Dean Coclin (*)
O termo Phishing foi criado em meados de 1996 por cibercriminosos que praticavam o roubo de contas da AOL (America Online). Um ano depois, em 1997, o termo foi citado na mídia e desde então se popularizou. Naquela época, contas hackeadas já podiam ser usadas como moeda de troca no mundo hacker. Trocas como 10 phishs (contas hackeadas) por uma parte de um programa malicioso aconteciam com frequência no universo do cibercriminoso.
Hoje, o phishing evoluiu e se tornou muito mais poderoso e obscuro do que costumava ser. O Brasil está cada vez mais vulnerável a ataques cibernéticos. Uma pesquisa anual da equipe de Pesquisa e Análise da Kaspersky na América Latina mostrou que eles cresceram 23% no país nos primeiros oito meses de 2021, em comparação com o mesmo período do ano passado.
A tendência de crescimento se verifica em todos os países da América Latina – exceto Costa Rica, com queda de 2%. A lista é liderada pelo Equador (75%), Peru (71%), Panamá (60%), Guatemala (43%) e Venezuela (29%). No total, a Kaspersky registrou 2.107 ataques por minuto entre os 20 principais malwares da região. Nesse sentido, o Brasil lidera com 1.395 tentativas de infecção por minuto, seguido pelo México (299 bloqueios/min), Peru (96), Equador (89) e Colômbia (87).
Mas como chegamos aqui e como o phishing cresceu e se tornou a força destrutiva que é hoje? Vamos mergulhar no tema para entender melhor!
- Como o phishing funcionava – Os phishers originais visavam nomes de usuário e senhas e usavam algoritmos para randomizar números de cartão de crédito até que pudessem abrir contas AOL, quando ainda era usado para cobrar dos usuários por contas de e-mail. Com suas contas falsas, eles continuaram a enviar spam para outros usuários, ganhando força rapidamente. Vítimas desavisadas eram alvos fáceis, pois não faziam ideia do que era phishing.
Para combater isso, a AOL publicou avisos em todos os seus clientes de e-mail e mensagens instantâneas alertando as pessoas para não compartilharem informações confidenciais nessas plataformas. Com o tempo, o phishing evoluiu para sistemas de pagamento online, envio de e-mails maliciosos e spoofing. O criminoso usa e-mail, aplicativos e sites que são projetados especificamente para roubar dados pessoais.
O criminoso se faz passar por uma pessoa ou empresa confiável, enviando uma mensagem para atrair suas vítimas. Assim, ao enviar uma mensagem para um e-mail, aplicativo ou outra ferramenta, o fraudador apenas espera até que o destinatário a receba e abra a mensagem. Em muitos casos, isso é suficiente para que a vítima caia no golpe. Em outros, é necessário que a vítima clique em um determinado link para que o criminoso tenha acesso às informações que deseja.
- Como funciona o phishing hoje – Embora o phishing exista há mais de 25 anos, ele continua sendo uma técnica de ataque cibernético eficaz. Uma das razões do seu sucesso é a capacidade de evoluir e diversificar continuamente, adaptando os ataques aos problemas ou preocupações atuais, como a pandemia, e jogando com as emoções e a confiança humanas. As tentativas de phishing de hoje podem ameaçar a economia mundial, a política e as principais organizações.
Os golpistas enviam milhões de mensagens por dia, na esperança de encontrar vários usuários inexperientes que possam ser vítimas do ataque. Eles adotam o envio massivo de spam e acabam com razoável sucesso, ultrapassando 5% em alguns casos, segundo dados do Anti-Phishing Working Group.
Os atacantes de hoje são grupos de grande escala organizados profissionalmente e com motivação financeira. As organizações perdem cerca de US $ 2 bilhões por ano com phishing. Durante a pandemia, as atividades de phishing aumentaram significativamente, à medida que os invasores buscavam tirar proveito dos maiores temores do público em relação aos problemas da COVID-19.
A pesquisa “Phishing Insights, 2021,” conduzida pela Sophos examinou a experiência e a compreensão do phishing em organizações ao redor do mundo durante 2020 e que os ataques de phishing direcionados a organizações aumentaram significativamente durante a pandemia, à medida que milhões de trabalhadores domésticos se tornaram o principal alvo dos cibercriminosos. A grande maioria (70%) de todas as equipes de TI disse que o número de e-mails de phishing que chegaram aos seus funcionários aumentou em 2020.
- 5 práticas recomendadas para evitar phishing em sua organização – A prevenção do phishing hoje é uma combinação de práticas recomendadas de segurança e treinamento. Descubra 5 passos que você pode seguir em sua empresa e com sua equipe para minimizar riscos.
- Em vez de clicar em um link em um e-mail, abra uma nova página do navegador e digite o endereço / URL do site que você pretende visitar. Às vezes, um link fraudulento será muito semelhante a um confiável, apenas alterando algumas letras imperceptíveis.
- Atualize o sistema operacional e o software do navegador. As versões mais recentes da maioria dos navegadores vêm equipadas com filtros anti-phishing. À medida que os invasores planejam novos ataques, as atualizações de software aprimoram seus filtros.
- Para uso diário do computador, use uma conta de usuário padrão em vez de uma conta de administrador. Mude para a conta de administrador apenas quando as funções de administrador forem necessárias. Isso protege seu computador, reduzindo o acesso a funções administrativas críticas.
- Exclua e não abra mensagens de e-mail suspeitas. Pode ser tentador e, às vezes, o assunto pode ser cativante ou tão genérico que você deseja aprender mais – mas evite a tentação e simplesmente exclua-o.
- Aceite apenas certificados confiáveis em páginas da web. Não ignore os avisos do navegador. Às vezes, recebemos tantos avisos de nosso computador ou navegador que é quase como o menino que gritou lobo. Não simplesmente ignore os avisos que você acha que viu sem lê-los completamente e considerar as implicações.
- Mais um conselho – Educar os funcionários sobre as técnicas e maneiras de hackers para procurar indicadores de segurança é um bom lugar para começar. O treinamento regular e atualizado é a melhor defesa. Sem conhecer suas ameaças, você não pode se defender delas. As equipes de TI devem promover o treinamento de conscientização simulando ataques de phishing de email, que treinam os funcionários para procurar tais ameaças e não clicar em links ou anexos.
No entanto, as organizações também devem tirar proveito dos protocolos de segurança, como DMARC (Domain-Based Message Authentication, Reporting, and Conformance). DMARC é um protocolo de autenticação, política e relatório de e-mail que ajuda a prevenir o spoofing de e-mail. Habilitar o DMARC para uma organização diminui o número de e-mails de phishing que tentam falsificar clientes. Isso reduz a desordem na caixa de entrada e torna mais fácil para os consumidores confiarem nas mensagens de e-mail em suas caixas de entrada.
(*) – É Diretor Sênior de Desenvolvimento de Negócios da DigiCert (www.digicert.com).