Atualizado: 17 de maio de 2024
Colaborador: Matthew Kosinski
Os ataques de phishing usam e-mails, mensagens de texto, telefonemas ou sites fraudulentos para enganar as pessoas a compartilhar dados confidenciais, baixar malware ou se expor a crimes cibernéticos.
Os golpes de phishing são uma forma de engenharia social. Ao contrário de outros ataques cibernéticos que têm como alvo direto redes e recursos, os ataques de engenharia social usam erros humanos, histórias falsas e táticas de pressão para manipular as vítimas e causar danos involuntários a si mesmas ou a suas organizações.
Em uma tentativa típica de phishing, um hacker finge ser alguém em quem a vítima confia, como um colega, chefe, figura de autoridade ou representante de uma marca conhecida. O hacker envia uma mensagem direcionando a vítima para pagar uma fatura, abrir um anexo, clicar em um link ou realizar alguma outra ação.
Por confiar na suposta fonte da mensagem, o usuário segue as instruções e cai na armadilha do golpista. Essa "fatura" pode levar diretamente à conta de um hacker. Esse anexo pode instalar ransomware no dispositivo do usuário. Esse link pode levar o usuário a um site que rouba números de cartão de crédito, números de contas bancárias, credenciais de login ou outros dados pessoais.
O phishing é popular entre os cibercriminosos e altamente eficaz. De acordo com o relatório Cost of a Data Breach da IBM, o phishing é o vetor de violação de dados mais comum, representando 16% de todas as violações. As violações causadas por phishing custam às organizações uma média de US$ 4,76 milhões, valor superior ao custo médio geral de violação de US$ 4,45 milhões.
O phishing é uma ameaça significativa porque explora as pessoas em vez de vulnerabilidades tecnológicas. Os invasores não precisam violar os sistemas diretamente ou superar as ferramentas de cibersegurança. Eles podem enganar as pessoas que têm acesso autorizado ao seu alvo, seja dinheiro, informações confidenciais ou qualquer outra coisa, para fazer o trabalho sujo.
Os phishers podem ser golpistas solitários ou gangues criminosas sofisticadas. Eles podem usar o phishing para muitos fins mal-intencionados, incluindo roubo de identidade, fraude de cartão de crédito, roubo de dinheiro, extorsão, invasão de contas, espionagem e muito mais.
Os alvos de phishing variam de pessoas comuns a grandes corporações e agências governamentais. Em um dos ataques de phishing mais conhecidos, hackers russos usaram um e-mail falso de redefinição de senha para roubar milhares de e-mails da campanha presidencial de Hillary Clinton em 2016.1
Como os golpes de phishing manipulam seres humanos, as ferramentas e técnicas padrão de monitoramento de rede nem sempre podem detectar esses ataques em andamento. Na verdade, no ataque à campanha de Clinton, até mesmo o help desk de TI da campanha achou que os e-mails fraudulentos de redefinição de senha eram autênticos.
Para combater o phishing, as organizações devem combinar ferramentas avançadas de detecção de ameaças com uma educação robusta dos funcionários para garantir que os usuários possam identificar com precisão e responder com segurança às tentativas de fraude.
Nossa equipe X-Force de hackers, socorristas, pesquisadores e analistas de inteligência está disponível para discutir os desafios de segurança específicos da sua organização e como podemos ajudar.
Cadastre-se no X-Force Threat Intelligence Index
A palavra "phishing" joga com o fato de que os golpistas usam "iscas" atraentes para enganar suas vítimas, da mesma forma que os pescadores usam iscas para fisgar peixes reais. No phishing, as iscas são mensagens fraudulentas que parecem críveis e evocam emoções fortes como medo, ganância e curiosidade.
Os tipos de iscas que os golpistas de phishing usam dependem de quem e do que eles estão procurando. Alguns exemplos comuns de ataques de phishing incluem:
No phishing de e-mails em massa, os golpistas enviam indiscriminadamente e-mails de spam para o maior número de pessoas possível, na esperança de que uma fração dos alvos caia no ataque.
Os golpistas geralmente criam e-mails que parecem vir de grandes empresas legítimas, como bancos, varejistas on-line ou fabricantes de aplicativos populares. Ao se passar por marcas conhecidas, os golpistas aumentam as chances de que seus alvos sejam clientes dessas marcas. Se um alvo interage regularmente com uma marca, é mais provável que ele abra um e-mail de phishing que supostamente venha dessa marca.
Os cibercriminosos fazem de tudo para fazer com que os e-mails de phishing pareçam genuínos. Eles podem usar o logotipo e a marca do remetente personificado. Eles podem falsificar endereços de e-mail para fazer parecer que a mensagem vem do nome de domínio do remetente personificado. Eles podem até copiar um e-mail genuíno do remetente personificado e modificá-lo para fins maliciosos.
Os golpistas escrevem linhas de assunto de e-mail para apelar para emoções fortes ou criar um senso de urgência. Os golpistas mais espertos usam assuntos que o remetente falso pode realmente responder, como "Problema com seu pedido" ou "Sua fatura está anexada".
O corpo do e-mail instrui o destinatário a tomar uma ação aparentemente razoável que resulte na divulgação de informações confidenciais ou no download de malware. Por exemplo, um link de phishing pode ler: "Clique aqui para atualizar seu perfil". Quando a vítima clica nesse link malicioso, ela é direcionada a um site falso que rouba suas credenciais de login.
Alguns golpistas programam suas campanhas de phishing para se alinharem com feriados e outros eventos em que as pessoas estão mais suscetíveis à pressão. Por exemplo, os ataques de phishing contra clientes da Amazon geralmente aumentam no Prime Day, o evento anual de vendas do varejista on-line.2 Os golpistas enviam e-mails sobre ofertas falsas e problemas de pagamento para tirar proveito da baixa guarda das pessoas.
Spear phishing é um ataque de phishing direcionado a um indivíduo específico. O alvo geralmente é alguém com acesso privilegiado a dados confidenciais ou autoridade especial que o golpista pode explorar, como um gerente financeiro que pode movimentar dinheiro de contas de empresas.
Um spear phisher estuda seu alvo para reunir as informações necessárias para se passar por alguém em quem o alvo confia, como um amigo, chefe, colega de trabalho, fornecedor ou instituição financeira. As mídias sociais e os sites de redes profissionais, onde as pessoas parabenizam publicamente colegas de trabalho, endossam fornecedores e tendem a compartilhar demais, são fontes ricas de informações para pesquisas de spear phishing.
Os spear phishers usam suas pesquisas para criar mensagens que contenham detalhes pessoais específicos, fazendo com que pareçam altamente confiáveis para o alvo. Por exemplo, um spear phisher pode se passar pelo chefe do alvo e enviar um e-mail que diz: "Eu sei que você está saindo hoje à noite de férias, mas você poderia pagar esta fatura antes do fechamento do negócio hoje?"
Um ataque de spear phishing direcionado a um executivo de nível C, alguém rico ou algum outro alvo de alto valor é muitas vezes chamado de ataque de phishing de baleia ou ataque whaling.
O BEC é uma classe de ataques de spear phishing que tentam roubar dinheiro ou informações valiosas — por exemplo, segredos comerciais, dados de clientes ou informações financeiras — de uma empresa ou outra organização.
Os ataques de BEC podem assumir várias formas. Duas das mais comuns são:
- Fraude de CEO: o golpista se faz passar por um executivo de nível C, muitas vezes sequestrando a conta de e-mail do executivo. O golpista envia uma mensagem a um funcionário de nível inferior instruindo-o a transferir fundos para uma conta fraudulenta, fazer uma compra de um fornecedor fraudulento ou enviar arquivos para uma parte não autorizada.
- Comprometimento de conta de e-mail (EAC): o golpista compromete a conta de e-mail de um funcionário de nível inferior, como a conta de um gerente financeiro, de vendas ou de pesquisa e desenvolvimento. O golpista usa a conta para enviar faturas fraudulentas aos fornecedores, instruir outros funcionários a fazer pagamentos fraudulentos ou solicitar acesso a dados confidenciais.
Os ataques de BEC podem estar entre os ataques cibernéticos mais caros, com golpistas frequentemente roubando milhões de dólares de cada vez. Em um exemplo notável, um grupo de golpistas roubou mais de USD 100 milhões do Facebook e do Google, passando-se por um fornecedor de software legítimo.3
Alguns golpistas de BEC estão se afastando dessas táticas de alto perfil em favor de lançar pequenos ataques contra mais alvos. De acordo com o Anti-Phishing Working Group (APWG), os ataques de BEC se tornaram mais frequentes em 2023, mas os golpistas pediram menos dinheiro, em média, a cada ataque.4
O phishing por SMS, ou smishing, usa mensagens de texto falsas para enganar os alvos. Os golpistas geralmente se passam pelo provedor de telefonia móvel da vítima, enviando um texto que oferece um "presente gratuito" ou pede que o usuário atualize suas informações de cartão de crédito.
Alguns smishers se fazem passar pelo Serviço de Correios dos EUA ou por outra empresa de transporte. Eles enviam mensagens de texto que informam às vítimas que elas precisam pagar uma taxa para receber um pacote que encomendaram.
O phishing por voz, ou vishing, é o phishing por chamada telefônica. Os incidentes de vishing explodiram nos últimos anos, aumentando em 260% entre 2022 e 2023, de acordo com o APWG.5 O aumento do vishing se deve em parte à disponibilidade da tecnologia de voz sobre IP (VoIP), que os golpistas podem usar para fazer milhões de chamadas de vishing automatizadas por dia.
Os golpistas costumam usar a falsificação do identificador de chamadas para fazer com que suas chamadas pareçam vir de organizações legítimas ou números de telefone locais. As ligações de vishing normalmente assustam os destinatários com avisos de problemas no processamento de cartão de crédito, pagamentos em atraso ou problemas com a lei. Os destinatários acabam fornecendo dados confidenciais ou dinheiro aos cibercriminosos para "resolver" seus problemas.
O phishing nas redes sociais emprega plataformas de redes sociais para enganar as pessoas. Os golpistas usam os recursos de mensagens integrados das plataformas, por exemplo, DMs de Facebook Messenger, LinkedIn InMail e X (antigo Twitter), da mesma forma que usam e-mail e mensagens de texto.
Os golpistas costumam se passar por usuários que precisam da ajuda do alvo para fazer login em sua conta ou vencer um concurso. Eles usam esse estratagema para roubar as credenciais de login do alvo e assumir o controle de sua conta na plataforma. Esses ataques podem custar especialmente caro para vítimas que usam as mesmas senhas em diversas contas, uma prática muito comum.
Os golpistas constantemente criam novas técnicas de phishing para evitar a detecção. Alguns desenvolvimentos recentes incluem:
O phishing de IA usa ferramentas generativas de inteligência artificial (IA) para criar mensagens de phishing. Essas ferramentas podem gerar e-mails e mensagens de texto personalizados que não possuem erros de ortografia, inconsistências gramaticais e outros sinais vermelhos comuns de tentativas de phishing.
A IA generativa também pode ajudar os golpistas a escalar suas operações. De acordo com o Índice X-Force Threat Intelligence da IBM, leva 16 horas para criar um e-mail de phishing manualmente. Com a IA, os golpistas podem criar mensagens ainda mais convincentes em apenas cinco minutos.
Os golpistas também usam geradores de imagens e sintetizadores de voz para aumentar a credibilidade de seus esquemas. Por exemplo, em 2019, invasores usaram IA para clonar a voz do CEO de uma empresa de energia e enganar um gerente de banco em US$ 243.000.7
O Quishing usa códigos QR falsos incorporados em e-mails e mensagens de texto ou publicados no mundo real. O quishing permite que hackers ocultem sites e softwares maliciosos à vista de todos.
Por exemplo, a Comissão Federal de Comércio dos EUA (FTC) alertou no ano passado sobre um golpe em que criminosos substituem códigos QR em parquímetros públicos por seus próprios códigos que roubam dados de pagamento.6
Os ataques híbridos de vishing combinam phishing por voz com outros métodos para evitar filtros de spam e ganhar a confiança das vítimas.
Por exemplo, um golpista pode enviar um e-mail alegando vir da receita federal. Este e-mail informa ao alvo que há um problema com sua declaração de imposto de renda. Para resolver o problema, o alvo deve ligar para um número de telefone fornecido no e-mail, que o conecta diretamente ao golpista.
Os detalhes podem variar de golpe a golpe, mas há alguns sinais comuns que indicam que uma mensagem pode ser uma tentativa de phishing. Esses sinais incluem:
Os golpes de phishing tentam fazer com que as vítimas sintam um senso de urgência para que elas ajam rapidamente sem pensar. Os golpistas costumam fazer isso invocando emoções fortes, como medo, ganância e curiosidade. Podem impor prazos e ameaçar consequências irrealistas, como a prisão.
Os artifícios comuns de phishing incluem:
- "Há um problema com sua conta ou informações financeiras. Você deve atualizá-la imediatamente para evitar a perda de acesso."
- "Detectamos atividades ilegais. Pague essa multa agora, ou então você será preso."
- "Você ganhou um presente, mas deve resgatá-lo agora mesmo."
- "Esta fatura está vencida. Você deve pagá-la imediatamente, ou nós encerraremos seu serviço. "
- "Temos uma excelente oportunidade de investimento para você. Deposite dinheiro agora e podemos garantir retornos incríveis."
Os golpes de phishing normalmente pedem uma de duas coisas: dinheiro ou dados. Solicitações não solicitadas ou inesperadas de pagamento ou informações pessoais podem ser sinais de ataques de phishing.
Os golpistas disfarçam suas solicitações de dinheiro como faturas vencidas, multas ou taxas de serviços. Eles disfarçam as solicitações de informações como avisos para atualizar informações de pagamento ou de conta ou redefinir uma senha.
Muitas gangues de phishing operam internacionalmente, o que significa que muitas vezes escrevem mensagens de phishing em idiomas que não falam fluentemente. Portanto, muitas tentativas de phishing contêm erros gramaticais e inconsistências.
As mensagens de marcas legítimas geralmente contêm detalhes específicos. Eles podem se dirigir aos clientes pelo nome, fazer referência a números de pedidos específicos ou explicar com precisão qual é o problema. Uma mensagem vaga como "Há um problema com sua conta" sem mais detalhes é um sinal de alerta.
Os golpistas geralmente usam URLs e endereços de e-mail que parecem legítimos à primeira vista. Por exemplo, um e-mail de "admin@rnicrosoft.com" pode parecer seguro, mas é preciso verificar novamente. O "m" em "Microsoft" é na verdade um "r" e um "n."
Outra tática comum é usar um URL como "bankingapp.scamsite.com". Um usuário pode pensar que isso se vincula a bankingapp.com, mas na verdade aponta para um subdomínio de scamsite.com. Os hackers também podem usar serviços de encurtamento de links para disfarçar URLs maliciosos.
Os golpistas podem enviar arquivos e anexos que o alvo não solicitou e não espera. Eles podem usar imagens de texto em vez de texto real em mensagens e páginas da web para evitar filtros de spam.
Alguns golpistas fazem referência a questões polêmicas para irritar as vítimas. Por exemplo, a IBM® X-Force® descobriu que os golpistas costumam usar o conflito na Ucrânia para estimular as emoções dos alvos.
Como os golpes de phishing têm como alvo as pessoas, os funcionários geralmente são a primeira e a última linha de defesa de uma organização contra esses ataques. As organizações podem ensinar os usuários a reconhecer os sinais de tentativas de phishing e responder a e-mails e mensagens de texto suspeitos. Isso pode incluir oferecer aos funcionários maneiras fáceis de relatar tentativas de phishing à equipe de TI ou de segurança.
As organizações também podem estabelecer políticas e práticas que dificultem o sucesso dos phishers.
Por exemplo, as organizações podem proibir que as pessoas iniciem transferências monetárias por e-mail. Eles podem exigir que os funcionários verifiquem as solicitações de dinheiro ou informações entrando em contato com o solicitante por meios diferentes dos fornecidos na mensagem. Por exemplo, os funcionários podem digitar uma URL diretamente no navegador em vez de clicar em um link ou ligar para a linha do escritório de um colega em vez de responder a uma mensagem de texto de um número desconhecido.
As organizações podem complementar o treinamento dos funcionários e as políticas da empresa com ferramentas de segurança que ajudam a detectar mensagens de phishing e impedir hackers que usam phishing para invadir redes.
- Os filtros de spam e o software de segurança de e-mail usam dados sobre golpes de phishing existentes e algoritmos de aprendizado de máquina para identificar e-mails de phishing e outras mensagens de spam. Os golpes e spams são então movidos para uma pasta separada, onde os links e códigos maliciosos são erradicados.
- O software antivírus e antimalware pode detectar e neutralizar arquivos ou códigos maliciosos carregados por e-mails de phishing.
- A autenticação multifator pode impedir que hackers assumam o controle de contas de usuários. Os phishers podem roubar senhas, mas têm muito mais dificuldade em roubar um segundo fator, como uma leitura de impressão digital ou uma senha única.
- Ferramentas de segurança de endpoint , como soluções de detecção e resposta de endpoint (EDR) e gerenciamento unificado de endpoint (UEM), podem usar inteligência artificial (IA) e análises avançadas para interceptar tentativas de phishing e bloquear malware.
- Os filtros da Web impedem que os usuários acessem sites maliciosos conhecidos e exibem alertas sempre que os usuários visitam páginas suspeitas. Essas ferramentas podem ajudar a mitigar os danos se um usuário clicar em um link de phishing.
- As soluções corporativas de cibersegurança, como as plataformas de orquestração, automação e resposta de segurança (SOAR) e gerenciamento de eventos e informações de segurança (SIEM), usam IA e automação para detectar e responder a atividades anômalas. Essas soluções podem ajudar a impedir que phishers estejam tentando instalar malware ou assumir o controle de contas.
Realize avaliações de risco quase em tempo real, orientadas por IA, e proteja aplicativos e dados críticos com as soluções de segurança móvel da IBM.
Entregue experiências perfeitas ao cliente e construa confiança na identidade digital com detecção de fraude em tempo real e impulsionada por IA.
O IBM Security Trusteer Rapport ajuda as instituições financeiras a detectar e prevenir infecções por malware e ataques de phishing, protegendo seus clientes de varejo e corporativos.
Mantenha-se atualizado sobre notícias, tendências e técnicas de prevenção de phishing no Security Intelligence, o blog de liderança de pensamento hospedado pela IBM Security.
Saiba por que e como as organizações usam simulações de phishing para fortalecer as defesas contra ataques de engenharia social.
Esteja mais bem preparado para violações entendendo suas causas e os fatores que aumentam ou reduzem custos. Com base nas experiências de mais de 550 organizações que enfrentaram violações de dados no mundo real.
Notas de rodapé
Todos os links levam para fora do site ibm.com
1 Como hackers russos invadiram os e-mails da campanha de Clinton. Associated Press. 4 de novembro de 2017.
2 Como os cibercriminosos estão mirando os compradores do Amazon Prime Day. TechRepublic. 6 de julho de 2022.
3 Como esse golpista usou e-mails de phishing para roubar mais de USD 100 milhões do Google e do Facebook. CNBC. 27 de março de 2019.
4, 5 Relatório de tendências de atividades de phishing (PDF, 3,6 MB). Anti-Phishing Working Group. 13 de fevereiro de 2024.
6 Quishing é o novo phishing. ZDNET. 11 de dezembro de 2023.
7 Aquela ligação de pânico de um parente? Pode ser um ladrão usando um clone de voz, alerta a FTC. NPR. 22 de março de 2023.