Por Ismael Rocha: Os ataques de phishing são uma das ameaças mais comuns e prejudiciais em relação à segurança digital. Eles envolvem o uso de e-mails fraudulentos, sites falsos e outras técnicas enganosas para obter informações confidenciais, como senhas, números de cartão de crédito e informações financeiras.
São criados e compartilhados para se parecerem com comunicações legítimas de empresas, organizações ou indivíduos conhecidos, a fim de enganar as vítimas e fazer com que elas revelem informações confidenciais ou executem ações maliciosas.
Um dos exemplos utilizados pelos cibercriminosos são e-mails de extorsões, o qual é enviado por um indivíduo ou grupo que visa de alguma forma requerer um resgate ou solicitar o pagamento de determinada quantia para não realizar a divulgação das informações. O e-mail de extorsão poderá conter informações pessoais do destinatário, como senhas de contas, informações bancárias ou até extorsões sexuais.
Vazamentos de credenciais
Além do phishing, podemos considerar que todos os anos, bilhões de credenciais são divulgadas online, seja na deep web, dark web, na surface web, sites em despejos de dados compartilhados por cibercriminosos, roubo de dispositivos ou por meio de funcionários de organizações mal-intencionados.
Várias dessas credenciais vazadas são utilizadas por cibercriminosos para roubar dados pessoais e financeiros, realizar transações não autorizadas, fazer compras on-line, enviar spam ou phishing, acarretando grandes prejuízos financeiros, seja para pessoas físicas ou para organizações em todo o mundo.
Riscos dos vazamentos de credenciais
O maior risco do vazamento de credenciais é que grande parte das pessoas seja das contas pessoas ou organizacionais utilizam a mesma senha para vários acessos, existindo alguns outros riscos que podem acarretar o vazamento, sendo:
- Segurança, ao usar a mesma senha em várias contas aumenta o risco de ter suas informações de login comprometidas em caso de um vazamento de credenciais. Se um serviço em que você usa a mesma senha for violado, todas as outras contas que usam a mesma senha também ficarão vulneráveis.
- Facilidade de adivinhar, quando se usa a mesma senha em várias contas pode tornar mais fácil para os invasores adivinharem sua senha. Eles podem usar uma senha que eles descobriram em um vazamento em outra conta, já que muitos usuários tendem a usar senhas simples ou fáceis de adivinhar.
- Maior exposição, na utilização da mesma senha em várias contas, qualquer pessoa que obtiver acesso a uma delas terá acesso a todas as outras contas que usam a mesma senha. Isso aumenta o risco de roubo de identidade, acesso não autorizado e outros tipos de ataques.
- Perda de controle, se uma conta que você usa com a mesma senha for comprometida, você pode perder o controle da conta e de todas as outras contas que usam a mesma senha.
Ataques de phishing ocasionados por vazamentos de credenciais
Os ataques de phishing são uma das ameaças mais comuns que podem surgir devido a vazamentos de credenciais. Isso porque, com as informações de login obtidas em um vazamento, os criminosos podem criar e-mails de phishing mais convincentes, que parecem ser enviados por empresas legítimas ou serviços online populares.
Esses e-mails falsos geralmente incluem um link que leva o usuário a uma página falsa, que se assemelha à página de login do serviço real, a página falsa geralmente pede que o usuário insira suas informações de login, que são então capturadas pelos criminosos. Também podem ser referentes a um fornecedor com o qual a empresa lida regularmente envia uma fatura com um endereço de correspondência atualizado. O CEO de uma empresa pede a seu assistente que compre dezenas de vales-presente para enviar como recompensa aos funcionários. Ela pede os números de série para poder enviá-los por e-mail imediatamente. Um comprador de casa recebe uma mensagem de sua empresa de títulos com instruções sobre como transferir seu adiantamento entre outros ou mensagens intimidando pessoas com informações pessoais ou empresariais.
Os ataques de phishing devido a vazamentos de credenciais são especialmente perigosos porque as informações de login roubadas são legítimas e podem ser usadas para acessar contas de usuários vulneráveis. Os criminosos podem usar as informações de login para acessar contas de e-mail, redes sociais, contas bancárias e outras contas importantes, o que pode levar a perda de dados e dinheiro.
Apresentamos no diagrama abaixo um exemplo de fluxo de utilização de credenciais vazadas para propagação de e-mails fraudulentos:
Figura 1. Diagrama de fluxo de envios de e-mails phishing
Campanhas de phishing com extorsão
Foi identificada uma campanha relacionada ao envio de mensagem do tipo de phishing com o argumento de que o usuário recebedor do e-mail teria sido vítima de “hacking” e que o ator malicioso estaria monitorando o usuário, ordenando para que seja realizado o pagamento para uma carteira virtual na quantia de R$5.000. Caso não ocorra o pagamento, o ator malicioso afirma que irá “vazar” todos os vídeos e dados capturados da vítima.
Figura 2. Campanha de extorsão por meio de phishing identificado pela Heimdall
Conforme mencionado anteriormente os ataques de phishing tendem a conter informações específicas como por exemplo, e-mails de remetentes desconhecidos ou suspeitos, ou e-mails que parecem ter sido enviados por uma organização conhecida, mas com um endereço de e-mail ligeiramente diferente, mensagens que pedem informações confidenciais, como senhas, informações financeiras ou detalhes pessoais.
Os referidos e-mails utilizam e-mails ou mensagens que criam um senso de urgência, como “sua conta será fechada” ou “você precisa agir imediatamente e no seu corpo de mensagem, podem apresentar erros de ortografia ou gramática, links suspeitos ou mensagens que levam a sites não confiáveis ou que parecem muito semelhantes a um site legítimo, ocasionando um possível dano a vítima caso esta venha a realizar algum tipo de pagamento, como na campanha identificada acima.
Protocolos para proteção contra phishings
Os protocolos DMARC, DKIM, SPF e MTA são ferramentas importantes para ajudar a combater o phishing e outras formas de fraude na Internet. Aqui está uma breve descrição de cada um desses protocolos e como eles ajudam a prevenir o phishing:
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) – Este protocolo permite que os proprietários de domínios especifiquem como seus e-mails devem ser tratados quando são recebidos por servidores de e-mail. Isso ajuda a prevenir ataques de phishing, garantindo que apenas os e-mails legítimos enviados de um domínio específico sejam entregues. O DMARC fornece relatórios detalhados sobre como os e-mails estão sendo tratados, permitindo que os proprietários de domínios monitorem possíveis ataques.
- DKIM (DomainKeys Identified Mail) – Usa criptografia para autenticar a origem de um e-mail. Isso ajuda a prevenir o phishing, garantindo que os e-mails recebidos sejam realmente enviados pelo remetente legítimo. O DKIM adiciona um cabeçalho ao e-mail que inclui uma assinatura criptográfica, que pode ser verificada pelo servidor de e-mail do destinatário para confirmar que o e-mail é autêntico.
- SPF (Sender Policy Framework) – Permite que os proprietários de domínios especifiquem quais servidores são autorizados a enviar e-mails em nome do domínio. Isso ajuda a prevenir o phishing, garantindo que apenas os servidores de e-mail legítimos possam enviar e-mails em nome do domínio. Quando um servidor de e-mail recebe um e-mail, ele verifica o SPF para confirmar que o servidor de origem é autorizado a enviar e-mails em nome do domínio.
- MTA (Mail Transfer Agent) – Um conjunto de regras e procedimentos usados para transferir e-mails de um servidor de e-mail para outro. Ele é usado para enviar e receber e-mails de um servidor de e-mail para outro, seja dentro de uma organização ou entre organizações diferentes. Os servidores de e-mail usam o protocolo MTA para encaminhar e-mails de uma origem para um destino, usando um conjunto de comandos padrão. O mesmo garante que os e-mails sejam entregues ao destinatário correto e em um formato legível. Ele também pode ser usado para filtrar e-mails com base em regras específicas, como a detecção de spam ou vírus.
Figura 3. Ciclo de proteção utilizando protocolos
Podemos concluir que os ataques de phishing são uma ameaça séria à segurança cibernética das organizações e à privacidade das pessoas. Eles são uma forma de engenharia social em que os criminosos cibernéticos se fazem passar por pessoas ou organizações confiáveis para obter acesso a informações confidenciais. Esses ataques são frequentemente disfarçados como e-mails ou mensagens legítimas, que podem levar a sites falsos, instalação de malware e outros problemas sérios de segurança.
Recomendações
Além das recomendações dos protocolos DMARC, DKIM e SPF elencados acima pela ISH, poderão ser adotadas medidas visando a mitigação do referido problema, como por exemplo:
- O MTA:
- Deve ser configurado para filtrar o spam e outras mensagens indesejadas, como a configuração de filtros de conteúdo para mensagens que incluem palavras chaves suspeitas.
- Não deve receber e-mails no seu domínio que não sejam enviados dos seus próprios servidores.
- Deve ser configurado para autenticar os usuários que enviam e-mails através do servidor. Isso ajuda a prevenir o envio de e-mails falsificados e a proteger o seu servidor contra-ataques de spam.
- Deve usar criptografia TLS: Configure o sistema de e-mail para usar criptografia TLS para conexões LMTP. Isso ajudará a evitar espionagem e garantirá que as mensagens de e-mail sejam transmitidas com segurança.
- Seja cuidadoso com e-mails de remetentes desconhecidos ou suspeitos. Nunca clique em links ou baixe anexos de e-mails que parecem suspeitos.
- Verifique o endereço de e-mail do remetente para garantir que é legítimo. Às vezes, os criminosos cibernéticos usam endereços de e-mail que parecem legítimos, mas com pequenas alterações que podem passar despercebidas.
- Verifique a URL do site que você está visitando para garantir que é legítimo. Às vezes, os criminosos cibernéticos usam sites que parecem muito semelhantes aos sites legítimos, mas com pequenas alterações que podem ser facilmente ignoradas.
- Nunca forneça informações confidenciais, como senhas ou números de cartão de crédito, a menos que você esteja 100% certo de que a pessoa ou organização é legítima.
- Use softwares de segurança confiáveis, como antivírus e firewalls, para proteger seus dispositivos contra malware e outras ameaças.
- Mantenha-se atualizado sobre as últimas técnicas e tendências de phishing para estar ciente dos riscos mais recentes.
- Eduque-se e eduque os outros sobre as melhores práticas de segurança cibernética para ajudar a proteger contra-ataques de phishing e outras ameaças online.
Referências
Heimdall by ISH Tecnologia