Blog WatchGuard

A Evolução do Phishing: Um Exemplo da WatchGuard no mundo real

O phishing é um tipo de ataque de engenharia social em que os agentes de ciberameaças tentam enganar os utilizadores de forma a que estes lhes forneçam informação sensível através do e-mail.

Normalmente, isto implica a criação de uma campanha de phishing na qual os agentes de ciberameaças enviam o mesmo e-mail malicioso para um grande conjunto de destinatários numa tentativa de enganar pelo menos uma pequena parte destas potenciais vítimas.

Não confundir com spear phishing, que é um ataque phishing mais direcionado através de e-mail no qual se utilizam conhecimentos específicos ou detalhes sobre os destinatários de forma a levá-los a fornecer informação sensível.

O phishing é um problema recorrente para o qual as empresas estão alertadas e em constante batalha para erradicar, e por boas razões. Ano após ano as estatísticas mostram que os decisores de TI destacam os ataques de engenharia social como uma das principais ciberameaças que enfrentam, resultando em perturbações nos negócios e perdas financeiras. 

O consenso geral dos ataques phishing é que estes estão a aumentar cada vez mais o seu volume, são estáveis nas suas taxas de sucesso, representam um aumento nos custos para as empresas, são normalmente utilizados para entregar malware como o ransomware, e estão a evoluir.

O Centro de Reclamações de Crimes pela Internet (IC3) do FBI registou resultados preocupantes, mostrando uma duplicação de queixas de phishing no ano passado. À medida que estes ataques aumentam, cresce também o número de infrações, que custam às empresas avultadas somas de dinheiro.

O “Relatório anual do custo de uma violação de Dados” da IBM, com investigação do Instituto Ponemon, revelou que o custo total estimado de uma violação de dados em 2020 ronda os 3.86 milhões de dólares e aumentou para os 4.24 milhões em 2021, o custo médio mais elevado em 17 anos. A perda de informação confidencial não é a única ameaça dos ataques phishing. O relatório de investigação da violação dos dados da Verizon (DBIR) mostra que praticamente todo a malware (96%), incluindo ransomware, é entregue através de comunicações de e-mail.

No entanto, este post foi feito com o objetivo de destacar a evolução e complexidade dos ataques de phishing recorrendo a exemplos do mundo real experienciados pelos funcionários da WatchGuard.

A evolução do phishing expandiu-se para além do e-mail, para outros meios de comunicação tais como SMS/ serviços de mensagens escritas (SMiShing), chamadas de voz (Vishing), e meios de comunicação social (Angler Phishing).

Recentemente, os funcionários da WatchGuard experienciaram dois destes métodos: SMiShing e Angler phishing. Como já deve ter adivinhado, SMiShing é phishing, ou engenharia social, uso de SMS e serviços de mensagens de texto como o WhatsApp, Signal e o Messenger do Facebook.

Angler phishing é quando os agentes de ciberameaças utilizam os meios de comunicação social para se disfarçarem de representantes legítimos do serviço ao cliente para receberem informações.

Esta pode vir sob a forma de serviços de redes sociais SMS, como Instagram, Twitter, ou mensagens diretas no LinkedIn, entre outros.

O primeiro incidente registado por um funcionário da WatchGuard envolveu o LinkedIn. Uma utilizadora chamada Emil Nora estava disfarçada de funcionária da WatchGuard num cargo de “Link Building”, que nem sequer existe. Esta falsa funcionária tentou contactar vários funcionários da WatchGuard, provavelmente ao percorrer toda a lista de funcionários associados à página oficial da WatchGuard no LinkedIn, à pesca de informação confidencial.  Felizmente, os funcionários da WatchGuard apanharam este ataque Angler Phishing de imediato.

Outro interessante ataque phishing deu-se via WhatsApp. Um utilizador a fazer-se passar pelo CEO da WatchGuard, Prakash Panjwani, tentou realizar uma transação estrangeira (uma aquisição) enganando um funcionário da WatchGuard para que este realizasse o pagamento. Utilizaram a fotografia oficial de Prakash Panjwani e recorreram a táticas de engenharia social para tentar enganar o funcionário na execução da ação (realizar o pagamento). Mais uma vez, esta tentativa de phishing SMiShing/ Angler phishing foi detetada e reportada aos canais apropriados da organização.

A proteção contra ataques phishing de todos os tipos deve começar sempre com uma formação apropriada acerca deste tema. Estudos mostram que a simulação e a gamificação de ataques de phishing ajudam os utilizadores na deteção e prevenção de ataques de phishing.

Para além da formação, o bom senso e o seu “instinto” vão muito além na deteção e prevenção de ataques phishing. Por exemplo, se a sua organização tiver uma lista de funcionários, pode procurar por funcionários como a Emily Nora fez ou saber que aquele cargo em questão não existe.

Outro exemplo é saber que o CEO da sua organização provavelmente não iria contactá-lo através do WhatsApp para realizar uma decisão comercial significativa.

Mas, em última análise, o caminho mais seguro possível é simplesmente comunicar quaisquer tipos de comunicações suspeitas a um profissional de segurança dentro da sua organização, se possível.