As equipes de segurança costumam brincar que os elos mais fracos em suas defesas de infraestrutura de TI são os usuários.
Eles apontam que as ferramentas e os processos mais sofisticados podem estar em vigor, mas tudo o que é necessário para um ataque ser bem-sucedido é que apenas um usuário cometa um erro.
Cada vez mais, esses erros estão sendo cometidos quando um usuário cai em uma campanha de phishing. Isso envolve o recebimento do que parece ser uma mensagem de uma fonte legítima, mas na verdade contém um código malicioso ou um link para um site infectado.
Durante os últimos 12 meses, além de se tornarem mais comuns, os ataques de phishing se tornaram significativamente mais sofisticados. Em vez de ser um e-mail mal formulado que veio de uma fonte duvidosa, alguns são quase indistinguíveis de comunicações legítimas.
Os canais usados pelos cibercriminosos também estão evoluindo. Inicialmente dependentes apenas de e-mail, eles agora estão expandindo suas redes e usando tudo, desde redes sociais até chamadas de voz e mensagens SMS.
Usuários móveis sendo segmentados
Os cibercriminosos também estão dando mais atenção ao direcionamento de usuários de dispositivos móveis e à elaboração de ataques adequados a telas menores. Os usuários são mais suscetíveis quando estão em seus telefones, pois pode ser mais difícil detectar sinais indicadores, como um URL suspeito.
Os invasores também estão produzindo sites de phishing mais convincentes que visam usuários móveis, com até uma em cada 10 pessoas caindo em um ataque. De acordo com a pesquisa concluída pela Jamf, houve um aumento de 160% nas vítimas de phishing móvel nos últimos 12 meses.
Os problemas estão sendo agravados porque os dispositivos de computação do usuário final estão se tornando cada vez mais uma plataforma de comunicação consolidada que compreende vários canais de comunicação. Os aplicativos de mensagens tendem a ser uma área negligenciada nas defesas de muitas organizações e, portanto, são atraentes para os invasores. Alguns já estão usando serviços como WhatsApp, Messenger, Instagram e LinkedIn para montar ataques.
Um cadeado já não é suficiente
Verificar duas vezes a barra de endereço de um navegador da Web em busca de um cadeado costumava ser uma maneira fácil de detectar um domínio inválido e evitar um ataque de phishing. No entanto, agora há uma infinidade de serviços gratuitos on-line que os invasores podem usar para obter rápida e facilmente a certificação SSL para sites de phishing maliciosos.
Isso é lamentável porque muitos usuários acreditam que o símbolo do cadeado antes de uma URL é um indicador confiável de que um site é seguro. Isso claramente não é mais o caso.
Novos TLDs confundem ainda mais a imagem
Um aumento na variabilidade dos domínios de primeiro nível (TLD) em uso também está ajudando os invasores. Os TLDs costumavam ser limitados a exemplos como .com, .net e .org. No entanto, agora há mais TLDs específicos para cada país e empresa, o que pode dificultar ainda mais a identificação dos maliciosos.
O perigo é que um usuário pode ver um nome de marca que reconhece, mas com um TLD que não é o usual. Por exemplo, um hacker pode registrar microsoft.xyz para hospedar um ataque de phishing com tema da Microsoft e, quando for descoberto, substituí-lo por microsoft.info ou microsoft.network.
Marcas sendo usadas
Para aumentar ainda mais a probabilidade de um usuário ser induzido a interagir com uma mensagem de phishing, os cibercriminosos estão fazendo um esforço considerável para se passar por empresas legítimas.
Onde antes eles poderiam ter usado uma marca associada a uma empresa local, agora estão mudando para o uso de marcas globais voltadas para a tecnologia. A lógica é que as pessoas são mais propensas a serem vítimas de um ataque de phishing se a isca parecer associada a um site com o qual elas realmente interagiram anteriormente.
Além disso, à medida que a tecnologia de logon único é incorporada a mais e mais aplicativos, as credenciais de grandes empresas influentes, como Apple, Google e Microsoft, fornecem acesso a mais do que apenas e-mail. Eles se tornaram essencialmente uma chave digital para a porta da frente.
Essa chave pode fornecer acesso a camadas de dados pessoais e comerciais. A culpa não é dessas empresas, no entanto, elas são simplesmente usadas pelos agentes mal-intencionados porque são reconhecíveis e consideradas confiáveis.
De acordo com a pesquisa da Jamf, as três principais marcas usadas em ataques de phishing que foram usadas com sucesso para induzir os usuários a interagir com uma mensagem de phishing em 2021 foram Apple, PayPal e Amazon, que respondem por 43%, 27% e 9% dos ataques respectivamente.
Um desafio de segurança em evolução
A evolução das campanhas de phishing não mostra sinais de desaceleração, então novos truques e táticas provavelmente aparecerão nos próximos meses e anos. Para que organizações e indivíduos tenham a melhor chance de evitar serem vítimas, a educação contínua do usuário é fundamental.
As equipes de TI e segurança devem dedicar um tempo para informar todos os usuários sobre os riscos representados por ataques de phishing, o que devem ser observados e o que fazer se receberem um. Não removerá todos os riscos, mas reduzirá a chance de um ataque bem-sucedido.
