O que é phishing?

Ataques de phishing são uma forma de engenharia social. Ao contrário de outros ciberataques, que têm como alvo direto redes e recursos, os ataques de engenharia social usam erros humanos, histórias falsas e táticas de pressão para manipular as vítimas e causar danos involuntários a si mesmas ou a suas organizações.

Em um golpe típico de phishing, um hacker finge ser alguém em quem a vítima confia, como um colega, chefe, figura de autoridade ou representante de uma marca conhecida. O hacker envia uma mensagem direcionando a vítima para pagar uma fatura, abrir um anexo, clicar em um link ou realizar alguma outra ação.

Por confiar na suposta fonte da mensagem, o usuário segue as instruções e cai na armadilha do golpista. Essa "fatura" pode levar diretamente à conta de um hacker. Esse anexo pode instalar ransomware no dispositivo do usuário. Esse link pode levar o usuário a um site que rouba números de cartões de crédito, números de contas bancárias, credenciais de login ou outros dados pessoais.

O phishing é popular entre os cibercriminosos e altamente eficaz. De acordo com o relatório do custo das violações de dadosh da IBM, o phishing é o vetor de violação de dados mais comum, representando 15% de todas as violações. Violações causadas por phishing custam às organizações em média US$ 4,88 milhões.

O phishing é uma ameaça significativa porque explora as pessoas em vez de vulnerabilidades tecnológicas. Os invasores não precisam violar os sistemas diretamente ou superar as ferramentas de cibersegurança. Eles podem enganar as pessoas que têm acesso autorizado a seu alvo (seja dinheiro, informações confidenciais ou qualquer outra coisa) para fazer o trabalho sujo.

Os phishers podem ser golpistas solitários ou quadrilhas criminosas sofisticadas. Eles podem usar o phishing para muitos fins mal-intencionados, incluindo roubo de identidade, fraude de cartão de crédito, roubo de dinheiro, extorsão, invasão de contas, espionagem e muito mais.

Os alvos de phishing variam de pessoas comuns a grandes corporações e agências governamentais. Em um dos ataques de phishing mais conhecidos, hackers russos usaram um e-mail falso de redefinição de senha para roubar milhares de e-mails da campanha presidencial de Hillary Clinton em 2016.¹

Como os golpes de phishing manipulam seres humanos, as ferramentas e técnicas padrão de monitoramento de rede nem sempre podem detectar esses ataques em andamento. Na verdade, no ataque à campanha de Clinton, até mesmo o help desk de TI da campanha achou que os e-mails fraudulentos de redefinição de senha eram autênticos. 

Para combater o phishing, as organizações devem combinar ferramentas avançadas de detecção de ameaças com uma educação robusta dos funcionários para garantir que os usuários possam identificar com precisão e responder com segurança às tentativas de fraude.

A palavra "phishing" joga com o fato de que os golpistas usam "iscas" atraentes para enganar suas vítimas, da mesma forma que os pescadores usam iscas para fisgar peixes reais. No phishing, as iscas são mensagens fraudulentas que parecem críveis e evocam emoções fortes como medo, ganância e curiosidade. 

Os tipos de iscas que os golpistas de phishing usam dependem de quem e do que eles estão procurando. Alguns exemplos comuns de ataques de phishing incluem:

No phishing de e-mails em massa, os golpistas enviam indiscriminadamente e-mails de spam para o maior número de pessoas possível, esperando que uma fração dos alvos caia no ataque.

Os golpistas geralmente criam e-mails que parecem vir de grandes empresas legítimas, como bancos, varejistas online ou fabricantes de aplicativos populares. Ao se passar por marcas conhecidas, os golpistas aumentam as chances de que seus alvos sejam clientes dessas marcas. Se um alvo interage regularmente com uma marca, é mais provável que ele abra um e-mail de phishing que supostamente venha dessa marca.

Os cibercriminosos se esforçam muito para fazer com que os e-mails de phishing pareçam genuínos. Eles podem usar o logotipo e a marca do remetente personificado. Eles podem falsificar endereços de e-mail para fazer parecer que a mensagem vem do nome de domínio do remetente personificado. Eles podem até copiar um e-mail autêntico do remetente personificado e modificá-lo para fins maliciosos.

Os golpistas escrevem linhas de assunto de e-mail para apelar para emoções fortes ou criar um senso de urgência. Os golpistas mais espertos usam assuntos que o remetente falso pode realmente responder, como "Problema com seu pedido" ou "Sua fatura está anexada".

O corpo do e-mail instrui o destinatário a tomar uma ação aparentemente razoável que resulte na divulgação de informações confidenciais ou no download de malware. Por exemplo, um link de phishing pode ler: "Clique aqui para atualizar seu perfil". Quando a vítima clica nesse link malicioso, ela é direcionada a um site falso que rouba suas credenciais de login. 

Alguns golpistas programam suas campanhas de phishing para se alinharem com feriados e outros eventos em que as pessoas estão mais suscetíveis à pressão. Por exemplo, os ataques de phishing contra clientes da Amazon geralmente aumentam no Prime Day, o evento anual de vendas do varejista on-line^.2 Os golpistas enviam e-mails sobre ofertas falsas e problemas de pagamento para tirar proveito da baixa guarda das pessoas.

Spear phishing é um ataque de phishing direcionado a um indivíduo específico. O alvo geralmente é alguém com acesso privilegiado a dados confidenciais ou autoridade especial que o golpista pode explorar, como um gerente financeiro que pode transferir dinheiro de contas de empresas.

Um spear phisher estuda seu alvo para reunir as informações necessárias para se passar por alguém em quem o alvo confia, como um amigo, chefe, colega de trabalho, fornecedor ou instituição financeira. As redes sociais e os sites de redes profissionais (onde as pessoas parabenizam publicamente colegas de trabalho, endossam fornecedores e tendem a compartilhar demais) são fontes ricas de informações para pesquisas de spear phishing.

Os spear phishers usam suas pesquisas para criar mensagens que contenham detalhes pessoais específicos, fazendo com que pareçam altamente confiáveis para o alvo. Por exemplo, um spear phisher pode se passar pelo chefe do alvo e enviar um e-mail que diz: "Eu sei que você está saindo hoje à noite de férias, mas você poderia pagar esta fatura antes do fechamento do negócio hoje?"

Um ataque de spear phishing direcionado a um executivo de nível de diretoria, uma pessoa com muitos bens ou outro alvo de alto valor é muitas vezes chamado de ataque de whale phishing ou whaling.

BEC é uma classe de ataques de spear phishing que tentam roubar dinheiro ou informações valiosas (por exemplo, segredos comerciais, dados de clientes ou informações financeiras) de uma empresa ou outra organização.

Os ataques de BEC podem assumir várias formas. Duas das mais comuns são:

• Fraude de CEO: o golpista se faz passar por um executivo de nível C, muitas vezes sequestrando a conta de e-mail do executivo. O golpista envia uma mensagem a um funcionário de nível inferior instruindo-o a transferir fundos para uma conta fraudulenta, fazer uma compra de um fornecedor fraudulento ou enviar arquivos para uma parte não autorizada.
  
  
• Comprometimento de conta de e-mail (EAC): o golpista compromete a conta de e-mail de um funcionário de nível inferior, como a conta de um gerente financeiro, de vendas ou de pesquisa e desenvolvimento. O golpista usa a conta para enviar faturas fraudulentas aos fornecedores, instruir outros funcionários a fazer pagamentos fraudulentos ou solicitar acesso a dados confidenciais.

Os ataques de BEC podem estar entre os ataques cibernéticos mais caros, com golpistas frequentemente roubando milhões de dólares de cada vez. Em um exemplo notável, um grupo de golpistas roubou mais de USD 100 milhões do Facebook e do Google, passando-se por um fornecedor de software legítimo.³

Alguns golpistas de BEC estão se afastando dessas táticas de alto perfil em favor de lançar pequenos ataques contra mais alvos. De acordo com o Anti-Phishing Working Group (APWG), os ataques de BEC se tornaram mais frequentes em 2023, mas os golpistas pediram menos dinheiro, em média, a cada ataque.⁴

O phishing por SMS, ou smishing, usa mensagens de texto falsas para enganar os alvos. Os golpistas geralmente se passam pelo provedor de telefonia móvel da vítima, enviando um texto que oferece um "presente gratuito" ou pede que o usuário atualize suas informações de cartão de crédito.

Alguns smishers se fazem passar pelo Serviço de Correios dos EUA ou por outra empresa de envios. Eles enviam mensagens de texto que informam às vítimas que elas precisam pagar uma taxa para receber um pacote que encomendaram.

O phishing por voz, ou vishing, é o phishing por chamada telefônica. Os incidentes de vishing explodiram nos últimos anos, aumentando em 260% entre 2022 e 2023, de acordo com o APWG^.5 O aumento do vishing se deve em parte à disponibilidade da tecnologia de voz sobre IP (VoIP), que os golpistas podem usar para fazer milhões de chamadas de vishing automatizadas por dia. 

Os golpistas costumam usar a falsificação do identificador de chamadas para fazer com que suas chamadas pareçam vir de organizações legítimas ou números de telefone locais. As ligações de vishing normalmente assustam os destinatários com avisos de problemas no processamento de cartão de crédito, pagamentos em atraso ou problemas com a lei. Os destinatários acabam fornecendo dados confidenciais ou dinheiro aos cibercriminosos para "resolver" seus problemas.

O phishing de redes sociais emprega plataformas de redes sociais para enganar as pessoas. Os golpistas utilizam os recursos de mensagens integradas das plataformas — como DMs do Facebook Messenger, LinkedIn InMail e X (antigo Twitter), — da mesma forma que utilizam e-mails e mensagens de texto.

Os golpistas costumam se passar por usuários que precisam da ajuda do alvo para fazer login em sua conta ou vencer um concurso. Eles usam esse estratagema para roubar as credenciais de login do alvo e assumir o controle de sua conta na plataforma. Esses ataques podem custar especialmente caro para vítimas que usam as mesmas senhas em diversas contas, uma prática muito comum.

Os golpistas constantemente criam novas técnicas de phishing para evitar a detecção. Alguns desenvolvimentos recentes incluem:

O phishing de IA usa ferramentas generativas de inteligência artificial (IA) para criar mensagens de phishing. Essas ferramentas podem gerar e-mails e mensagens de texto personalizados que não possuem erros de ortografia, inconsistências gramaticais e outros sinais vermelhos comuns de tentativas de phishing.

A IA generativa também pode ajudar os golpistas a escalar suas operações. De acordo com o X-Force Threat Intelligence Index da IBM, um golpista leva 16 horas para criar um e-mail de phishing manualmente. Com a IA, os golpistas podem criar mensagens ainda mais convincentes em apenas cinco minutos.

Os golpistas também usam geradores de imagens e sintetizadores de voz para aumentar a credibilidade de seus esquemas. Por exemplo, em 2019, invasores usaram IA para clonar a voz do CEO de uma empresa de energia e enganar um gerente de banco em US$ 243.000.⁷

O Quishing usa códigos QR falsos incorporados em e-mails e mensagens de texto ou publicados no mundo real. O quishing permite que hackers ocultem sites e softwares maliciosos à vista de todos.

Por exemplo, a Comissão Federal de Comércio dos EUA (FTC) alertou no ano passado sobre um golpe em que criminosos substituem códigos QR em parquímetros públicos por seus próprios códigos que roubam dados de pagamento.⁶

Os ataques híbridos de vishing combinam phishing por voz com outros métodos para evitar filtros de spam e ganhar a confiança das vítimas.

Por exemplo, um golpista pode enviar um e-mail alegando vir da receita federal. Este e-mail informa ao alvo que há um problema com sua declaração de imposto de renda. Para resolver o problema, o alvo deve ligar para um número de telefone fornecido no e-mail, que o conecta diretamente ao golpista.

Os detalhes podem variar de golpe a golpe, mas há alguns sinais comuns que indicam que uma mensagem pode ser uma tentativa de phishing. Esses sinais incluem:

Como os golpes de phishing têm como alvo as pessoas, os funcionários geralmente são a primeira e a última linha de defesa de uma organização contra esses ataques. As organizações podem ensinar os usuários a reconhecer os sinais de tentativas de phishing e responder a e-mails e mensagens de texto suspeitos. Isso pode incluir oferecer aos funcionários maneiras fáceis de relatar tentativas de phishing à equipe de TI ou de segurança.

As organizações também podem estabelecer políticas e práticas que dificultem o sucesso dos phishers.

Por exemplo, as organizações podem proibir que as pessoas iniciem transferências monetárias por e-mail. Elas podem exigir que os funcionários verifiquem as solicitações de dinheiro ou informações entrando em contato com o solicitante por meios diferentes daqueles fornecidos na mensagem. Por exemplo, os funcionários podem digitar uma URL diretamente no navegador em vez de clicar em um link ou ligar para a linha do escritório de um colega em vez de responder a uma mensagem de texto de um número desconhecido.

As organizações podem complementar o treinamento de seus funcionários e políticas da empresa com ferramentas de segurança que ajudam a detectar mensagens de phishing e frustrar hackers que utilizam phishing para invadir redes.

• Os filtros de spam e o software de segurança de e-mail usam dados sobre golpes de phishing existentes e algoritmos de aprendizado de máquina para identificar e-mails de phishing e outras mensagens de spam. Os golpes e spams são então movidos para uma pasta separada, onde os links e códigos maliciosos são erradicados.
  
  
• O software antivírus e antimalware pode detectar e neutralizar arquivos ou códigos maliciosos carregados por e-mails de phishing.
  
  
• A autenticação multifator pode impedir que hackers assumam o controle de contas de usuários. Os phishers podem roubar senhas, mas têm muito mais dificuldade em roubar um segundo fator, como uma leitura de impressão digital ou uma senha única.
  
  
• Ferramentas de segurança de endpoint , como as soluções de detecção e resposta de endpoint (EDR) e de unified endpoint management (UEM), podem usar inteligência artificial (IA) e análise de dados avançada para interceptar tentativas de phishing e bloquear malware.
  
  
• Filtros da Web impedem que os usuários acessem sites maliciosos conhecidos e exibem alertas sempre que os usuários visitam páginas suspeitas. Essas ferramentas podem ajudar a mitigar os danos se um usuário clicar em um link de phishing.
  
  
• Soluções de cibersegurança empresarial, como plataformas de orquestração, automação e resposta de segurança (SOAR) e gerenciamento de informações e eventos de segurança (SIEM), usam IA e automação para detectar e responder a atividades anômalas. Essas soluções podem ajudar a impedir phishers que estejam tentando instalar malware ou assumir o controle de contas.