Os elementos de um ataque de phishing convincente
Publicado em: 14 Jan 2022
Última modificação em: 23 Set 2025
Cassie Chadwick foi uma burlona no início do século XX. Chadwick cometeu uma das primeiras versões de usurpação de identidade para efetuar fraudes electrónicas, convencendo os bancos de que era filha ilegítima de Andrew Carnegie para contrair empréstimos contra essa pretensão. Em 1905, Cassie foi condenada a dez anos de prisão por defraudar um banco.
As fraudes bem sucedidas, como a de Chadwick, tornam-se lendárias. Ao longo dos séculos, os burlões têm utilizado a engenharia social e outras fraudes semelhantes para acumular grandes somas de dinheiro, enganando os seus alvos.
Atualmente, os autores de fraudes utilizam comunicações modernas, como o correio eletrónico, para aplicar golpes. No entanto, ainda precisam de usar os elementos de uma história convincente para garantir que um e-mailde phishing engana com sucesso o seu destinatário.
Eis os elementos de um ataquede phishing convincente.
Porquê concentrar-se nos ataques de phishing?
Os ataques de phishing existem desde os primórdios do correio eletrónico. Isto faz sentido, uma vez que o correio eletrónico pode ser utilizado como ponto de ligação entre um hacker e a rede da empresa; também conhecido como gateway de comunicação que pode abrir essa rede, ajudando a roubar palavras-passe, nomes de utilizador e endereços de correio eletrónico ou a distribuir malware.
O phishing continua a ser o “vetor de ataque mais comum”, de acordo com a última investigação do governo britânico apresentada no relatório “Cyber Security Breaches Survey 2021“. A razão para a utilização continuada do phishing é o facto de continuar a ter grande sucesso, com até 32% dos empregados a clicarem numa ligação de um e-mailde phishing e até 8% a não saberem sequer o que é um e-mailde phishing.
Um único funcionário que clique numa ligação de e-mailde phishing e introduza as credenciais de início de sessão coloca toda a empresa em risco de violação de dados ou infeção por malware. Mesmo os funcionários com menos privilégios de acesso podem levar a um aumento de privilégios e a violações de dados.
O phishing é um dos principais pontos de ataque e, como tal, os cibercriminosos esforçam-se por tornar este vetor de ataque convincente para garantir o seu sucesso.
Elementos de sucesso para funcionários que praticam phishing
Para conseguir enganar um funcionário, o fraudador tem de se certificar de que toda a campanha de phishing é convincente, desde a aparência do e-mail até ao site falso para onde as ligações de phishing levam o funcionário. Os elementos de uma campanha de phishing convincente são cada vez mais sofisticados e envolvem:
Imitação de marca
A falsificação de marcas tem sido utilizada desde o aparecimento do phishing por correio eletrónico. Certas marcas são populares entre as empresas e são constantemente utilizadas para enganar os destinatários, levando-os a acreditar que o e-mail é legítimo e a fornecer as suas informações pessoais.
A Check Point realiza pesquisas regulares sobre as marcas mais populares que são utilizadas como base para campanhas de phishing. Uma das marcas mais falsificadas em 2021 foi a Microsoft, sendo a marca utilizada em cerca de 45% das campanhas de phishing no segundo trimestre de 2021.
URLs falsos, longos e redireccionados
Passar o rato sobre uma ligação num e-mail nem sempre é uma forma segura de detetar uma ligação maliciosa. Recentemente, os fraudadores começaram a usar ” URLsfalsos” para mascarar a natureza maliciosa de um link de phishing.
Isto normalmente envolve esconder o verdadeiro endereço de um link usando caracteres especiais. Um codificador de URL é utilizado para alterar um URL adicionando sinais de percentagem, ou seja, iniciando uma cadeia de URL com um carácter % para ocultar a verdadeira natureza de um endereço Web. Estes URLs são aceites pelo Google, pelo que é difícil impedir a utilização de filtros de conteúdo estático.
URLs muito longos também são usados para mascarar um endereço web malicioso. Os links de e-mail em dispositivos móveis são notoriamente difíceis de ver, e os URLs muito longos estão a tornar ainda mais difícil detetar links suspeitos.
A utilização de várias ligações e redireccionamentos também é agora utilizada para confundir os utilizadores. Uma recente campanha de phishing com vários redireccionamentos conduziu os utilizadores através de uma série de redireccionamentos, terminando numa página Google reCaptcha que, por fim, redireccionava para uma página falsa do Office 365, onde as credenciais de início de sessão eram roubadas.
Sinais falsos de segurança
As pessoas já não podem confiar na utilização de sinais de segurança para indicar que um sítio Web é de confiança. Por exemplo, o símbolo do cadeado visto em certos sítios Web está associado ao S no final de HTTP, ou seja, HTTPS. Isto indica que um sítio Web utiliza um certificado digital (certificado SSL) como sinal de que é um sítio seguro. No entanto, o Grupo de Trabalho Anti-Phishing (APWG) identificou que 82% dos sites de phishing usavam um certificado SSL no segundo trimestre de 2021.
Truques de engenharia social
Todas as tácticas acima referidas são apoiadas por vários truques de engenharia social bem testados que apanham os empregados, passando-os para o nível seguinte do jogo da campanha dos phishers. É o aspeto de engenharia social do phishing que permite aos cibercriminosos por detrás da campanha dar início ao processo que termina em ransomware, violações de dados e outros tipos de ataques informáticos.
A engenharia social é um termo abrangente que utiliza uma variedade de técnicas para manipular o comportamento dos empregados; os métodos típicos incluem:
- Urgência: um e-mail ou mensagem de texto de phishing pode usar um pedido urgente para executar uma tarefa. O Business Email Compromise (BEC) que aplica componentes de phishing no ataque utiliza frequentemente este truque. Um exemplo é um e-mail falso que pode parecer ser de um executivo de alto nível com um pedido urgente para transferir dinheiro para um novo cliente ou arriscar perder o cliente.
- Outros estímulos emocionais: os autores de fraudes jogam com as emoções das pessoas para as levar a realizar tarefas como clicar numa ligação maliciosa num e-mail ou fornecer informações sensíveis. A curiosidade, a preocupação com a segurança, o desejo de agradar e o desejo de fazer um trabalho bem feito são todos utilizados como isco de phishing.
- Spear phishing e reconhecimento: para aperfeiçoar os seus ataquesde phishing, os autores de fraudes podem utilizar o spear phishing. Esta forma de phishing direcionado está por detrás de muitos ataques, mas exige um maior esforço por parte dos autores das fraudes, uma vez que criam e-mails que reflectem de perto o papel do indivíduo visado. Para que os e-mails de spear phishing sejam bem sucedidos, os autores de fraudes normalmente fazem um reconhecimento do alvo antes de criar a campanha de phishing.
Os cibercriminosos são mestres na criação de campanhas de phishing bem sucedidas e as estatísticas provam-no. Um relatório do APWG afirma que “depois de duplicar em 2020, a quantidade de phishing manteve-se num nível constante mas elevado”. Os elementos de um ataquede phishing convincente são experimentados, testados e confiados pelos autores de fraudes. Ao compreender estes elementos, uma organização pode mitigá-los de forma mais eficaz.
Como defender a tua organização contra um ataquede phishing
Cada vez mais, os elementos de um ataque de phishing bem-sucedido baseiam-se na aplicação de técnicas para contornar as tecnologias antiphishing tradicionais, como os filtros de conteúdo. Isto não significa que os filtros de conteúdo não desempenhem um papel na proteção de uma empresa contra campanhas de phishing sofisticadas.
No entanto, não se pode confiar neles. As campanhas de phishing continuam a utilizar o humano na máquina como forma de entrar numa rede empresarial. Devemos esperar que esta situação se mantenha e que os criadores de campanhas de phishing encontrem sempre formas de contornar a tecnologia.
Uma abordagem estratificada ao controlo do phishing consiste em capacitar a sua força de trabalho com as ferramentas necessárias para evitar o phishing bem sucedido. Ao utilizar uma combinação de formação de sensibilização para a segurança com a utilização de exercícios de simulação de phishing em curso, a força de trabalho fica preparada para detetar um e-mailde phishing antes de este se tornar um ponto de entrada.
