...
🧠 O blog é dedicado ao tema VPN e segurança, privacidade de dados na Internet. Falamos sobre tendências atuais e notícias relacionadas à proteção.
DefiniçõesInstruções VPNProteção de dados

Phishing no futuro: estatísticas e projeções para 2022 e além

9
Contente
Estatísticas de phishing – o dano causado
Métodos Evolutivos – Phishers na Tempestade
Spear-phishing
Deep Fakes e IA
Ataques homógrafos
O futuro por vir – Corona, eleições nos EUA e abusos de tecnologia
Preparando-se para um surto de phishing
Compartilhe esta imagem em seu site
Dicas para usuários
O Papel das Organizações
Palavra final

Phishing é o truque mais antigo no livro de um hacker. No entanto, apesar de sua idade, esse vetor de ataque específico é o mais duradouro de todos. Com o tempo, as tentativas de phishing melhoraram bastante em sua capacidade de parecer mais legítimas e enganar de forma convincente o leigo e – de fato – até mesmo especialistas em segurança cibernética em muitos casos.

Com o surgimento da inteligência artificial, da Internet das Coisas e tecnologias relacionadas, o volume e a virulência do phishing provavelmente aumentarão. Sem surpresa, o APWG relata que os sites de phishing aumentaram de um número de 138.328 para 266.387 , representando um aumento de quase duas vezes no curto período entre o quarto trimestre de 2018 e o terceiro trimestre de 2019.

Essa é apenas uma das muitas estatísticas alarmantes que revelam o quão devastador o phishing foi no passado recente para pessoas e empresas. Eventos recentes, desenvolvimentos tecnológicos (IA e deep fake) e dados circundantes indicam de forma preocupante – como você descobrirá neste artigo – que a ameaça de phishing pode se tornar ainda maior e mais insidiosa do que já é.

E podemos não estar totalmente preparados para isso.

Estatísticas de phishing – o dano causado

Compartilhe esta imagem em seu site

As estatísticas de phishing mostram uma tendência ascendente, um aumento inconfundível que não foi observado nos últimos 3 anos. Greg Aaaron, Pesquisador Sênior do APWG, disse: "Este é o pior período para phishing que o APWG viu em três anos, desde o quarto trimestre de 2016".

De acordo com a Verizon, 32% das violações de dados relatadas em 2018 foram resultado de ataques de phishing. Isso ficou ainda pior em 2019, com o phishing responsável por 90% das violações de dados. As estatísticas sugerem que os hackers ainda dependem predominantemente de engenharia social e truques de confiança, em vez de força bruta e outros ataques mais sofisticados para acessar informações confidenciais de usuários/empresas.

A eficácia e a alta taxa de sucesso dos ataques de phishing para cibercriminosos também podem ser estimadas pelo fato de que até 1,5 milhão de sites de phishing são criados todos os meses. Essa atividade extraordinariamente alta só pode ser mantida se os agentes por trás do phishing estiverem lucrando muito com isso.

Na verdade, no nível corporativo, as perdas médias sofridas por empresas de médio porte comprometidas com phishing são de US$ 1,6 milhão. Não é à toa que o phishing tem um lugar especial no coração de cada hacker.

O sucesso duradouro do phishing é simplesmente o resultado de nossa tendência humana de ser tentado a realizar uma ação, especialmente quando confiamos na fonte.

Salvatore Stolfo, CTO da Alluresecurity observa apropriadamente:

É verdade que a IA pode sofrer engenharia reversa e ser armada por adversários para atingir pessoas com ataques cibernéticos. Mas a realidade é que, quando se trata de phishing, os invasores nem precisam ser tão experientes em tecnologia para ter sucesso. E é por isso que o phishing continua sendo o principal vetor de ataque. Ele aproveita nosso instinto básico de confiar e clicar em um link que acreditamos vir de uma fonte legítima, como seu banco, ou uma marca que você conhece e confia, como Microsoft, Netflix ou PayPal.

Métodos Evolutivos – Phishers na Tempestade

Os métodos e estratégias de phishing só ficarão mais sofisticados com o tempo. De fato, as melhorias nas técnicas já são evidentes, apontando para um ambiente de segurança cibernética seriamente precário nos próximos tempos.

Compartilhe esta imagem em seu site

Spear-phishing

Já testemunhamos mudanças nas normas quando se trata de phishing por e-mail. Tradicionalmente, a abordagem de espingarda é mais comumente empregada quando o hacker deseja atrair o maior número possível de pessoas. Mas os ataques à segurança corporativa têm uma probabilidade consideravelmente maior de serem bem-sucedidos quando executados de maneira direcionada, uma técnica conhecida como spear-phishing.

A Cisco afirma que 95% de todos os ataques em redes de segurança corporativa são possíveis devido ao spear-phishing. Em um ataque de spear phishing, um hacker pode se passar por um membro real – geralmente de alto perfil – de uma organização ou setor na tentativa de enganar o destinatário do e-mail para divulgar suas informações.

Os e-mails de spear phishing foram aproveitados ao máximo como o principal método de infecção utilizado por 71% dos grupos de hackers em 2017. A alta taxa de sucesso de spear phishing é simplesmente o resultado de uma representação melhor disfarçada, atraindo até os mais cuidadosos entre nós para sendo enganado.

Dennis Bell, especialista em TI e fundador da Byblos Coffee, prevê que:

Em 2021, Spear phishing seria mais prevalente… AI e ML podem ser usados ​​para identificar os melhores alvos com base no que eles fazem online. Eles podem até coletar informações sobre quem tem mais acesso em sua rede corporativa. Depois que a IA e o ML criam perfis, eles podem começar a enviar materiais de phishing personalizados com base nas vulnerabilidades do alvo.

Deep Fakes e IA

O abuso da IA ​​e o desenvolvimento resultante de tecnologias como um deep fake é outro duro golpe em nossas esperanças de uma internet livre de phishing. Antes da IA, os phishers só podiam se disfarçar atrás de e-mails e sites inteligentemente projetados. Com IA e deep fake, eles podem até representar o rosto e a voz de qualquer pessoa que escolherem, dando às fraudes de engenharia social uma dimensão totalmente nova.

Kim Martin, vice-presidente de marketing da empresa de biometria ID R&D, destaca:

Os fraudadores estão usando o Machine Learning e a IA para realizar ataques de phishing sofisticados, onde eles se passam por usuários reais e autorizados por meio de avanços na fala sintética. Em um cenário recente, envolveu uma voz “deep fake" que enganou um CEO para transferir US$ 243.000 para um fornecedor húngaro. O CEO achou que o pedido vinha de seu chefe. Com esses recursos, os fraudadores encontraram um novo veículo para a engenharia social e uma maneira de passar pela autenticação baseada em biometria se as proteções adequadas não estiverem em vigor.

Os avanços no processamento de linguagem natural abrem outro caminho para os agentes de ameaças. Usar o aprendizado de máquina para compor correspondências oficiais projetadas para enganar o pessoal de negócios é uma possibilidade muito real hoje e quase certamente se tornará mais prevalente no futuro.

O Processamento de Linguagem Natural é um dos campos mais pesquisados ​​em IA, capaz de entender as linguagens humanas e se comunicar efetivamente usando as mesmas. À medida que esses recursos melhoram com o tempo, perceber a diferença entre linguagem humana e linguagem originada por máquina será um grande desafio. Como destaca o especialista em privacidade digital Attila Tomaschek :

um cibercriminoso pode injetar um malware em um encadeamento de e-mail existente que tem a capacidade de alavancar IA e ML para analisar o idioma e o contexto do encadeamento para aprender e emular a linguagem humana natural e, assim, personalizar e-mails de phishing convincentes e com som natural para alvos individuais”. Ele também aponta como os chat-bots orientados por IA podem enganar as vítimas para que cliquem em links maliciosos.

O fato mais alarmante em meio a tudo isso é que essa não é uma previsão futurista que está muito longe dos dias atuais para começar a se preocupar. Essas são capacidades muito reais que já existem em uma extensão quase assustadora.

O aprendizado de máquina também pode tornar os ataques de phishing indetectáveis. Com o tempo, o e-mail pode aprender a ignorar os filtros de e-mail, usando uma linguagem cada vez mais realista para parecer completamente legítimo. Sobre isso, Will Pearce, consultor sênior de segurança da Silent Break Security, compartilha

Adversarial Machine Learning tem a capacidade de tornar as tentativas de phishing indetectáveis ​​– algumas pesquisas publicadas em 2019 chamadas ‘Proof-Pudding' fizeram exatamente isso. O filtro de spam da Proofpoint estava vazando pontuações de previsão de spam, a pesquisa coletou um conjunto de dados e treinou um modelo para gerar palavras que garantiriam que os e-mails de phishing “não fossem detectados”. Os sistemas de aprendizado de máquina são uma nova superfície de ataque que geralmente não é bem compreendida.

Considerando que algoritmos simples podem ser usados ​​para determinar até mesmo informações ocultas em perfis do Facebook, a conjunção de deep fake e ML adversaria ampliará significativamente a gama de ataques à disposição de um phisher médio.

Ataques homógrafos

Um ataque homógrafo aproveita o fato de que muitas letras no alfabeto da maioria das línguas modernas são semelhantes. Por exemplo, a letra B é β em grego. Sabendo disso, um site de phishing malicioso pode usar um nome de domínio que se parece exatamente com outro domínio legítimo. A diferença de um pequeno caractere geralmente é impossível de notar, especialmente nas telas de dispositivos portáteis menores, como smartphones.

Por exemplo: https://www.theíndependent.com/ difere do domínio do The Independent em apenas um caractere: o ‘í' para o ‘i'. Esses domínios semelhantes apenas aumentam o arsenal de técnicas à disposição dos phishers modernos.

O futuro por vir – Corona, eleições nos EUA e abusos de tecnologia

Compartilhe esta imagem em seu site

As capacidades tecnológicas representam apenas uma área de oportunidade entre várias que os phishers estão aproveitando para lançar ataques cibernéticos cada vez mais devastadores. Aproveitando o pânico criado pelo misterioso coronavírus, os golpistas estão lançando campanhas de phishing para enganar as pessoas a clicar em links maliciosos e fornecer informações confidenciais.

O caso mais notável de tais explorações de phishing foi relatado pela Kaspersky, onde e-mails de phishing fingindo ser enviados pelo CDC roubam suas informações quando você clica em um link solicitando seu login do Outlook. Os e-mails são originários de um domínio cdc-gov.org, embora o domínio do CDC legítimo seja cdc.gov.

Basta dizer que é extremamente difícil para um usuário médio perceber essa diferença no domínio e suspeitar de fraude, especialmente quando o e-mail é redigido de forma tão convincente com links externos aparentemente legítimos. Claro, não há nada de legítimo em todo o e-mail na realidade.

Essas táticas extraem sua eficácia do pânico em torno da situação (neste caso, o coronavírus), onde a incerteza e a urgência predominantes podem causar um curto-circuito até mesmo no julgamento de um homem sábio. Contra ameaças da vida real, o perigo de ataques cibernéticos, não importa quão real seja, é distante e periférico na melhor das hipóteses.

As eleições dos EUA 2021 se apresentarão como outra oportunidade para os phishers fazerem seus maus negócios, como fizeram nas eleições anteriores. Como Orion Casetto, Diretor de Marketing de Produto da Exabeam, observa com perspicácia

O phishing não vai desaparecer tão cedo. O fervor em torno das eleições presidenciais de 2021 nos EUA oferece aos possíveis invasores o ambiente perfeito para executar campanhas de phishing e engenharia social. Muitas pessoas são apaixonadas, prontas para agir e recebendo uma enxurrada de comunicação de novas fontes; esta é uma tempestade perfeita que deixa ampla oportunidade para as pessoas serem vítimas de e-mails de phishing bem elaborados disfarçados de comunicação de organizações políticas e candidatos.

Esses eventos de importância, juntamente com a assistência da IA, apenas encorajarão phishers e golpistas a implantar campanhas extremamente perniciosas direcionadas a todos os setores da sociedade, desde o indivíduo até organizações de todos os tamanhos.

Preparando-se para um surto de phishing

A melhor defesa contra o phishing ainda é seu julgamento antiquado, inteligência, bom senso e cautela. Infelizmente, em um mundo de ritmo acelerado, onde as pessoas têm menos atenção e ainda menos paciência, está se tornando um grande desafio ter cuidado e cautela antes de cada link que você clica e de cada site que você visita.

É por isso que o software anti-phishing também está ganhando importância para ajudar os humanos com julgamentos falíveis. No entanto, algumas dicas de bom senso ainda podem evitar que você se torne a próxima vítima de phishing.

Compartilhe esta imagem em seu site

Dicas para usuários

  • Preste atenção ao remetente do e-mail: sempre leia os endereços de e-mail dos remetentes em sua caixa de entrada. Pequenas alterações ortográficas, caracteres, pontuações, etc. que indicam um imitador são uma grande bandeira vermelha.
  • Tenha muito cuidado antes de realizar ações: Os e-mails de phishing geralmente pedem que você execute alguma ação, como clicar em um link e/ou fornecer suas senhas, PINs, números de contas bancárias etc. Esses e-mails devem ser evitados a todo custo, a menos que você tenha certeza absoluta do que voce esta fazendo.
  • Anexos suspeitos: Outra característica comum dos e-mails de phishing são os anexos de e-mail estranhos. Se você vir algum arquivo ou link anexado a um e-mail inesperado, é melhor evitar fazer download ou clicar em qualquer coisa. Você também pode passar o cursor sobre um anexo ou link por um tempo e verificar o URL real para o qual ele está apontando (sem clicar nele).

O Papel das Organizações

Estes são alguns cuidados que você pode tomar como usuário. Mas ainda há uma responsabilidade mais pesada sobre organizações de todos os tipos para combater o phishing de forma mais eficaz. Eles podem começar atualizando seus sistemas de computador legados vulneráveis ​​para sistemas modernos e atualizados, como o líder da equipe de inteligência de ameaças da Skybox Security, sublinha Sivan Nir

O relatório do NCSC de 2019 descobriu que mais de 318 redes públicas são executadas no Windows XP, apesar de a Microsoft ter encerrado o suporte para ele em 2014. Com as empresas confiando em software “legado” e cibercriminosos utilizando IA e ML para transformar seu malware, os ataques de phishing se tornam quase invisíveis para um olhos da empresa e ainda mais devastador.

Stolfo observa que a maioria dos phishers costuma usar web scraping para imitar o domínio legítimo. Ele recomenda a incorporação de código no site original que permite que os webmasters rastreiem e detectem se o site foi copiado, levando o código incorporado com ele. Esse código aciona um alerta e reúne informações sobre o hacker, como sua geolocalização, para ajudar a rastrear a origem do problema.

Embora essas medidas sejam importantes para as empresas melhorarem sua resiliência contra ataques de phishing, não há substituto para a conscientização do usuário como a estratégia preventiva mais eficaz para combater o phishing. Na sua forma mais básica, o phishing é essencialmente um elaborado truque de confiança.

Portanto, é lógico que os usuários que estão atualizados com as tendências atuais de phishing estão muito mais bem equipados para identificar um ataque de phishing – e a identificação correta é tudo o que é necessário para se proteger dele. Como observa a equipe do Packet Lab :

A tendência de phishing definitivamente estará presente em 2021 e nos próximos anos. Como Marcus Hutchins (um popular autor de malware) afirmou certa vez, a arte de reverter e criar malware de baixo nível está começando a se tornar uma arte perdida porque o phishing é apenas uma maneira muito mais simples de adversários e hackers cumprirem seus objetivos. A Packetlabs acredita muito nisso e geralmente inclui campanhas de phishing como parte de nossas avaliações para ajudar a aumentar a conscientização sobre segurança cibernética e ensinar os funcionários a identificar e evitar ser phishing

Palavra final

Todos os pontos de dados existentes e projeções futuras indicam que a ameaça de phishing como o vetor de ataque mais prevalente veio para ficar. De fato, o phishing como técnica está evoluindo rapidamente para níveis mais altos de sofisticação, aproveitando os poderosos recursos da inteligência artificial.

Se isso não bastasse, o pânico em torno do Coronavírus, as próximas eleições nos EUA e outros eventos importantes só vão exacerbar a ameaça, servindo como o ambiente perfeito para que campanhas de phishing insidiosas floresçam e atraiam todos os tipos de usuários em nível individual e organizacional. nível igual.

Apesar da gravidade da situação atual, são as medidas mais simples que serão cruciais para que a sociedade em geral supere esse momento difícil: mantenha a calma. Mas quão calmos podemos permanecer diante de uma pandemia global que faz com que todas as outras preocupações – decididamente importantes por si só – pareçam insignificantes em comparação?

você pode gostar também Mais do autor
Mais histórias

Como instalar o acesso privado à Internet no Kodi…

Como cancelar o ipVanish e obter reembolso [Guia 2020]

Contrato de assinatura de 5 anos da Ivacy VPN –…

1 De 445

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação