eu sou phisher residente do White Ops. Como membro da equipe de InfoSecurity, é meu trabalho garantir que tudo o que fazemos seja seguro e livre de cibercriminosos para que possamos lutar por você. Para fazer isso, eu implante tentativas falsas de phishing nos próprios Humanos do White Ops, não para envergonhá—los quando eles clicam em um link (embora às vezes se saiam por frustração), mas para mostrar o quão realista—humano, até-uma tentativa de phishing pode aparecer. Embora devamos permanecer particularmente vigilantes, dada a nossa linha de trabalho, o phishing pode atingir qualquer pessoa. Phishing é um ataque de engenharia social de baixo risco e alta recompensa que usa comunicação eletrônica para explorar um usuário final para fornecer informações pessoais ou clicar em links maliciosos.
sem a alfabetização adequada sobre como detectar tentativas de phishing, você pode se abrir para todos os tipos de malware e comportamento fraudulento. Especialmente porque o phishing percorreu um longo caminho desde os infames golpes de príncipe estrangeiro. Os cibercriminosos evoluíram suas táticas, tornando ainda mais difícil pegar um phish.
existem diferentes tipos de phishing?
Phishing não é apenas um tipo de ataque, é uma categoria de ataques. Há ataques de spear phishing, smishing, vishing e whaling:
Spear Phishing é um phish direcionado geralmente voltado para um usuário ou organização específica. Para fazer isso, os fraudadores usam informações pessoais que podem ser descobertas on-line para entrar em contato com você. Essas informações podem ser encontradas em áreas da internet que estão disponíveis gratuitamente, como nas mídias sociais. Estes normalmente assumem a forma de E-mails, como a Figura 1. Você pode ver que o e-mail é vago e urgente para atrair alguém a clicar.
Figura 1: Exemplo de um e-mail de spear phishing
Smishing é um phish SMS que geralmente pede que você faça algo, como fornecer algum tipo de informação pessoal ou clicar em um link. Este phish é particularmente enganoso porque as pessoas são mais propensas a confiar em uma mensagem de texto versus um e-mail. Na Figura 2, você pode ver o quão inócuo de um texto eles podem ser. Normalmente, um ataque smishing terá uma solicitação muito ampla para que você baixe um aplicativo malicioso ou acesse um site falso onde você deve inserir dados PII (informações pessoais identificáveis).
Figura 2: Um exemplo de Smishing
Vishing é um phish que ocorre por telefone, onde os fraudadores estão pedindo que você forneça algum tipo de informação pessoal. O aumento da tecnologia VOIP tornou mais fácil para os adversários falsificar IDs de chamadas. Vemos esse ataque acontecer muito onde os fraudadores fingem ser o IRS dizendo que você deve dinheiro a eles ou você vai para a cadeia. Eles fazem isso para obter números de segurança social ou qualquer um dos seus dados PII. A caça às baleias é um tipo de ataque de spear phishing mais focado em alvos de alto perfil. Com outros tipos de phishing, o alvo é um grupo de pessoas – não se trata de cada indivíduo. A caça às baleias dobra para baixo em pessoas específicas e tem como alvo. É chamado de Caça à baleia porque eles estão atrás de alvos maiores, como executivos de alto nível. Normalmente, os fraudadores fingem que são um executivo de nível superior para fazer com que as pessoas divulguem informações confidenciais da empresa. Por exemplo, eles terão como alvo um VP fingindo ser o CEO. A figura 3 mostra uma tentativa de caça às baleias dirigida a um funcionário da White Ops. O phish usa urgência tanto no idioma quanto ao parecer do Co-fundador do White Ops, Tamer Hassan. Marcas adicionais incluem a gramática wonky, letras perdidas e capitalização incorreta do “iPhone.”Este é um phish bastante óbvio para nós, já que Tamer não pediria às pessoas que fizessem “recados” por ele.
Figura 3: Exemplo de tentativa de caça às baleias que um funcionário da White Ops recebeu.
o que devo procurar?
felizmente, depois de aprender as marcas das tentativas de phishing, elas se tornam mais fáceis de detectar e relatar. Há vários elementos que você deve verificar antes de clicar em qualquer link:
- Suspeito endereços de e-mail: Se você receber um e-mail do Linkedin, você seria de esperar que venha de um linkedin.com domínio não [email protected]. Verifique sempre o “responder para” e-mail para encontrar remetentes falsificados.
- links suspeitos no e-mail / SMS: você pode determinar a legitimidade do link passando o mouse sobre ele antes de clicar. Ao analisar o URL, verifique se ele começa com um https: / / não http://. Você também pode verificar o certificado do site para ver para quem ele é emitido. Um link fraudulento geralmente se parece com XYZ
- erros gramaticais: sempre verifique se há erros gramaticais, não apenas erros de ortografia.
- desnecessariamente Urgente: os Phishers adoram pedir que você faça algo agora ou então. Se isso está clicando em um link ou respondendo a um e-mail, eles querem que você aja o mais rápido possível. Eles fazem isso para tentar assustá-lo ou ameaçá-lo, como fechar uma conta ou confirmar atividade. Saudações genéricas: o e-mail pode começar com Querido Senhor ou senhora ou querido usuário, que não é como as pessoas normalmente falam umas com as outras ao escrever e-mails. Geralmente não é personalizado, a menos que seja spear phishing.
- ofertas que são boas demais para serem verdadeiras: isso é porque elas são! Não responda ou clique em nenhum link nesses e-mails.
Como posso me proteger?
é possível ser proativo na proteção de suas informações contra ataques de phishing.
- fique de olho nas notícias: novas formas de phishing estão evoluindo a cada dia e os principais ataques geralmente serão cobertos. Se você sabe o que procurar, pode ser mais fácil detectar esses tipos de ataques. Se você não tem certeza se algo é um phish, copie um pedaço de texto do corpo do E-mail e cole-o em uma pesquisa para ver se é um e-mail de phishing conhecido. Atualize seu sistema operacional regularmente: os invasores tentam aproveitar vulnerabilidades conhecidas em sistemas, por isso é do seu interesse manter-se atualizado sobre as atualizações de segurança mais recentes em todos os seus dispositivos. A melhor solução é habilitar atualizações automáticas em todos os seus dispositivos para garantir que você esteja no sistema operacional mais recente e melhor. Além disso, certifique-se de que seu navegador de escolha também seja atualizado automaticamente.
- não abra anexos ou links: isso é especialmente importante ao receber um e-mail de um remetente desconhecido. Se você não conhece o remetente, não abra o anexo. Os exemplos podem incluir anexos. Excel, Word ou Powerpoint de PDF. Além disso, certifique-se de passar o mouse sobre o link e determinar a legitimidade do link antes de clicar.Ativar firewalls: ative o firewall em seu dispositivo e rede para garantir que você filtre invasores externos.
- evite atender chamadas desconhecidas: é uma boa prática não atender uma chamada de um identificador de chamadas desconhecido. Nunca forneça informações pessoais por telefone, especialmente se elas parecerem irrealisticamente urgentes.
- faça backup regularmente de seus dispositivos: caso seu dispositivo esteja comprometido, é uma boa prática restaurar a partir de um bom backup conhecido. Entre em contato com o remetente real: Se você recebeu um e-mail suspeito de um amigo próximo, parente ou empresa, entre em contato com eles para ver se a mensagem deveria ser enviada. Você pode estar fazendo um favor a eles, mostrando como eles podem estar potencialmente comprometidos.
eu me apaixonei por um phish, o que faço agora?
não entre em pânico! Se você acredita que suas credenciais foram comprometidas, alerte sua equipe de liderança ou segurança o mais rápido possível, acesse os sites nos quais você usa essas credenciais e altere-as. Além disso, habilite 2FA (autenticação de dois fatores) se ainda não o fez. Use um gerenciador de senhas e certifique-se de ter senhas exclusivas em todos os sites que você usa e ative o 2FA em qualquer site que o ofereça, você também deve verificar todas as suas contas on-line para ver se há alguma atividade incomum associada a elas.
se essas credenciais forem usadas para uma instituição financeira, eu as contataria imediatamente e explicaria a situação. Considere congelar seu crédito se você está preocupado que o ataque pode ter resultado no acesso às suas informações de segurança social. Use-o como uma oportunidade de aprendizado e ensine à família e aos amigos o que Procurar para que não caiam no mesmo ataque. Se você clicar em um link e acreditar que seu dispositivo está infectado com malware, restaure a partir de um bom backup conhecido ou restaure o dispositivo de fábrica.
mesmo quando alguém faz o seu melhor para estar seguro on-line, eles ainda podem ser pegos em uma rede phish (trocadilho pretendido). Contanto que você siga estas etapas, você estará melhor na próxima vez que um fraudador tentar mexer com você.