Truques de phishing que realmente funcionam - e como evitá-los

15 DE DEZEMBRO DE 2020 0BEC , Phishing

Receba as últimas notícias de segurança em sua caixa de entrada.

Anterior : Minisódio especial: “20 anos de ciberameaças que moldaram o infosec” [Podcast]

Próximo : Naked Security Live - Como evitar golpes de e-mail de “grandes marcas”

CO-AUTORIA DE

Juan Badell e Russell Petrich

Como duas pessoas para as quais a criação de e-mails de phishing constitui emprego legítimo (estamos na equipe de produto por trás do serviço de simulação de phishing da Sophos Phish Threat ), sabemos que somos a minoria.

Como nossos colegas não tão legais, passamos nossos dias usando técnicas de engenharia social para enganar as pessoas para que abram mensagens maliciosas e cliquem em links que deveriam ser deixados de lado.

Compreender a abordagem dos invasores ajuda a identificar um e-mail de phishing quando ele chega à sua caixa de entrada.

Tendo escrito e rastreado o desempenho de centenas de e-mails de phishing simulados, gostaríamos de compartilhar nossa abordagem para que você possa levantar a bandeira vermelha rapidamente.

Em geral, existem quatro etapas principais pelas quais os phishers passam ao criar e-mails de phishing convincentes, e compreender essas etapas ajuda a identificá-los e impedi-los.

Etapa 1: Escolha seu alvo

Diferentes pessoas caem em diferentes truques, portanto, quanto mais informações você tiver sobre seu alvo, mais fácil será criar uma isca de phishing convincente.

O público pode ser amplo, por exemplo, usuários de um determinado banco ou pessoas que precisam fazer uma declaração de imposto de renda, ou pode ser muito específico - como uma função específica dentro de uma organização ou até mesmo um indivíduo específico.

De qualquer forma, nós - como nossos adversários - sempre temos um público em mente para cada ataque.

Etapa 2: escolha os gatilhos emocionais (selecione sua isca)

Os invasores mexem com nossas emoções para nos fazer cair em seus golpes. Aqui estão três gatilhos emocionais que os phishers costumam explorar para prendê-lo - às vezes, usando-os em combinação para aumentar sua chance de sucesso:

• Curiosidade . Os humanos são naturalmente curiosos e os phishers abusam disso fazendo você querer saber mais. “Quer saber o que aconteceu a seguir?” Tudo que você precisa fazer é clicar no link ou abrir o anexo ...

Este phishing visa explorar a curiosidade das pessoas sobre um cachorro perdido.

• Espero . O abuso de esperança por phishers pode variar de mensagens gerais sobre ganhos inesperados de prêmios e oportunidades de namoro a e-mails específicos referentes a ofertas de emprego, aumentos salariais e muito mais.

Este phishing explora a esperança de uma promoção ou aumento salarial.

• Necessidade . Os phishers costumam usar uma isca de segurança cibernética - fingindo que você sofreu uma violação de segurança - para fazer parecer que você simplesmente precisa agir agora.

Este phishing diz que você precisa alterar sua senha ou você não conseguirá fazer seu trabalho.

Etapa 3: construir o e-mail (isca o anzol)

Em seguida, precisamos construir o e-mail. Como nossos colegas criminosos, muitas vezes tentaremos obscurecer seu julgamento usando um ou mais dos gatilhos emocionais listados acima para fazer com que você execute uma ação específica sem pensar primeiro.

Essa ação pode ser tão simples quanto clicar em um link ou tão complicada quanto iniciar uma transferência eletrônica.

Um truque inteligente para escrever um e-mail de phishing eficaz é tornar a ação que você deseja que o alvo execute inevitável, mas não necessariamente óbvia.

Por exemplo, um invasor pode enviar a você um e-mail que parece conter links clicáveis ​​para produtos para perda de peso. Na parte inferior do mesmo e-mail, o invasor também inclui um link clicável “cancelar inscrição”. Mas aqui está o problema: clicar no link “cancelar” leva você exatamente ao mesmo lugar que clicar em qualquer outro link do e-mail.

Dessa forma, o invasor apresenta a você a ilusão de uma escolha, garantindo que ele faça com que você clique no link que deseja, independentemente de onde você fizer isso no e-mail.

Etapa 4: enviar o e-mail (lançar a linha)

Finalmente, o e-mail de phishing precisa ser entregue aos alvos. Existem várias maneiras de um invasor fazer isso. Eles podem simplesmente criar uma nova conta de e-mail em um serviço genérico como o Gmail e enviar a mensagem usando esse endereço de e-mail, ou podem ser um pouco mais complicados sobre isso.

Às vezes, os invasores compram nomes de domínio não registrados que se parecem com um domínio legítimo, mudando a grafia ligeiramente de uma forma que não é óbvia, como escrever c0mpanypara company(letra O alterada para dígito zero) ou vvebsitepara website(dois Vs adjacentes usados ​​para W) .

Eles então enviarão o e-mail de phishing usando esse domínio semelhante, na esperança de que os usuários que estão com pressa não notem a diferença sutil.

Também é possível que invasores comprometam uma conta de e-mail que pertence a uma fonte legítima e a usem para enviar uma mensagem fraudulenta. Isso é comumente referido como Business Email Compromise (BEC) e significa que até mesmo o endereço de e-mail de um colega de trabalho pode ser usado por um invasor para fazer phishing.

Como impedir ataques de phishing

Mesmo que um e-mail de phishing chegue à sua caixa de entrada, ele ainda exige que você execute alguma ação específica - clicar em um link ou abrir um anexo - antes de ter sucesso.

Portanto, saber o que procurar e o que fazer se você vir algo suspeito tem um grande impacto.

Aqui estão algumas etapas para ajudar a reduzir o risco de phishing. Embora tenham sido escritos principalmente com organizações em mente, muitos também são igualmente relevantes em nossas vidas pessoais:

• Eduque através da exposição segura. No local de trabalho, expor periodicamente os usuários a ataques simulados de phishing oferece a eles a oportunidade de interagir com uma versão realista, mas inofensiva, do que poderia ter sido um ataque real. Isso permite que as pessoas cometam erros e aprendam com eles enquanto as apostas são baixas, preparando-as para lidar com ameaças reais quando as apostas são altas. A variedade é importante aqui e recomendamos fortemente que as mensagens variem em detalhes, como duração, tópico, tom, estilo e a hora em que foram enviadas.
• Analise sua cultura de segurança. Se você executar simulações de phishing em seu local de trabalho, colete o máximo de dados possível, incluindo quantas amostras de cada mensagem foram abertas, se o destinatário clicou em um link ou abriu um anexo e que tipo de dispositivo estava usando no momento (computador ou celular). Isso lhe dará uma imagem poderosa da consciência geral dos funcionários e de onde você pode estar particularmente vulnerável a ataques reais. De posse desses dados, você pode concentrar seus recursos no apoio às áreas e aos funcionários com maior risco.
• Direcione seus esforços de treinamento. Direcione seus esforços de treinamento para departamentos de maior risco. As equipes de finanças, TI e gerenciamento, e aquelas com acesso aos registros do cliente, são alvos de alto valor para os invasores. Não ignore o básico, como lembrar a equipe de questionar por que um e-mail está pedindo que façam algo, de quem é o e-mail e assim por diante. Funcionários distraídos, cansados ​​e ocupados podem ser facilmente apanhados.
• Forneça orientações claras sobre como responder. Certifique-se não só de que sua equipe saiba como denunciar possíveis e-mails de phishing, mas também de que receba uma resposta oportuna quando o fizerem. Lembre-se, se uma pessoa em sua organização recebeu um phishing, há uma grande chance de que outras pessoas também tenham. Quanto mais cedo você puder investigar e agir, melhor.
• Permita a mudança cultural. Promover uma cultura de conscientização e suporte em toda a empresa é uma das coisas mais importantes que você pode fazer. Dê aos funcionários a oportunidade de falhar com segurança e ofereça um caminho claro para relatar e-mails suspeitos. Reconheça e recompense as pessoas que denunciam e-mails de phishing (elogios são importantes) e apóie os funcionários que inadvertidamente caem em um golpe.

Lembre-se de que o objetivo do treinamento de phishing é tornar as pessoas mais cientes das ameaças em potencial e mais propensas a relatá-las.

Apoie e compreenda se você testar alguém e ela cair no seu truque e clicar e deixar claro que você não está tentando pegar as pessoas para colocá-las em apuros.

Mais uma sugestão

O Sophos Phish Threat , o produto no qual trabalhamos, torna mais fácil para você executar programas de phishing simulados, medir resultados e direcionar o treinamento onde for necessário. Você pode experimentá-lo gratuitamente por 30 dias .