O phishing percorreu um longo caminho desde os óbvios e-mails “ganhaste um prémio” que costumavam entupir as caixas de entrada. Atualmente, a maioria dos funcionários está muito mais consciente dos e-mails suspeitos e as organizações investiram fortemente em filtragem, formação e simulações para os apanhar.
Por isso, os atacantes adaptaram-se.
Em vez de se centrarem apenas no correio eletrónico, estão cada vez mais a avançar para as ferramentas que os teus colaboradores utilizam todos os dias para trabalhar. Plataformas como o Microsoft Teams e o Slack tornaram-se centrais na forma como as organizações comunicam, colaboram e partilham informações, e essa mudança abriu uma nova e muito eficaz superfície de ataque.
Não se trata de substituir o phishing por correio eletrónico, mas de o expandir para espaços onde as pessoas se sintam mais confortáveis, mais confiantes e muito menos vigilantes.
Porque é que as plataformas internas são mais seguras do que o e-mail
Há uma razão simples para os atacantes estarem a visar as ferramentas de mensagens internas: as pessoas confiam nelas.
O correio eletrónico treinou-nos para sermos cautelosos. Verificamos os endereços dos remetentes, questionamos anexos inesperados e pensamos duas vezes antes de clicar em links. As aplicações de mensagens, por outro lado, são rápidas, informais e familiares. É nelas que se colocam questões rápidas, se partilham ficheiros e se tomam decisões em tempo real.
Essa mudança de mentalidade é importante.
Relatório da IBM sobre Relatório sobre o custo de uma violação de dados mostra consistentemente que as credenciais roubadas são uma das formas mais comuns de os atacantes obterem acesso aos nossos sistemas. Uma vez lá dentro, essas contas podem ser usadas para enviar mensagens internas convincentes que são muito mais difíceis de detetar.
Quando uma mensagem aparece no Teams ou no Slack, não parece uma ameaça externa. Parece que é um colega a pedir ajuda, a partilhar um documento ou a pedir algo urgente. Esse pressuposto baixa a guarda das pessoas sem que elas se apercebam disso.
Como os atacantes estão a explorar as aplicações de mensagens
A mecânica destes ataques não é particularmente complexa. O que os torna eficazes é o contexto.
Com o trabalho remoto e híbrido amplamente adotado, as plataformas de colaboração tornaram-se centrais para as operações diárias. Os dados do O relatório do Office for National Statistics mostra como estas ferramentas estão agora incorporadas nos locais de trabalho modernos, o que naturalmente as torna um alvo atrativo para os atacantes.
Um dos cenários mais comuns começa com uma conta comprometida. Um atacante obtém acesso a um utilizador legítimo, muitas vezes através de credenciais roubadas de uma violação anterior ou de um e-mail de phishing bem sucedido. A partir daí, começa a enviar mensagens internamente.
Como a conta é verdadeira, tudo bate certo. O nome é familiar, a fotografia de perfil está correta e o tom corresponde à forma como a pessoa comunica habitualmente.
Uma mensagem típica pode parecer um pedido rápido para rever um documento, aprovar uma fatura ou verificar uma ligação partilhada. Pode fazer referência a um projeto em curso ou utilizar uma linguagem que parece completamente normal na organização.
A natureza informal das plataformas de mensagens desempenha aqui um papel importante. As mensagens são mais curtas, menos estruturadas e muitas vezes enviadas à pressa. Há menos escrutínio, menos verificações e um pressuposto mais forte de que o que estás a ver é legítimo.
Os ficheiros e as ligações também são partilhados muito mais livremente. No correio eletrónico, um anexo inesperado pode levantar suspeitas. No Teams ou no Slack, faz frequentemente parte dos fluxos de trabalho diários.
O risco da rapidez e da informalidade
As plataformas de mensagens internas são concebidas para serem rápidas. É exatamente isso que as torna valiosas e que as torna arriscadas.
Quando alguém recebe uma mensagem a pedir algo urgente, é frequente haver pressão para responder rapidamente. Quer se trate de um gestor a pedir informações, de um colega a solicitar acesso ou de uma tarefa financeira que necessita de atenção imediata, o instinto é agir em vez de questionar.
É aqui que os atacantes ganham vantagem.
Não precisam de criar mensagens altamente sofisticadas. Só precisam de criar mensagens credíveis que se adaptem ao ambiente. Um simples “podes dar uma vista de olhos nisto” com uma ligação é muitas vezes suficiente.
Quanto mais informal for o estilo de comunicação, mais fácil é misturares-te. Não se espera uma gramática perfeita ou uma estrutura formal. De facto, as mensagens demasiado polidas podem, por vezes, parecer mais suspeitas do que as informais.
Esta mudança desafia muita da formação tradicional de sensibilização para o phishing, que tende a concentrar-se fortemente na deteção de sinais de alerta óbvios nos e-mails. Esses sinais são muito menos relevantes num ambiente de mensagens.
Indicadores do mundo real de que isto está a crescer
Há cada vez mais provas de que os atacantes estão a expandir-se para além do correio eletrónico e a visar ativamente as ferramentas que os funcionários utilizam todos os dias.
O Centro Centro Nacional de Cibersegurança do Reino Unido continua a alertar para o facto de o phishing continuar a ser um dos métodos de ataque mais comuns e eficazes, mas a forma como é aplicado está a evoluir a par dos hábitos no local de trabalho. À medida que a comunicação muda para plataformas de colaboração, o comportamento dos atacantes está a mudar com ela.
Ao mesmo tempo, a pesquisa da Verizon mostra que 74% das violações envolvem um elemento humano, incluindo phishing e a utilização de credenciais roubadas. Assim que os atacantes obtêm acesso, as ferramentas internas, como as plataformas de mensagens, tornam-se um passo natural, permitindo-lhes mover-se lateralmente e atingir outros funcionários de uma forma muito mais convincente.
Dados do Departamento de Ciência, Inovação e Tecnologia do Reino Unido também reforça a escala do problema, com o phishing a ser consistentemente referido como o tipo mais comum de ataque cibernético sofrido pelas organizações do Reino Unido. Embora grande parte desta situação esteja ainda associada ao correio eletrónico, destaca a eficácia do phishing, independentemente do canal utilizado.
O que importa aqui não é apenas o facto de estes ataques estarem a acontecer, mas a forma como se estão a adaptar. À medida que as organizações continuam a confiar em ferramentas como o Microsoft Teams e o Slack para a comunicação diária, os atacantes estão a seguir essa mudança, incorporando-se em ambientes que parecem familiares, de confiança e muito menos susceptíveis de serem questionados.
Porque é que a formação tradicional de sensibilização para a segurança é insuficiente
A maioria dos programas de sensibilização para a segurança continua a centrar-se fortemente no correio eletrónico.
Os funcionários são ensinados a passar o rato sobre as hiperligações, a verificar os endereços dos remetentes e a procurar sinais de falsificação. Estas competências continuam a ser importantes, mas não se aplicam totalmente às plataformas de mensagens.
No Teams ou no Slack, não existe um endereço de remetente óbvio para verificar da mesma forma. Muitas vezes, a mensagem vem de alguém que o funcionário já conhece. O contexto parece interno, não externo.
Isto cria um fosso entre o que as pessoas são treinadas para procurar e o que realmente experimentam no dia a dia.
Se os funcionários só tiverem formação para detetar phishing no correio eletrónico, é muito mais provável que não o detectem noutros canais.
O que as organizações devem fazer a seguir
Para fazer face a este risco não é necessária uma revisão completa, mas sim uma mudança de foco.
O primeiro passo é expandir a sensibilização para além do correio eletrónico. Os funcionários precisam de compreender que o phishing pode acontecer em qualquer lugar onde exista comunicação. Isto inclui plataformas de mensagens, ferramentas de colaboração e até documentos partilhados.
A formação deve incluir exemplos reais de como é o phishing no Teams ou no Slack. Isto ajuda as pessoas a reconhecerem que o formato pode ser diferente, mas a intenção é a mesma.
Também é importante reforçar uma mensagem simples, mas muitas vezes esquecida. Interno nem sempre significa seguro.
Incentivar a verificação é fundamental. Se um pedido parecer invulgar, mesmo que venha de um colega, os funcionários devem sentir-se à vontade para verificar novamente através de outro canal. Pode ser uma chamada rápida, uma mensagem separada ou falar diretamente com a pessoa.
As simulações também podem desempenhar um papel importante neste domínio. Em vez de se concentrarem apenas em cenários baseados no correio eletrónico, as organizações podem realizar exercícios que imitem as interações reais das aplicações de mensagens. Isto ajuda a criar familiaridade e confiança na deteção de comportamentos suspeitos num contexto mais realista.
Por último, as organizações devem analisar a forma como o acesso e as contas são geridos. Uma vez que muitos destes ataques se baseiam em credenciais comprometidas, o reforço dos métodos de autenticação e a monitorização de comportamentos invulgares podem reduzir significativamente o risco.
Reforça a tua defesa onde é mais importante
À medida que o phishing se desloca para além do correio eletrónico e para plataformas internas como o Microsoft Teams e o Slack, as organizações têm de preparar os funcionários para as ameaças que mais provavelmente enfrentarão.
Com a MetaCompliance simulação avançada de phishing pode espelhar ataques do mundo real através de campanhas automatizadas e direcionadas, adaptadas por função e risco. Isto ajuda os funcionários a reconhecerem mensagens suspeitas, a responderem com confiança e a criarem uma consciência duradoura, ao mesmo tempo que garante que o seu programa evolui a par das ameaças emergentes.
Combinado com relatórios claros e informações acionáveis, pode acompanhar as mudanças de comportamento ao longo do tempo, identificar áreas de risco e demonstrar progressos mensuráveis aos intervenientes.
Se o phishing está a evoluir, a sua abordagem à simulação e à formação deve evoluir com ele. Entra em contacto com a nossa equipa hoje para saber mais.
FAQs sobre phishing
O phishing pode mesmo acontecer através de aplicações de mensagens internas?
Sim, e e tu‘s está a tornar-se mais comum. Os atacantes utilizam frequentemente contas comprometidas para enviar mensagens através de plataformas fiáveis como o Microsoft Teams ou o Slack, fazendo com que as mensagens pareçam legítimas.
Porque é que os empregados confiam mais nestas mensagens?
As ferramentas internas parecem familiares e são utilizadas diariamente para colaboração. As mensagens são frequentemente informais e de ritmo acelerado, o que reduz o nível de escrutínio que as pessoas aplicam em comparação com o correio eletrónico.
O que é que os empregados devem procurar nas plataformas de mensagens?
Pedidos inesperados, acções urgentes, ligações desconhecidas ou mensagens que parecem ligeiramente fora de contexto são sinais de alerta, mesmo que venham de um colega conhecido.
Como é que as organizações podem reduzir este risco?
Expandindo a formação de sensibilização para além do correio eletrónico, encorajando a verificação de pedidos invulgares e realizando simulações que reflictam cenários reais de mensagens.
O correio eletrónico continua a ser um risco ou mudou completamente?
Correio eletrónico continua a ser continua a ser um importante vetor de ataque, mas os atacantes estão a utilizar cada vez mais vários canais, incluindo plataformas internas, para aumentar as suas hipóteses de sucesso.