Essa \u00e9 apenas uma das muitas estat\u00edsticas alarmantes que revelam o qu\u00e3o devastador o phishing foi no passado recente para pessoas e empresas. Eventos recentes, desenvolvimentos tecnol\u00f3gicos (IA e deep fake) e dados circundantes indicam de forma preocupante \u2013 como voc\u00ea descobrir\u00e1 neste artigo \u2013 que a amea\u00e7a de phishing pode se tornar ainda maior e mais insidiosa do que j\u00e1 \u00e9.<\/p>\n
E podemos n\u00e3o estar totalmente preparados para isso.<\/p>\n
Estat\u00edsticas de phishing – o dano causado<\/h2>\n
Compartilhe esta imagem em seu site<\/strong><\/p>\n As estat\u00edsticas de phishing mostram uma tend\u00eancia ascendente, um aumento inconfund\u00edvel que n\u00e3o foi observado nos \u00faltimos 3 anos. Greg Aaaron, Pesquisador S\u00eanior do APWG, disse: "Este \u00e9 o pior per\u00edodo para phishing que o APWG viu em tr\u00eas anos, desde o quarto trimestre de 2016".<\/p>\n De acordo com a Verizon<\/a>, 32% das viola\u00e7\u00f5es de dados relatadas em 2018 foram resultado de ataques de phishing. Isso ficou ainda pior em 2019, com o phishing respons\u00e1vel por 90%<\/a> das viola\u00e7\u00f5es de dados<\/strong>. As estat\u00edsticas sugerem que os hackers ainda dependem predominantemente de engenharia social e truques de confian\u00e7a, em vez de for\u00e7a bruta e outros ataques mais sofisticados para acessar informa\u00e7\u00f5es confidenciais de usu\u00e1rios\/empresas.<\/p>\n A efic\u00e1cia e a alta taxa de sucesso dos ataques de phishing para cibercriminosos tamb\u00e9m podem ser estimadas pelo fato de que at\u00e9 1,5 milh\u00e3o de sites de phishing<\/a><\/strong> s\u00e3o criados todos os meses. Essa atividade extraordinariamente alta s\u00f3 pode ser mantida se os agentes por tr\u00e1s do phishing estiverem lucrando muito com isso.<\/p>\n Na verdade, no n\u00edvel corporativo, as perdas m\u00e9dias sofridas por empresas de m\u00e9dio porte comprometidas com phishing s\u00e3o de US$ 1,6 milh\u00e3o<\/a>.<\/strong> N\u00e3o \u00e9 \u00e0 toa que o phishing tem um lugar especial no cora\u00e7\u00e3o de cada hacker.<\/p>\n O sucesso duradouro do phishing \u00e9 simplesmente o resultado de nossa tend\u00eancia humana de ser tentado a realizar uma a\u00e7\u00e3o, especialmente quando confiamos na fonte.<\/p>\n Salvatore Stolfo, CTO da Alluresecurity<\/a> observa apropriadamente:<\/p>\n \u00c9 verdade que a IA pode sofrer engenharia reversa e ser armada por advers\u00e1rios para atingir pessoas com ataques cibern\u00e9ticos. Mas a realidade \u00e9 que, quando se trata de phishing, os invasores nem precisam ser t\u00e3o experientes em tecnologia para ter sucesso. E \u00e9 por isso que o phishing continua sendo o principal vetor de ataque. Ele aproveita nosso instinto b\u00e1sico de confiar e clicar em um link que acreditamos vir de uma fonte leg\u00edtima, como seu banco, ou uma marca que voc\u00ea conhece e confia, como Microsoft, Netflix ou PayPal.<\/p>\n<\/blockquote>\n Os m\u00e9todos e estrat\u00e9gias de phishing s\u00f3 ficar\u00e3o mais sofisticados com o tempo. De fato, as melhorias nas t\u00e9cnicas j\u00e1 s\u00e3o evidentes, apontando para um ambiente de seguran\u00e7a cibern\u00e9tica seriamente prec\u00e1rio nos pr\u00f3ximos tempos.<\/p>\n<\/p>\n Compartilhe esta imagem em seu site<\/strong><\/p>\n J\u00e1 testemunhamos mudan\u00e7as nas normas quando se trata de phishing por e-mail. Tradicionalmente, a abordagem de espingarda \u00e9 mais comumente empregada quando o hacker deseja atrair o maior n\u00famero poss\u00edvel de pessoas. Mas os ataques \u00e0 seguran\u00e7a corporativa t\u00eam uma probabilidade consideravelmente maior de serem bem-sucedidos quando executados de maneira direcionada, uma t\u00e9cnica conhecida como spear-phishing.<\/p>\n A Cisco afirma que<\/a> 95% de todos os ataques em redes de seguran\u00e7a corporativa s\u00e3o poss\u00edveis devido ao spear-phishing. Em um ataque de spear phishing, um hacker pode se passar por um membro real \u2013 geralmente de alto perfil \u2013 de uma organiza\u00e7\u00e3o ou setor na tentativa de enganar o destinat\u00e1rio do e-mail para divulgar suas informa\u00e7\u00f5es.<\/p>\n Os e-mails de spear phishing foram aproveitados ao m\u00e1ximo como o principal m\u00e9todo de infec\u00e7\u00e3o utilizado por 71%<\/a> dos grupos de hackers em 2017. A alta taxa de sucesso de spear phishing \u00e9 simplesmente o resultado de uma representa\u00e7\u00e3o melhor disfar\u00e7ada, atraindo at\u00e9 os mais cuidadosos entre n\u00f3s para sendo enganado.<\/p>\n Dennis Bell, especialista em TI e fundador da Byblos Coffee,<\/a> prev\u00ea que:<\/p>\n Em 2021, Spear phishing seria mais prevalente\u2026 AI e ML podem ser usados \u200b\u200bpara identificar os melhores alvos com base no que eles fazem online. Eles podem at\u00e9 coletar informa\u00e7\u00f5es sobre quem tem mais acesso em sua rede corporativa. Depois que a IA e o ML criam perfis, eles podem come\u00e7ar a enviar materiais de phishing personalizados com base nas vulnerabilidades do alvo.<\/p>\n<\/blockquote>\n O abuso da IA \u200b\u200be o desenvolvimento resultante de tecnologias como um deep fake \u00e9 outro duro golpe em nossas esperan\u00e7as de uma internet livre de phishing. Antes da IA, os phishers s\u00f3 podiam se disfar\u00e7ar atr\u00e1s de e-mails e sites inteligentemente projetados. Com IA e deep fake, eles podem at\u00e9 representar o rosto e a voz de qualquer pessoa que escolherem, dando \u00e0s fraudes de engenharia social uma dimens\u00e3o totalmente nova.<\/p>\n Kim Martin, vice-presidente de marketing<\/a> da empresa de biometria ID R&D<\/a>, destaca:<\/p>\n Os fraudadores est\u00e3o usando o Machine Learning e a IA para realizar ataques de phishing sofisticados, onde eles se passam por usu\u00e1rios reais e autorizados por meio de avan\u00e7os na fala sint\u00e9tica. Em um cen\u00e1rio recente, envolveu uma voz “deep fake" que enganou um CEO para transferir US$ 243.000 para um fornecedor h\u00fangaro. O CEO achou que o pedido vinha de seu chefe. Com esses recursos, os fraudadores encontraram um novo ve\u00edculo para a engenharia social e uma maneira de passar pela autentica\u00e7\u00e3o baseada em biometria se as prote\u00e7\u00f5es adequadas n\u00e3o estiverem em vigor.<\/p>\n<\/blockquote>\n Os avan\u00e7os no processamento de linguagem natural abrem outro caminho para os agentes de amea\u00e7as. Usar o aprendizado de m\u00e1quina para compor correspond\u00eancias oficiais projetadas para enganar o pessoal de neg\u00f3cios \u00e9 uma possibilidade muito real hoje e quase certamente se tornar\u00e1 mais prevalente no futuro.<\/p>\n O Processamento de Linguagem Natural \u00e9 um dos campos mais pesquisados \u200b\u200bem IA, capaz de entender as linguagens humanas e se comunicar efetivamente usando as mesmas. \u00c0 medida que esses recursos melhoram com o tempo, perceber a diferen\u00e7a entre linguagem humana e linguagem originada por m\u00e1quina ser\u00e1 um grande desafio. Como destaca o especialista em privacidade digital Attila Tomaschek<\/a> :<\/p>\n um cibercriminoso pode injetar um malware em um encadeamento de e-mail existente que tem a capacidade de alavancar IA e ML para analisar o idioma e o contexto do encadeamento para aprender e emular a linguagem humana natural e, assim, personalizar e-mails de phishing convincentes e com som natural para alvos individuais”. Ele tamb\u00e9m aponta como os chat-bots orientados por IA podem enganar as v\u00edtimas para que cliquem em links maliciosos.<\/p>\n<\/blockquote>\n O fato mais alarmante em meio a tudo isso \u00e9 que essa n\u00e3o \u00e9 uma previs\u00e3o futurista que est\u00e1 muito longe dos dias atuais para come\u00e7ar a se preocupar. Essas s\u00e3o capacidades muito reais que j\u00e1 existem em uma extens\u00e3o quase assustadora.<\/p>\n O aprendizado de m\u00e1quina tamb\u00e9m pode tornar os ataques de phishing indetect\u00e1veis. Com o tempo, o e-mail pode aprender a ignorar os filtros de e-mail, usando uma linguagem cada vez mais realista para parecer completamente leg\u00edtimo. Sobre isso, Will Pearce, consultor s\u00eanior de seguran\u00e7a da Silent Break Security,<\/a> compartilha<\/p>\n Adversarial Machine Learning tem a capacidade de tornar as tentativas de phishing indetect\u00e1veis \u200b\u200b\u2013 algumas pesquisas publicadas em 2019 chamadas ‘Proof-Pudding' fizeram exatamente isso. O filtro de spam da Proofpoint estava vazando pontua\u00e7\u00f5es de previs\u00e3o de spam, a pesquisa coletou um conjunto de dados e treinou um modelo para gerar palavras que garantiriam que os e-mails de phishing “n\u00e3o fossem detectados”. Os sistemas de aprendizado de m\u00e1quina s\u00e3o uma nova superf\u00edcie de ataque que geralmente n\u00e3o \u00e9 bem compreendida.<\/p>\n<\/blockquote>\n Considerando que algoritmos simples podem ser usados \u200b\u200bpara determinar at\u00e9 mesmo informa\u00e7\u00f5es ocultas em perfis do Facebook<\/a>, a conjun\u00e7\u00e3o de deep fake e ML adversaria ampliar\u00e1 significativamente a gama de ataques \u00e0 disposi\u00e7\u00e3o de um phisher m\u00e9dio.<\/p>\n Um ataque hom\u00f3grafo aproveita o fato de que muitas letras no alfabeto da maioria das l\u00ednguas modernas s\u00e3o semelhantes. Por exemplo, a letra B \u00e9 \u03b2 em grego. Sabendo disso, um site de phishing malicioso pode usar um nome de dom\u00ednio que se parece exatamente com outro dom\u00ednio leg\u00edtimo. A diferen\u00e7a de um pequeno caractere geralmente \u00e9 imposs\u00edvel de notar, especialmente nas telas de dispositivos port\u00e1teis menores, como smartphones.<\/p>\n Por exemplo: https:\/\/www.the\u00edndependent.com\/<\/a> difere do dom\u00ednio do The Independent em apenas um caractere: o ‘\u00ed' para o ‘i'. Esses dom\u00ednios semelhantes apenas aumentam o arsenal de t\u00e9cnicas \u00e0 disposi\u00e7\u00e3o dos phishers modernos.<\/p>\n Compartilhe esta imagem em seu site<\/strong><\/p>\n As capacidades tecnol\u00f3gicas representam apenas uma \u00e1rea de oportunidade entre v\u00e1rias que os phishers est\u00e3o aproveitando para lan\u00e7ar ataques cibern\u00e9ticos cada vez mais devastadores. Aproveitando o p\u00e2nico criado pelo misterioso coronav\u00edrus, os golpistas est\u00e3o lan\u00e7ando campanhas de phishing para enganar as pessoas a clicar em links maliciosos e fornecer informa\u00e7\u00f5es confidenciais.<\/p>\n O caso mais not\u00e1vel de tais explora\u00e7\u00f5es de phishing foi relatado pela Kaspersky,<\/a> onde e-mails de phishing fingindo ser enviados pelo CDC roubam suas informa\u00e7\u00f5es quando voc\u00ea clica em um link solicitando seu login do Outlook. Os e-mails s\u00e3o origin\u00e1rios de um dom\u00ednio cdc-gov.org, embora o dom\u00ednio do CDC leg\u00edtimo seja cdc.gov.<\/p>\n Basta dizer que \u00e9 extremamente dif\u00edcil para um usu\u00e1rio m\u00e9dio perceber essa diferen\u00e7a no dom\u00ednio e suspeitar de fraude, especialmente quando o e-mail \u00e9 redigido de forma t\u00e3o convincente com links externos aparentemente leg\u00edtimos. Claro, n\u00e3o h\u00e1 nada de leg\u00edtimo em todo o e-mail na realidade.<\/p>\n Essas t\u00e1ticas extraem sua efic\u00e1cia do p\u00e2nico em torno da situa\u00e7\u00e3o (neste caso, o coronav\u00edrus), onde a incerteza e a urg\u00eancia predominantes podem causar um curto-circuito at\u00e9 mesmo no julgamento de um homem s\u00e1bio. Contra amea\u00e7as da vida real, o perigo de ataques cibern\u00e9ticos, n\u00e3o importa qu\u00e3o real seja, \u00e9 distante e perif\u00e9rico na melhor das hip\u00f3teses.<\/p>\n As elei\u00e7\u00f5es dos EUA 2021 se apresentar\u00e3o como outra oportunidade para os phishers fazerem seus maus neg\u00f3cios, como fizeram nas elei\u00e7\u00f5es anteriores. Como Orion Casetto, Diretor de Marketing<\/a> de Produto da Exabeam<\/a>, observa com perspic\u00e1cia<\/p>\n O phishing n\u00e3o vai desaparecer t\u00e3o cedo. O fervor em torno das elei\u00e7\u00f5es presidenciais de 2021 nos EUA oferece aos poss\u00edveis invasores o ambiente perfeito para executar campanhas de phishing e engenharia social. Muitas pessoas s\u00e3o apaixonadas, prontas para agir e recebendo uma enxurrada de comunica\u00e7\u00e3o de novas fontes; esta \u00e9 uma tempestade perfeita que deixa ampla oportunidade para as pessoas serem v\u00edtimas de e-mails de phishing bem elaborados disfar\u00e7ados de comunica\u00e7\u00e3o de organiza\u00e7\u00f5es pol\u00edticas e candidatos.<\/p>\n<\/blockquote>\n Esses eventos de import\u00e2ncia, juntamente com a assist\u00eancia da IA, apenas encorajar\u00e3o phishers e golpistas a implantar campanhas extremamente perniciosas direcionadas a todos os setores da sociedade, desde o indiv\u00edduo at\u00e9 organiza\u00e7\u00f5es de todos os tamanhos.<\/p>\n A melhor defesa contra o phishing ainda \u00e9 seu julgamento antiquado, intelig\u00eancia, bom senso e cautela. Infelizmente, em um mundo de ritmo acelerado, onde as pessoas t\u00eam menos aten\u00e7\u00e3o e ainda menos paci\u00eancia, est\u00e1 se tornando um grande desafio ter cuidado e cautela antes de cada link que voc\u00ea clica e de cada site que voc\u00ea visita.<\/p>\n \u00c9 por isso que o software anti-phishing tamb\u00e9m est\u00e1 ganhando import\u00e2ncia para ajudar os humanos com julgamentos fal\u00edveis. No entanto, algumas dicas de bom senso ainda podem evitar que voc\u00ea se torne a pr\u00f3xima v\u00edtima de phishing.<\/p>\n Estes s\u00e3o alguns cuidados que voc\u00ea pode tomar como usu\u00e1rio. Mas ainda h\u00e1 uma responsabilidade mais pesada sobre organiza\u00e7\u00f5es de todos os tipos para combater o phishing de forma mais eficaz. Eles podem come\u00e7ar atualizando seus sistemas de computador legados vulner\u00e1veis \u200b\u200bpara sistemas modernos e atualizados, como o l\u00edder da equipe de intelig\u00eancia de amea\u00e7as da Skybox Security<\/a>, sublinha Sivan Nir<\/p>\n O relat\u00f3rio do NCSC de 2019 descobriu que mais de 318 redes p\u00fablicas s\u00e3o executadas no Windows XP, apesar de a Microsoft ter encerrado o suporte para ele em 2014. Com as empresas confiando em software “legado” e cibercriminosos utilizando IA e ML para transformar seu malware, os ataques de phishing se tornam quase invis\u00edveis para um olhos da empresa e ainda mais devastador.<\/p>\n<\/blockquote>\n Stolfo observa que a maioria dos phishers costuma usar web scraping para imitar o dom\u00ednio leg\u00edtimo. Ele recomenda a incorpora\u00e7\u00e3o de c\u00f3digo no site original que permite que os webmasters rastreiem e detectem se o site foi copiado, levando o c\u00f3digo incorporado com ele. Esse c\u00f3digo aciona um alerta e re\u00fane informa\u00e7\u00f5es sobre o hacker, como sua geolocaliza\u00e7\u00e3o, para ajudar a rastrear a origem do problema.<\/p>\n Embora essas medidas sejam importantes para as empresas melhorarem sua resili\u00eancia contra ataques de phishing, n\u00e3o h\u00e1 substituto para a conscientiza\u00e7\u00e3o do usu\u00e1rio como a estrat\u00e9gia preventiva mais eficaz para combater o phishing. Na sua forma mais b\u00e1sica, o phishing \u00e9 essencialmente um elaborado truque de confian\u00e7a.<\/p>\n\n
M\u00e9todos Evolutivos \u2013 Phishers na Tempestade<\/h2>\n
Spear-phishing<\/h3>\n
\n
Deep Fakes e IA<\/h3>\n
\n
\n
\n
Ataques hom\u00f3grafos<\/h3>\n
O futuro por vir \u2013 Corona, elei\u00e7\u00f5es nos EUA e abusos de tecnologia<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e692b8fe.png\")
<\/a><\/p>\n\n
Preparando-se para um surto de phishing<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e6a88a99.png\")
<\/a><\/p>\nCompartilhe esta imagem em seu site<\/h3>\n
Dicas para usu\u00e1rios<\/h3>\n
\n
O Papel das Organiza\u00e7\u00f5es<\/h3>\n
\n