Compreender o phishing
89% das mensagens maliciosas escapam da segurança de e-mail
A realidade atual é dominada por interações digitais e depende delas. Entre os principais riscos de TI e segurança estão os ataques de phishing, o vetor inicial de nove em cada dez ataques cibernéticos. Somente no ano passado, o phishing causou mais de US$ 50 bilhões em perdas globais para as empresas, com os invasores se passando por mais de mil organizações diferentes em quase 40 milhões de ameaças de fraude de identidade e mais de um bilhão de tentativas de falsificação de marca. O phishing funciona, ponto. E os agentes de ameaças nunca deixarão de aproveitar os métodos que os levam ao caminho das explorações bem-sucedidas.
Por quê? Esses ataques são direcionados a pessoas, e nós adoramos uma boa história. De fato, alguns argumentam que toda a humanidade é movida por histórias. Para que esses ataques funcionem, os agentes cibernéticos têm apenas uma tática a ser empregada, que é a autenticidade. A autenticidade visual está mais diretamente ligada ao phishing de falsificação de marca e a autenticidade organizacional está mais ligada ao phishing de comprometimento de e-mail empresarial (BEC).
O primeiro objetivo é alcançar a autenticidade, por exemplo, visar marcas comumente conhecidas para tornar cada vez mais difícil para as pessoas saberem o que é genuíno ou malicioso. Um exemplo: os invasores de e-mail na maioria das vezes(51,7%) se fizeram passar por uma das 20 marcas globais mais conhecidas. Essas marcas são populares e têm grande interação com as organizações, com a Microsoft em primeiro lugar na lista, ao lado de outras empresas como Google, Amazon, Facebook e Organização Mundial da Saúde.
Os agentes de ameaças também capitalizam e se aproveitam de eventos mundiais de grande escala ou de tendências ligadas a marcas. Por exemplo, quando há uma Copa do Mundo, há campanhas que aproveitam os ativos relacionados à Copa do Mundo. Quando há uma Cúpula do G20, há campanhas que alavancam os ativos relacionados ao G20. Quando a Covid-19 se tornou realidade, houve uma série de ataques que aproveitaram as tendências relacionadas à Covid-19. De certa forma, os agentes de ameaças são incrivelmente previsíveis, com eventos físicos que transcendem o ciberespaço. Em última análise, isso ressalta que o phishing, como qualquer ataque, explora os caminhos que são o elo mais fraco, nesses casos, a inclinação humana inerente de confiar.
Quando os agentes de ameaças se disfarçam de legítimos, seu segundo objetivo principal, enganar as vítimas para que cliquem em links ou baixem arquivos nocivos, pode ser facilmente alcançado. É natural querer interagir com um link ou arquivo oportuno de alguém que você acha que conhece. No início deste ano, os agentes de ameaças aproveitaram o caos provocado pelo colapso do Silicon Valley Bank para atacar os clientes. Em uma ampla campanha de phishing, os agentes de ameaças se fizeram passar pelo SVB para enviar "links" com o tema DocuSign que, quando clicados, levavam os usuários a uma complexa cadeia de redirecionamento de propriedade do invasor.
Os riscos para combater ataques de phishing nunca foram tão altos. E, embora o problema possa parecer intransponível, há três ações principais para fortalecer a postura de segurança de qualquer organização:
1. Implementar ferramentas modernas de prevenção
Um e-mail fraudulento tem o poder de causar danos significativos a uma organização, sendo que as ferramentas padrão de segurança da caixa de entrada de e-mail não são viáveis para combater esses ataques. Entre 2013 e 2015, o Facebook e o Google perderam US$ 100 milhões após se tornarem vítimas de um golpe de fatura fraudulenta, no qual um ataque de ameaça enviou uma série de faturas de vários milhões de dólares replicando o fornecedor das gigantes de tecnologia. Em 2016, a fabricante austríaca de peças aeroespaciais FACC perdeu US$ 47 milhões quando um funcionário transferiu dinheiro acreditando em um esquema de phishing que se fazia passar pelo CEO da empresa.
Os agentes de ameaças frequentemente usam provedores populares (por exemplo, Microsoft e Google) para originar seus ataques, o que lhes permite evitar as verificações de autenticação normais. O procedimento atual de segurança de e-mail exige que várias camadas de proteção sejam implementadas antes, durante e depois que as mensagens chegam à caixa de entrada. Embora os padrões de autenticação SPF, DKIM e DMARC sejam uma etapa essencial na proteção, por si só, eles não oferecem uma proteção abrangente contra ataques de phishing. Esses padrões não foram projetados para detectar a presença de e-mails e/ou links perigosos que são típicos de ataques de phishing. O que é comprovado pelo fato de que 89% das mensagens indesejadas são liberadas por essas ferramentas.
A chave para combater e acompanhar as táticas modernas de phishing é adotar uma mentalidade de violação presumida: nunca confiar, sempre verificar. As organizações devem implementar um modelo de segurança Zero Trust para todos os e-mails. Implementar a autenticação multifatorial resistente a phishing, aumentar a segurança de e-mail em nuvem com várias barreiras antiphishing e equipar os funcionários com ferramentas seguras são elementos essenciais para atingir esse objetivo.
2. Atacar o problema de frente
Quando os processos e as ferramentas não funcionam, a tendência natural é investir mais recursos no problema: mais pessoas, tempo e dinheiro. Essa é a atitude errada, pois tomar medidas reativas significa que já é tarde demais. Veja os filtros de spam, por exemplo, embora tenham sido o foco principal da segurança de e-mail em um determinado momento, eles são apenas a ponta do iceberg do que é necessário para combater proativamente os ataques de phishing.
A categorização das ameaças de phishing em diferentes grupos, embora bem-sucedida em outros contextos, é ineficaz quando se tem uma visão holística do phishing com o objetivo de enfrentar o problema. Muitos relatórios de phishing do setor dividem o espaço de forma granular, como se estivessem abordando e resolvendo cem problemas diferentes, a mesma ameaça sendo discutida de cem maneiras diferentes pode tornar difícil a abordagem de uma solução. Uma abordagem abrangente é essencial e, conforme comprovado pelo número crescente de ataques, a combinação de dados não leva a uma solução. Com 90% dos tomadores de decisões de segurança concordando que o tipo e o escopo das ameaças de phishing estão se expandindo, fica claro que é preciso haver uma estratégia holística e simplificada para proteger nossos ambientes digitais.
3. Transformar a inteligência em sucesso tático
O cenário da segurança cibernética está repleto de soluções que prometem maior segurança. No entanto, muito poucas abordam com eficácia o problema agravado do phishing, ao qual nenhuma organização está imune. Somente em 2022, a Cloudflare detectou mais de 1,4 milhão de ameaças de BEC, o dobro do volume em comparação com 2021, com 71% das organizações sofrendo uma tentativa ou um ataque real de comprometimento de e-mail empresarial.
Esses dados mostram que o phishing permeia todos os setores, desmantelando efetivamente os investimentos tradicionais em segurança com o clique de um único link. Os usuários são mais suscetíveis a clicar em links do que a fazer download de um arquivo, pois percebem o link como uma forma mais autêntica de comunicação. Os agentes de ameaças capitalizam repetidamente sobre essa fraqueza humana, o que levou os links maliciosos à categoria mais comum de ameaças, comprometendo 35,6% de todas as ameaças detectadas. Esses links e arquivos podem levar à coleta de credenciais, à execução remota de código que permite que o invasor instale malware ou ransomware, roube dados ou realize outras ações e, por fim, a um comprometimento total da rede, bastando assumir o controle de uma única estação de trabalho.
Como o phishing continua aumentando, os líderes empresariais devem aproveitar os pontos de dados para implementar soluções. Isso garante que os recursos sejam alocados adequadamente para a defesa proativa contra violações resultantes de ataques de phishing bem-sucedidos. Os dados deixam claro que o phishing é um problema enorme para empresas de todos os portes, mas há respostas específicas sobre como aplicar recursos para evitar que os ataques de phishing causem danos irreversíveis.
Nem tudo é desesperador: modernizar a luta contra o phishing
O ecossistema digital está em constante evolução, e a capacidade de se manter um passo à frente dos ataques de phishing exige uma abordagem direta e proativa. As organizações podem proteger os e-mails com um modelo de segurança Zero Trust para que nenhum usuário ou dispositivo tenha acesso completo e confiável a e-mails ou outros recursos da rede. As organizações podem integrar vários controles antiphishing à segurança de e-mail em nuvem para abordar áreas de alto risco de exposição a ataques e implementar ferramentas de segurança de MFA resistentes a phishing.
A pilha de tecnologia é tão importante quanto abordar sua própria cultura organizacional: as equipes de grandes organizações têm suas próprias ferramentas preferidas, portanto, atender aos funcionários onde eles estão, tornando as ferramentas que eles já usam mais seguras, ajuda a evitar possíveis ataques de phishing. Incentivar uma abordagem transparente e isenta de culpa do tipo "veja algo, diga algo" para denunciar atividades suspeitas é fundamental, pois os minutos entre a denúncia de uma atividade suspeita e a ação são críticos.
Ao implementar soluções técnicas modernas, enfrentar o problema de frente e aproveitar as soluções orientadas por dados, as organizações podem se libertar das soluções provisórias e proteger de forma ampla a si mesmas e seus dados contra ataques de phishing. Essas soluções requerem uma abordagem multifuncional, combinando medidas técnicas com conscientização organizacional para criar uma defesa formidável contra a ameaça insidiosa do phishing.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Para saber mais sobre as últimas tendências de phishing, obtenha o Relatório sobre ameaças de phishing mais recente.
Autoria
Oren Falkowitz — @orenfalkowitz
Diretor de segurança, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
O phishing ainda é o vetor inicial de nove em cada dez ataques cibernéticos
89% das mensagens indesejadas foram liberadas pelo SPF, DKIM e DMARC
Três ações principais para fortalecer a postura de segurança de qualquer organização
Recursos relacionados: