Como funciona o phishing moderno?

Phishing é uma técnica de engenharia social de longa data usada por cibercriminosos para induzir as pessoas a fornecer informações confidenciais (por exemplo, detalhes de cartão de crédito, credenciais de login, números de telefone, endereços, etc.) para obter ganhos financeiros. A vítima nem sabe que suas informações foram comprometidas, visto que não há consentimento ou aprovação. De acordo com os relatórios do Anti-Phishing Working Group (APWG) , no quarto trimestre de 2022, o número de ataques de phishing em todo o mundo estabeleceu um recorde de mais de 4,7 milhões de ataques. Isto traduz-se numa taxa de crescimento de mais de 150% ao ano desde 2019, sendo o sector financeiro o mais visado.

Os atacantes utilizam estes meios eletrónicos para distribuir textos e imagens persuasivas para ganhar a confiança da vítima, convencendo-a sobre a legitimidade da comunicação. Esse tipo de golpe ocorre de várias formas, incluindo phishing por telefone, smishing (phishing por SMS), e-mails de phishing e sites de phishing.

Uma maneira comum de abordar possíveis vítimas é fornecer links de phishing (URLs) de aparência legítima por e-mail que levam a sites maliciosos. Até mesmo mensagens enviadas em sites e aplicativos de redes sociais, como Facebook, WhatsApp e Instagram, podem conter links de phishing, juntamente com um motivo para clicar neles – ao mesmo tempo em que afirmam que isso redirecionará o usuário para a página oficial de algo que ele reconhece. Além disso, também é comum encontrar links maliciosos entre links benignos como parte dos resultados de pesquisas.

É importante observar que os links maliciosos podem ser muito semelhantes ao URL real que os invasores estão tentando representar. Um exemplo comum desses URLs de phishing seria algo como www.faceb00k.com — a versão camuflada do verdadeiro www.facebook.com . A aparência muito semelhante entre URLs traz outra lacuna de segurança que pode ser aproveitada por invasores, uma vez que os usuários podem digitar letras incorretamente ao inserir um endereço URL em seu navegador de Internet. Esses URLs quase idênticos podem ser obtidos por um site de phishing. Na natureza, podemos encontrar exemplos de URLs de phishing com uma aparência completamente diferente da real, e parecem ser uma versão abreviada de URLs muito longos, como os gerados pelo encurtador de URL do Google.

Os sites de phishing podem ser difíceis de identificar. Na esperança de enganar as vítimas para que forneçam informações pessoais, muitos sites se parecem convincentemente com aqueles que estão imitando. Em alguns casos, os sites falsos são mal construídos pelos invasores e é evidente que a página parece distorcida. Como uma versão mal renderizada da original ou se houver elementos inesperados na página (rodapés de página, menus ou painéis). Também pode haver alguns elementos textuais que incluem tipografia e/ou linguagem incompatíveis.

No entanto, como a maior parte do código-fonte de qualquer página web é acessível através de um navegador de internet, é bastante fácil criar páginas web de phishing que pareçam idênticas às legítimas, o que torna a identificação de uma página maliciosa, através de uma avaliação visual ou “intuição do usuário”, muito desafiador de fazer com precisão.

E-mails de phishing normalmente têm menos sucesso graças aos avanços na classificação deles como spam. No entanto, alguns e-mails e links de phishing ainda conseguem chegar às caixas de entrada. No entanto, os invasores estão se tornando cada vez mais criativos na forma como distribuem URLs maliciosos. Por exemplo, os golpistas podem compartilhá-los durante chamadas telefônicas ou enviando um grande número de mensagens SMS – truques para atingir grupos específicos de pessoas. Isso pode variar desde a publicação de URLs maliciosos em vídeos de YouTubers populares até aplicativos enganosos para autenticação, mostrando ao usuário um código QR que contém um site de phishing com um ladrão de credenciais instalado. Abaixo você pode encontrar dois exemplos de campanhas recentes de phishing.

O phishing continua a ser um método de ataque líder porque permite que os cibercriminosos atinjam pessoas em grande escala. Normalmente, eles distribuem golpes de phishing sob o pretexto de serem representantes de grandes empresas onde os alvos pretendidos possuem contas. Bancos, instituições governamentais, lojas eletrónicas, prestadores de serviços de e-mail e empresas de telecomunicações são as empresas mais atrativas para ataques de phishing — devido ao seu elevado número de clientes e aos dados sensíveis envolvidos.

Qual é a aparência de um site de phishing?

Alguns dos sites de phishing modernos são razoavelmente fáceis de destacar devido às evidentes disparidades em relação aos sites legítimos. Hoje em dia, os cibercriminosos utilizam kits de ferramentas para criar páginas de phishing em pouco tempo, sem a necessidade de conhecimento especializado na construção de sites. Abaixo você encontra um exemplo desse tipo de ataque, onde diferenças visuais revelam a falsificação do site.

Nas páginas anteriores de login do Facebook, podemos observar algumas alterações que nos levam a duvidar da autenticidade do site, como um logótipo maior, diferenças tipográficas, a ausência do texto do rodapé, o botão “Criar nova conta” num verde ligeiramente diferente tom e entre outros.

No entanto, existem sites de phishing extremamente enganosos. Nesses casos, os invasores se esforçam muito para fazer com que pareçam reais. Nos exemplos abaixo, você pode ver a semelhança de um site de phishing em comparação com seu equivalente autêntico.

Nas páginas de login mostradas acima, podemos identificar pequenos detalhes que diferenciam o site de phishing da página de login real. A versão de phishing é quase uma duplicata da original, onde as alterações são muito sutis e discretas intencionalmente para passarem despercebidas pela vítima, ou seja, o texto do rodapé tem um alinhamento diferente, faltam elementos ou não são exibidos corretamente.

Os sites de phishing evoluíram muito ao longo dos anos para se tornarem falsificações convincentes. Alguns até usam HTTPS, dando aos usuários uma falsa sensação de segurança ao verem o cadeado verde.

As pequenas falhas em um site de phishing podem parecer óbvias quando posicionadas ao lado de uma página legítima, mas não são tão perceptíveis isoladamente. Mas pense na última vez que você viu a página de login de um serviço que você usa com frequência. Provavelmente, você terá dificuldade para lembrar de todos os detalhes, que é exatamente o que os golpistas de phishing esperam quando projetam suas páginas.

Como as ameaças de phishing estão se espalhando?

Historicamente, a forma mais comum de espalhar sites de phishing tem sido através de e-mails de phishing, mas eles também são espalhados através de anúncios pagos que aparecem nos resultados de pesquisa. Outros vetores de ataque incluem uma técnica chamada clickbait. Os cibercriminosos normalmente usam clickbait nas redes sociais, prometendo algo, como um telefone grátis, para incentivar os usuários a clicar em links maliciosos.

O que acontece quando um phisher faz uma captura?

Como quase todos os ataques cibernéticos modernos, o phishing é usado para obter ganhos financeiros. Quando os usuários fornecem credenciais de login para um site de phishing, os cibercriminosos podem abusar delas de diversas maneiras, dependendo do tipo de site usado para o phishing. Muitos ataques de phishing imitam instituições financeiras, como bancos ou empresas como o PayPal, e visam gerar recompensas financeiras significativas para os cibercriminosos.

Se um cibercriminoso enganar um usuário para que ele forneça suas credenciais a um site de remessa, como UPS ou FedEx, é improvável que ele lucre com o acesso à conta. Em vez disso, eles podem tentar usar as mesmas credenciais para acessar outras contas com informações mais valiosas, como uma conta de e-mail, sabendo que as pessoas costumam usar as mesmas senhas em vários serviços. Outra forma de os cibercriminosos lucrar seria vender as credenciais roubadas na dark web, uma parte mais profunda da Internet onde as redes privadas fazem negócios anonimamente, sem divulgar informações de identidade.

Este é um método de ataque do tipo “pulverizar e orar”. Muitos sites WordPress desatualizados na web podem ser hackeados e usados para campanhas de phishing a um custo muito baixo. Geralmente, o preço para implantar um kit de phishing é de aproximadamente US$ 25, o que o torna muito acessível e ainda lucrativo para os invasores. Outra desvantagem do phishing – para a vítima potencial – é que os ataques têm um curto período de vida (TTL), e os URLs mudam frequentemente dentro de uma campanha, tornando os métodos de detecção padrão, como a criação de listas de bloqueio de URLs suspeitos, ineficazes contra ataques de dia zero. .

Como se proteger

Muitas vezes, o tempo varia entre um ataque de phishing bem-sucedido – quando o cibercriminoso adquire as credenciais e quando as utiliza. Quanto mais rápido conseguirmos mitigar a ameaça, mais vítimas em potencial poderemos proteger. Depois que as credenciais de um usuário são roubadas, não há muito que ele possa fazer além de alterá-las o mais rápido possível.

Em 2024, pesquisadores de segurança cibernética encontraram evidências de que também existem novas técnicas para contornar vários filtros de spam, mesmo os melhores do Google. Por exemplo, os anexos são enviados como arquivos PDF, que não contêm nenhum texto, para redirecionar os usuários para outros serviços do Google, como o Google Docs. Além disso, outros anexos de phishing não padrão são usados, como convites de calendário, onde URLs com links para sites de phishing também são incluídos na descrição do evento.

Abaixo, aqui está uma lista de verificação para ajudar a evitar que você seja vítima de uma das formas mais bem-sucedidas de ataque cibernético:

• Em primeiro lugar, instale uma solução antivírus em todos os seus dispositivos, seja PC, celular ou Mac. O software antivírus atua como uma rede de segurança, protegendo os usuários online.
• Não clique em links nem baixe arquivos de e-mails suspeitos. Evite respondê-las, mesmo que supostamente tenham vindo de . Em vez disso, contacte essas entidades através de um canal separado e certifique-se de que a mensagem realmente veio delas.
• Insira diretamente o URL de um site em seu navegador sempre que possível, para que você acabe visitando o site que deseja, em vez de uma versão falsa.
• Não confie apenas no cadeado HTTPS verde. Embora isso signifique que a conexão está criptografada, o site ainda pode ser falso. Os cibercriminosos criptografam seus sites de phishing para enganar ainda mais os usuários, por isso é importante verificar novamente se o site que você está visitando é real.
• Navegue na web com segurança através de um navegador de internet capaz de capturar sites de phishing imperceptíveis a olho nu. Assim como o Norton Secure Browser , que conta com recursos de segurança de última geração distribuídos em diversas camadas de proteção, avalia a legitimidade do URL desde seus componentes técnicos executados nos bastidores até o conteúdo visual mostrado ao usuário. Levando a uma mitigação eficiente dessas ameaças em campanhas massivas.

Autor : Javier Aldana Iuit, PhD . Pesquisador de IA/ML de detecção visual de phishing e ameaças cibernéticas fraudulentas, GEN