Smishing vs phishing vs vishing: Faria bem em encontrar alguém que não tenha sido visado por pelo menos um destes.
Quer seja um e-mail falso de redefinição de senha ou uma suposta oportunidade de receber um desconto de imposto se 'clicar aqui', o phishing está a tornar-se uma arma cada vez mais popular para os cibercriminosos.
Tanto de facto que o Grupo de Trabalho Anti-Phishing descobriu mais de um milhão de ataques de phishing no segundo trimestre só deste ano - o máximo que alguma vez viu num quarto.
BEC: Uma Grande Ameaça para os Negócios
Do ponto de vista empresarial, a maioria dos empregados terá recebido um e-mail do seu "chefe" a pedir-lhes que transfiram imediatamente uma pilha de dinheiro para um "vendedor" ou para alguma outra entidade de aspecto legítimo. Este tipo particular de ataque de phishing enquadra-se na categoria de "Compromisso de Email Empresarial". De acordo com o FBI, os esquemas de BEC resultaram em 19,954 queixas com uma perda ajustada de quase 2,4 mil milhões de dólares em 2021.
Os ataques BEC são invulgarmente eficazes porque estão a fazer-se passar por alguém que a vítima conhece - frequentemente uma figura de autoridade como um chefe. Se o patrão lhe pedir para fazer algo, a maioria das pessoas não o questiona. Mas hoje em dia deveriam, especialmente quando estão envolvidas grandes somas de dinheiro ou dados sensíveis.
A explosão da transformação digital criou uma oportunidade sem precedentes para maus actores, que não precisam de uma alta taxa de sucesso para lucrar.
Existem diferentes variantes de ataques de phishing, mas há medidas que pode tomar para se proteger a si próprio e à sua organização. Vamos rever as nuances entre smishing vs phishing vs vishing, e analisar como se defender e reagir contra elas.
O que é um Smishing Attack?
Smishing é um acrónimo para SMS phishing, ou serviços de mensagens curtas phishing. Essencialmente, é um ataque de phishing lançado através de uma mensagem de texto.
Enquanto a maioria das pessoas ignora o spam de correio electrónico, tendem a ler cada última mensagem de texto, porque as pessoas assumem erroneamente que os textos são mais seguros. Ainda assim, os hackers podem facilmente desvendar informação pública sobre o alvo para elaborar uma mensagem de spam que se sinta legítima.
Textos bem sucedidos transmitem um sentido de urgência. "Sabemos que cometeu um crime - ligue para este número para limpar o seu nome". Ou "Bloqueámos a sua conta Amazon devido a actividade invulgarmente detectada". Nalguns casos, eles ligarão primeiro para o alvo, prometendo seguir com uma mensagem de texto contendo uma ligação.
Qual é o objectivo da Smishing?
Num ataque de smishing, (como em todos os phishing) o objectivo é uma de três coisas:
1. Credenciais de login de compromisso
2. Convencer o utilizador a clicar numa ligação ou anexo malicioso, infectando o computador
3. Manipular a vítima para enviar dinheiro ou dados confidenciais
A ameaça de ataques pessoais é clara, mas o aumento de trazer o seu próprio dispositivo (BYOD) - onde os empregados usam dispositivos pessoais para o trabalho - torna o smishing uma arma mais viável para atingir empresas. Não é raro os empregados receberem hoje em dia mensagens de texto dos seus "CEOs". Na verdade, é tão prevalecente que é agora conhecido como "Director Executivo Smishing.”
O que acontece se clicar num link de Phishing?
Antes do BEC aparecer, o(s) objectivo(s) primário(s) dos ataques de phishing era(eram) uma de duas coisas: Obter o alvo para clicar num URL ou num anexo malicioso.
Normalmente, eles querem que isto aconteça por uma de duas razões: 1) para encorajar a vítima a introduzir as suas informações pessoais (roubo de credenciais), ou 2) para encorajá-la a descarregar um ficheiro carregado com malware.
Mesmo que o alvo clique na ligação mas, em última análise, não o faça, terão marcado a si próprios como uma vítima potencial que poderá valer a pena explorar mais.
A maioria dos alvos que clicam num link mas não seguem com a introdução de dados ou um download são geralmente seguros, mas continua a ser boa prática desligar o dispositivo da Internet e contactar a sua equipa de TI para mais apoio. O TI pode verificar o dispositivo para ter a certeza de que está limpo.
Alterar sempre a palavra-passe da conta visada.
A regra de ouro é não clicar no link. Os ataques de phishing ultrapassaram o papel de faz-de-conta como príncipes nigerianos, e agora fabricam e-mails convincentes, fazendo-se passar por organizações em que confiamos.
De acordo com o ponto de verificação do fornecedor de ciber-segurançaA LinkedIn é a empresa mais imitada em ataques de phishing, sendo responsável por mais de metade de todas as tentativas. O gigante das entregas DHL segue em segundo lugar, o relatório encontrado.
O que protege contra a Spear Phishing?
Tradicionalmente, as campanhas de phishing não eram dirigidas e enviadas a uma vasta gama de pessoas na esperança de que alguém mordesse.
No entanto, como os cibercriminosos se tornaram mais avançados, adaptaram esta abordagem para visar empresas e pessoas individuais. Isto é conhecido como pesca submarina. A pesca de lanças é proeminente, com algumas estimativas a afirmar que 65% dos cibercriminosos optam pela pesca com lanças como método de ataque escolhido.
Já recebeu alguma vez um e-mail de alguém que se dirigiu a si pelo nome e afirmou ser o director financeiro da sua organização e referindo coisas que só você saberia? Isto é phishing de lança.
Sinais indicadores
Em algumas tentativas mal feitas, será claro que o e-mail não é do seu director financeiro.
O e-mail pode estar repleto de erros pouco usuais. Ou podem pedir o seu número de telefone, apesar de o seu verdadeiro director financeiro o ter. Após uma inspecção mais atenta, poderá ver que o endereço de correio electrónico é na realidade uma conta Gmail aleatória atribuída a um indivíduo com o mesmo nome.
O que é um Ataque de Pesca?
O vishing é outro modo de ataque de phishing, desta vez utilizando a voz. Semelhante ao smishing, os ataques de vishing visam pessoas cautelosas dos ataques por correio electrónico, mas que se sentem mais seguras quando se trata de comunicação por voz.
Muitos consideram o vishing como sendo o tipo mais antigo de ataque de phishing. Embora não oficialmente conhecido como "vishing", o primeira tentativa conhecida aconteceu por volta de 1995.
Os ataques de pesca podem visar indivíduos específicos, onde um verdadeiro humano pede outro verdadeiro humano pelo nome. Podem alegar ser do seu banco enquanto os informam de uma conta corrente comprometida.
Os ataques de pesca também podem ser mais gerais, lançados simultaneamente pelos milhares usando chamadas VoIP e mensagens pré-gravadas.
A forma mais segura de rejeitar ataques de phishing é evitar a entrega de dados pessoais se houver suspeitas. Se achar que a chamada pode ser genuína, ofereça-se para desligar e voltar a ligar para um número de telefone legítimo.
Smishing vs Phishing vs Vishing: Como Ficar Seguro
Ataques de espancamento, phishing, e vishing são executados em águas turvas, mas o aumento da transformação digital significa que apenas aumentarão em volume. Algumas estimativas afirmam 3,4 mil milhões de e-mails de phishing bater em caixas de entrada todos os dias.
Escassamente, os cibercriminosos são indiscriminados, visando todas as pessoas, desde miúdos universitários até CEOs de alto nível.
As pessoas devem manter-se atentas e detectar as tendências comuns associadas aos ataques de phishing numa base ad-hoc. Ainda assim, a forma mais eficaz de uma organização se manter segura é através de uma política abrangente de consciencialização cibernética.
As melhores práticas: Formação em Sensibilização para a Segurança
Formação de Sensibilização para a Segurança, como a oferecida por Divisão Empresarial da ThriveDX permite às empresas experimentar o produto enquanto aprendem sobre as ameaças actuais:
- Simulações - As iscas do mundo real são responsáveis pela entrada de dados (roubo de credenciais), ligações maliciosas e ataques de phishing de penhora maliciosa.
- Outros ataques simulados incluem meios portáteis, smishing e vishing
- Bibliotecas de conteúdos totalmente personalizáveis
- Encoraja a denúncia de actividades suspeitas por parte dos utilizadores, aumentando o envolvimento
Plataformas de sensibilização cibernética como estas educam os empregados sobre como reconhecer phishing, smishing, vishing, pharming, BEC, ransomware e outros ataques que põem as empresas de rastos. A formação de consciência de segurança também prepara os trabalhadores para o dia inevitável em que enfrentam um ataque de phishing na vida real.
