Neste Mês Europeu da Cibersegurança, a Sophos dá-lhe a conhecer os passos de um ataque de phishing e como os pode evitar no seu dia-a-dia.
Em geral, os atacantes seguem quatro passos principais ao criar os seus e-mails de phishing. Conhecendo-os, será mais fácil detetar um ataque iminente e travá-lo:
1. Escolher as vítimas
As pessoas são diferentes e, por isso, caem também em diferentes estratagemas. Quanto mais informação os phishers tiverem sobre elas, mais fácil será criar uma comunicação convincente. Os alvos podem ser amplos, como todos os utilizadores de um determinado banco ou todas as pessoas que esperam o retorno do IRS, ou mais particulares, como cargos específicos dentro de uma organização. Os atacantes tentam sempre reunir informação sobre as suas vítimas.
2. Escolher os estímulos emocionais (o ‘isco’)
Os atacantes tiram partido das nossas emoções para nos fazerem cair nos seus esquemas. Há três estímulos emocionais que habitualmente exploram para enganar os alvos, e por vezes até em simultâneo, para aumentar as hipóteses de sucesso:
Curiosidade – os seres humanos são naturalmente inquisitivos e os phishers tentam fazer com as pessoas queiram saber mais. “Se quer saber o que acontece a seguir, tudo o que precisa de fazer é clicar no link ou abrir o anexo…”
Esperança – explorar esta emoção pode variar entre mensagens gerais sobre prémios inesperados e oportunidades de encontros, ou e-mails específicos sobre ofertas de emprego ou aumentos salariais, entre outros.
Necessidade – muitas vezes os atacantes fingem que as vítimas sofreram uma violação de segurança, levando a que acreditem que têm de agir de imediato para a resolver, clicando nos links ou anexos do email.
3. Escrever o e-mail (colocar o isco no anzol)
Em seguida é necessário criar um e-mail eficaz, que leve os alvos a agir de forma inevitável, mas não necessariamente óbvia. Por exemplo, os atacantes podem criar um e-mail que aparentemente contém links para produtos de perda de peso e, na parte inferior, inclui um outro link onde indicam o cancelamento daquele tipo de emails (“unsubscribe”). É nele que está a ratoeira: clicar no link de “unsubscribe” levará exatamente ao mesmo sítio que qualquer outro link nesse e-mail. Desta forma, os atacantes oferecem a ilusão de uma escolha, e ao mesmo tempo garantem que clicará num dos links do e-mail.
4. Enviar o email (lançar o isco)
Finalmente, os atacantes precisam de enviar o e-mail de phishing às vítimas, e podem fazê-lo de diversas formas. Podem simplesmente criar uma nova conta de e-mail num serviço genérico, como o Gmail, e enviar a mensagem, ou podem ser um pouco mais criativos: comprar nomes de domínio não registados que parecem semelhantes a um domínio legítimo, alterando ligeiramente a ortografia de alguma forma que não seja óbvia (tal como trocar vvebsite para website, utilizando dois Vs em vez de um W). Depois enviam o e-mail de phishing através deste domínio, na esperança de que os utilizadores mais distraídos ou com pressa não detetem a diferença subtil. Também é possível que comprometam uma conta de e-mail de uma fonte legítima e a utilizem para enviar as suas mensagens fraudulentas.
Como evitar ser vítima de um ataque de phishing
Mesmo que um e-mail de phishing chegue à sua caixa de entrada, para que o ataque seja bem-sucedido terá sempre de realizar uma ação, seja ela clicar num link ou abrir um anexo. Assim, ter cuidado e saber como proceder pode ter um grande impacto na sua segurança, bem como da sua organização.
A Sophos sugere algumas dicas para reduzir o risco de cair num ataque de phishing:
Exposição segura. Expor periodicamente os colaboradores de uma organização a simulações de ataques de phishing oferece-lhes a oportunidade de interagir com uma versão realista, mas inofensiva, do que poderia ser um ataque real. É importante que as mensagens ‘falsas’ sejam variadas, tanto na sua dimensão, tópico, tom e estilo, como na hora a que são enviadas, para as tornar mais difíceis de identificar. Assim, os colaboradores poderão cometer erros e aprender com eles sem qualquer risco, ficando mais bem preparados para lidar com ameaças reais.
Analisar a cultura de segurança. Se simular ataques de phishing na sua organização, recolha o máximo de dados possível, incluindo quantas amostras de cada mensagem foram abertas, se os destinatários clicaram num link ou abriram um anexo, e que tipo de dispositivo estavam a utilizar (computador ou telemóvel). Assim, conseguirá compreender a sensibilização global dos colaboradores e onde poderá estar particularmente vulnerável a ataques reais.
Orientar os esforços de formação. A formação deve ser dirigida aos departamentos sob maior risco, como as equipas financeiras, de TI e de gestão, e os colaboradores que têm acesso aos registos dos clientes – que têm alto valor para os atacantes. Nunca descure o básico, como lembrar a equipa de se questionar por que um e-mail lhes pede para fazer algo ou quem é o remetente. Colaboradores distraídos, cansados e ocupados podem ser vítimas fáceis.
Facilitar a mudança cultural. Promover uma cultura de sensibilização e de apoio em toda a empresa é muito importante. Reconheça e recompense quem denuncia e-mails de phishing (os elogios são importantes) e apoie quem cai num esquema inadvertidamente.
