível mais profundo de reconhecimento para entregar e-mails de phishing mais convincentes ao alvo. Este nível de detalhe torna os emails de phishing spear ainda mais difíceis de detectar pelos funcionários. Consequentemente, os ataques de spear-phishing por correio electrónico aumentaram 667% durante a pandemia de Covid-19.
Como Fazer um Empregado Clicar num Link de Phishing
Os cibercriminosos são mestres em criar as condições para uma campanha de phishing bem sucedida. Usando todos os truques para fazer um clique do utilizador, tais como marcas falsificadas de confiança, para tornar o utilizador num isco fácil. Um exemplo disto foi um estratagema de phishing do Office 365 em 2020. Tinha todos os elementos que manipulam os utilizadores para que estes cliquem antes de pensar:
- Os e-mails falsificados foram feitos para parecer que o Microsoft Office 365 foi enviado aos funcionários.
- O e-mail tinha o título "COVID-19 Training for Employees: Um Certificado para Locais de Trabalho de Saúde". Os empregados eram encorajados a agir o e-mail por razões de trabalho.
- Foi pedido aos destinatários do e-mail que clicassem num link no e-mail que os levava a uma página de login falsa do Office 365: a página parecia idêntica a uma página real do Office 365.
- Um utilizador foi solicitado a introduzir as suas credenciais Office 365 para iniciar a sessão e receber o certificado. Se o fizessem, essas credenciais eram roubadas e depois utilizadas para iniciar sessão no verdadeiro portal do Office 365.
Como parar um empregado que clica num link de Phishing
A prevenção de comportamentos codificados requer formação especializada de sensibilização. Os tecnólogos conceberam sistemas de fácil utilização e para fazer dos cliques uma acção fácil, esta resposta de auto-clique deve ser quebrada para evitar o sucesso do phishing. Ao fornecer um teste de phishing bem pensado e controlado, uma organização pode ajudar a mudar o comportamento do qual os cibercriminosos estão dependentes. Os testes simulados de phishing criam um ambiente seguro para treinar os utilizadores sobre as formas subtis que os phishers manipulam o seu comportamento, para que possam estar atentos a esses truques. Como parte de um programa mais amplo de sensibilização para a segurança, a simulação de phishing é eficaz na prevenção do sucesso do phishing que resulta em credenciais roubadas, exposição de dados, e infecção por resgates.