O phishing deu origem a 90% dos ciberataques nos últimos dois anos. O levantamento é da Cyxtera quando revela que ataques utilizando phishing, homoglyphs de caracteres e domínios de sites semelhantes estão entre as maiores tendências de cibercrime para 2019.
Com base nesses dados, a Cyxtera listou cinco dos novos ataques mais perigosos vistos, por ora, em 2019, e que devem continuar acontecendo nos próximos anos. A empresa também elaborou recomendações de como combatê-los.
1) Homoglyphs: Ataques evoluídos para evitar detecção
Alvo: Grandes bancos da América Latina
Como é realizado: Um homoglyph é um caractere ou sequência de caracteres que parecem ser semelhantes ou idênticos. Historicamente, eles têm sido muito úteis em ataques de phishing. Um exemplo simples é quando o nome oficial de um site tem a letra O substituída pelo número 0 em um URL. Ataques recentes têm usado homoglyphs de caracteres em outros idiomas para contornar a detecção automatizada de ameaças para publicidade online e mídias sociais. Os invasores usam esses caracteres para garantir que a detecção automática de palavras-chave não seja acionada. Além disso, eles fazem combinações com links de URL que não são domínios semelhantes para impedir a detecção pelos sistemas que os pesquisam.
Como mitigar a ameaça: Segundo Villadiego, embora a detecção automatizada usando tecnologia como machine learning seja essencial para identificar e parar ataques de phishing, as empresas precisam ajustar os algoritmos para garantir que eles estejam detectando a maior parte das fraudes. “É preciso realizar buscas manuais e análises para encontrar ataques que os algoritmos podem não ter sido treinados para encontrar ainda, e aprimorar esses algoritmos de acordo com a detecção de ataques futuros”, explica.
2) Os domínios mudam, mas os endereços IP permanecem os mesmos
Alvo: Grandes bancos do leste asiático
Como é realizado: Vários ataques de phishing podem ser iniciados, ao mesmo tempo, a partir de uma variedade de domínios semelhantes. No entanto, com a desativação desse grupo de domínios, os ataques são relançados em um novo grupo, usando o mesmo endereço IP ou intervalo de IP dos ataques anteriores. Esses IPs parecem ser cuidadosamente selecionados, uma vez que, geralmente, vêm de países específicos e os provedores de serviços de internet têm maior probabilidade de facilitar esse comportamento sistemático.
Como mitigar a ameaça: Temporariamente, esses tipos de ataques podem ser atenuados por meio do monitoramento de domínio e IP, que culminam na remoção de um site. Machine learning e outras tecnologias analíticas permitem observar padrões de como esses ataques continuaram a ser lançados em novos domínios semelhantes e em vários endereços IP depois que foram removidos pela primeira vez. É necessário alavancar os relacionamentos com alguns dos provedores de serviços de Internet afetados e até mesmo governos locais, a fim de garantir a exclusão completa de ataques em grande escala.
3) Falsos interesses
Alvo: Cooperativas de crédito dos EUA
Como é realizado: Uma conta no Twitter, por exemplo, se identificará como um sugar daddy ou sugar mommy, oferecendo-se para fazer depósitos online para indivíduos interessados, com a condição de que a parte receptora tenha uma conta em uma instituição financeira específica. Depois que a atenção da vítima é capturada, os supostos ‘patrocinadores’ pedem informações bancárias online, como nomes de usuário e senhas, por meio de mensagens diretas. Isso acaba levando o dinheiro a ser removido da conta da vítima.
Como mitigar a ameaça: Esses ataques são um exemplo de uma ameaça externa que começa longe do perímetro de uma instituição financeira e que, no entanto, leva a perdas tangíveis. É preciso monitorar diferentes redes para possíveis ataques de phishing e trabalhar de perto com as redes sociais que hospedam os ataques para suspender as contas criminais.
4) Encontrando Vishings secretos no Blogspot
Alvo: Grandes bancos do Oriente Médio
Como é realizado: Uma mensagem smishing (phishing de SMS) é enviada para a conta do Whatsapp de um usuário, solicitando com urgência que ele atualize informações para impedir que sua conta e seus cartões associados sejam bloqueados. A mensagem fraudulenta inclui um número de contato e um URL, que leva a um site de phishing do banco no Blogspot. O site do Blogspot é destinado a tornar toda a experiência mais realista e nenhuma informação é solicitada lá; os dados confidenciais do usuário são obtidas por meio de uma chamada de vishing (chamada de phishing por voz) depois que a mensagem é recebida. Para Villadiego, o Blogspot é uma opção atraente para hospedar os sites porque os portais são gratuitos e fáceis de usar, seus proprietários não são validados e seus subdomínios exclusivos são difíceis de serem detectados pelas soluções de monitoramento anti-phishing. “A falta de captura de dados nos sites significa que eles não são classificados como sites de phishing e, portanto, não estão na lista negra. Além disso, o Blogspot demora para remover sites que alegam violar marcas registradas”, ressalta.
Como mitigar a ameaça: Usando palavras-chave de marca enviadas pela instituição financeira, é possível encontrar os sites como parte do monitoramento regular de fóruns online e plataformas de blogs. Para lidar com a remoção atrasada que esses sites costumam apresentar, é necessário colocar cada um deles na lista negra instantaneamente. Desta forma, os clientes da instituição serão avisados quando tentarem acessá-los.
5) Quando domínios similares se disfarçam
Alvo: Bancos menores da América Latina
Como é realizado: O usuário final recebe uma mensagem fraudulenta do WhatsApp solicitando documentação pessoal para realizar um empréstimo. O remetente é apresentado para parecer uma empresa legítima, e a mensagem indica que os documentos necessários devem ser enviados para um endereço de e-mail ou um número de telefone diferente do número original do remetente. Nenhum link de phishing está incluído, mas se o usuário acessa o site associado ao endereço de e-mail, verá um domínio semelhante e que compartilha um nome com uma instituição financeira legítima, mas possui uma marca completamente diferente. As vítimas são eventualmente solicitadas a transferir dinheiro por meio do WhatsApp para supostamente pagar uma taxa para iniciar o processo de empréstimo; esse dinheiro é roubado pelos cibercriminosos.
Como mitigar a ameaça: Segundo Villadiego, muitos desses sites não estavam sendo classificados como sites de phishing porque não capturavam nenhum dado e, em muitos casos, nem sequer se pareciam com a página de um site bancário oficial. Usando palavras-chave de marca que as instituições financeiras enviam, é possível encontrar os domínios semelhantes camuflados e bloquear o acesso do usuário final a eles, enquanto o processo de reivindicação de marca registrada para remover os sites possa ser executado.
