Os ataques de phishing têm tanto a ver com a manipulação do comportamento humano como com a tecnologia. Esta afirmação resume a razão pela qual é tão difícil evitar campanhas de phishing que resultam em ransomware, credenciais roubadas e outros ciberataques.

Na década de 1970, houve uma campanha de condução sob o efeito do álcool com o slogan “Pensa, antes de beber, antes de conduzir”. Foi uma campanha eficaz, que ajudou a reduzir os acidentes de viação relacionados com o consumo de álcool no Reino Unido. Fazer com que as pessoas “pensem” antes de agir não é tão fácil como parece. De facto, as campanhas de phishing baseiam-se no facto de as pessoas não pensarem e terem uma reação automática a uma mensagem de correio eletrónico. O phishing é um assunto sério, tendo um relatório recente revelado que 95% dos líderes de TI acreditam que os dados estão em risco devido ao canal de correio eletrónico.  

Então, como é que a empresa média pode esperar ter tanto sucesso como a campanha de condução sob o efeito do álcool dos anos 70 quando se trata de combater os truques na manga de um cibercriminoso?

Ataques de phishing e comportamento humano

Esta dificuldade na prevenção reflecte-se na natureza bem sucedida dos ataques de phishing: Em 2019, antes da pandemia, as estatísticas de phishing eram terríveis, com a companhia de seguros Beazley a registar um aumento de 105% nos ataques de ransomware no primeiro trimestre de 2019. Mas em 2020, os ataques de phishing dispararam. O FBI publicou um relatório que mostrava que o phishing era, de longe, o crime mais prevalecente relatado à sua secção de queixas, IC3. Uma das forças motrizes por detrás do sucesso do phishing nos últimos 12 meses foi a pandemia de Covid-19, que proporcionou inúmeras oportunidades para os phishers explorarem o comportamento humano: isto é evidenciado por um aumento impressionante de 30 000 % nas ameaças baseadas na Covid-19 durante 2020; a maioria destes ataques utilizou sítios Web maliciosos e e-mails de phishing.

O phishing (e as suas variantes, Vishing/Smishing/Pharming) é um vetor de ataque predominante porque a técnica funciona. Funciona porque utiliza o comportamento humano natural para levar a cabo uma ação que beneficia o cibercriminoso por detrás de um ataque. A capacidade de manipular uma pessoa legítima para realizar uma ação ilegítima é a caraterística principal da burla, mesmo antes do advento das tecnologias modernas. Mas a tecnologia pode enganar até os utilizadores mais experientes, uma vez que os padrões de utilização da tecnologia se tornam “codificados” à medida que nos familiarizamos com um sistema.  

O correio eletrónico, por exemplo, é uma tecnologia quotidiana que utilizamos continuamente. Em 2020, 306,4 milhões de e-mails foram enviados e recebidos diariamente. Abrir um e-mail e clicar numa hiperligação é quase uma segunda natureza, um comportamento automático para uma tarefa regular. É nesta repetitividade e na falta de reflexão necessária à ação que o phisher se concentra.

5 Caraterísticas típicas de phishing

Os ataques de phishing pretendem apanhar as pessoas antes que estas pensem demasiado. Para isso, as campanhas têm de garantir que determinados critérios são cumpridos e que as circunstâncias são optimizadas:

  1. Fonte fiável: Uma forma de eliminar o processo de pensamento é fazer com que o destinatário do e-mail se sinta seguro. As campanhas de phishing disfarçam-se normalmente de marcas conhecidas. Numa análise das marcas utilizadas pelos phishers, a Microsoft aparece repetidamente no topo como uma das marcas preferidas dos phishers para falsificar. Outras marcas falsificadas incluem a Netflix e a PayPal.
  2. A atração do clique: Embora 79% das pessoas digam que conseguem reconhecer um e-mail de phishing, quase metade continua a clicar numa ligação de um e-mail suspeito. As razões para este comportamento devem-se, provavelmente, à formação implícita que todos recebemos para utilizar conteúdos preparados para a Internet. Clicar é quase uma resposta pavloviana quando um e-mail contém uma hiperligação. Os designers da experiência do utilizador (UX) utilizaram este tipo de condicionamento para ajudar as pessoas a utilizar a tecnologia mais facilmente; os cibercriminosos utilizam a mesma manipulação psicológica para nos levar a clicar numa ligação de phishing para iniciar a fase seguinte do phishing.
  3. Lidera por tarefa: Manter o e-mail focado numa tarefa simples ajuda a eliminar o processo de pensamento. As tarefas repetitivas e reconhecidas, como a reposição de palavras-passe, são as preferidas dos phishers. Isto permite que o importante “clique” seja feito sem pensar demasiado nas possíveis consequências. Se a tarefa estiver relacionada com o trabalho, então é mais provável que o clique seja feito e o evento de phishing iniciado.
  4. A urgência: Muitas vezes, os e-mails de phishing contêm algum tipo de incentivo para impulsionar o comportamento de clique automático. Estes impulsionadores são muitas vezes a ameaça de uma disciplina ou a preocupação com uma ação, como o pagamento de uma conta. Algumas campanhas de phishing são altamente direcionadas (Spear phishing). Estas campanhas fazem-se muitas vezes passar por um diretor executivo; o falso diretor executivo envia então um e-mail ao departamento de contabilidade solicitando urgentemente a transferência de dinheiro para uma conta bancária. A conta é, obviamente, propriedade de um burlão.   
  5. Excesso de trabalho: Um estudo sobre hospitais visados por campanhas de phishing concluiu que o pessoal com excesso de trabalho tinha mais probabilidades de clicar numa ligação de phishing. Se não tiveres tempo para pensar, vais optar pela resposta automática.

Uma nota sobre ataques de spear phishing. Este tipo de phishing requer um nível mais profundo de reconhecimento para entregar e-mails de phishing mais convincentes ao alvo. Este nível de detalhe torna os e-mails de spear phishing ainda mais difíceis de detetar pelos funcionários. Consequentemente, os ataques de correio eletrónico de spear phishing aumentaram 667% durante a pandemia de Covid-19.

Como fazer um empregado clicar numa ligação de phishing

Os cibercriminosos são mestres em criar as condições para uma campanha de phishing bem sucedida. Usa todos os truques para fazer um utilizador clicar, como marcas de confiança falsificadas, para tornar o utilizador um isco fácil. Um exemplo disto foi um esquema de phishing do Office 365 em 2020. Tinha todos os elementos que manipulam os utilizadores para que cliquem antes de pensar:

  • Foram enviadas mensagens de correio eletrónico falsas para os funcionários, que se faziam passar pelo Microsoft Office 365. 
  • A mensagem de correio eletrónico tinha o título “Formação sobre a COVID-19 para os trabalhadores: Um Certificado para Locais de Trabalho Seguros e Saudáveis”. Os funcionários foram encorajados a agir por motivos profissionais.
  • Os destinatários do e-mail eram convidados a clicar numa ligação no e-mail que os levava a uma página de início de sessão falsa do Office 365: a página parecia idêntica a uma página real do Office 365.
  • Era pedido a um utilizador que introduzisse as suas credenciais do Office 365 para iniciar sessão e receber o certificado. Se o fizesse, essas credenciais eram roubadas e depois utilizadas para iniciar sessão no portal real do Office 365.

Como impedir que um funcionário clique num link de phishing

A prevenção de comportamentos codificados requer uma formação especializada de sensibilização. Os tecnólogos conceberam sistemas para serem fáceis de utilizar e para tornar o clique uma ação fácil. Esta resposta de clique automático deve ser quebrada para evitar o sucesso do phishing. Ao fornecer um teste de phishing bem pensado e controlado, uma organização pode ajudar a mudar o comportamento do qual os cibercriminosos dependem. Os testes de phishing simulados criam um ambiente seguro para formar os utilizadores sobre as formas subtis como os phishers manipulam o seu comportamento, para que possam estar atentos a esses truques. Como parte de um programa mais vasto de sensibilização para a segurança, a simulação de phishing é eficaz na prevenção do sucesso do phishing que resulta em credenciais roubadas, exposição de dados e infeção por ransomware.  

O guia definitivo para o phishing