Com cada vez mais pessoas vivendo suas vidas digitalmente – e não estamos falando de influenciadores – seus dados precisam ser protegidos. Com inovações constantes em tecnologia, você pode comprar um novo iPhone e usar uma VPN para transmitir programas de TV em seu trajeto. Ou no escritório. Não somos a polícia da produtividade. O que somos é um grupo de viciados em tecnologia que querem ajudá-lo a evitar golpes de phishing.
O que é Phishing?
Não deve ser confundido com o que você faria em uma escapada de fim de semana prolongado para o lago, a definição oficial de phishing é a prática fraudulenta de entrar em contato com indivíduos por e-mail, telefone ou texto enquanto se passa por funcionário de uma empresa respeitável e solicita informações pessoais . Essas informações podem variar de senhas a números de cartão de crédito.
Somente em 2022, vimos vários programas de TV e documentários sobre os golpistas de outrora, também conhecidos como pré-pandemia. WeCrashed da Apple TV+ (o escândalo WeWork), Inventing Anna da Netflix (a falsa herdeira que roubou um jato particular) e The Tinder Swindler (a história de um herdeiro de diamantes falsos), e The Dropout do Hulu (a saga da sanguinária Elizabeth Holmes ), todos apresentam uma imagem de brilho e glamour. Na realidade, se você for vítima de um golpe de phishing, não haverá filme ou programa de TV no futuro, apenas perda de dados preciosos e, em casos graves, dinheiro.
Exemplos comuns de phishing
Embora a maioria de nós assuma que nunca seremos vítimas de um golpe, os golpistas online vêm aprimorando seu ofício há anos. Eles querem que você dê um deslize e divulgue os detalhes privados de sua vida. A Internet é o playground deles e, infelizmente, eles vieram para brincar.
Há mais de um tipo de phishing que essas pessoas sem escrúpulos querem que você seja vítima de:
Phishing de e-mail – e-mails recebidos que parecem ser de uma organização/empresa/pessoa respeitável
Whale phishing, Whaling ou CEO phishing – comunicações maliciosas que parecem ser do CEO ou executivos de alto nível da empresa em que você trabalha
Spear phishing – e-mails que parecem ser pertinentes aos seus interesses (eventos atuais, ofertas de compras etc.)
Angler phishing – um ataque de mídia social em que os golpistas se apresentam como representantes de atendimento ao cliente de empresas respeitáveis
Smishing e vishing – Também conhecidos como SMS-phishing e Voice phishing, são mensagens de texto ou voz de golpistas que fingem ser de empresas respeitáveis
Fraude do aplicativo de pagamento ponto a ponto (P2P) - pede dinheiro do que parece ser de um aplicativo P2P respeitável
Golpes de investimento em criptomoedas – dicas de investimento e e-mails que são de agências de criptomoedas falsas
Ameaças de jogos – comunicações violentas recebidas ao jogar online que dizem respeito à sua segurança cibernética
Links maliciosos – URLs incorporados em e-mails, textos e sites fraudulentos que baixam malware diretamente no seu dispositivo no momento em que você clica neles
Golpes de romance – quando você está conversando com alguém em um aplicativo de namoro que assumiu uma identidade falsa e pede dinheiro (como catfishing, mas com ramificações financeiras)
W2 phishing – comunicações direcionadas aos departamentos de RH e contabilidade de uma empresa que exigem informações financeiras
Doxxing – quando você insere informações pessoais por meio de um link de phishing e os hackers publicam (e armam) dados privados publicando seu nome completo, endereço residencial e outras informações pessoais sem sua permissão
Cuidado com os golpistas
Compre agora, pague depois Sem os protocolos de identificação adequados, os fraudadores se aproveitarão das empresas e compradores que oferecem o BNPL.
Ransomware US$ 590 milhões em golpes relacionados a ransomware foram relatados nos primeiros 6 meses de 2021.
Abuso Digital de Idosos O Covid-19 forçou muitos idosos online a comprar mantimentos, agendar compromissos e conversar por vídeo com suas famílias, dando aos fraudadores uma chance ainda maior de roubo de identidade.
Romance ruim O FBI descobriu que, entre janeiro e julho de 2021, aproximadamente US$ 133 milhões em fraudes se deviam a namoro/romance online.
Fraude criptográfica Cuidado com os investimentos em moeda digital que parecem bons demais para ser verdade. 7.000 pessoas relataram perdas de US$ 80 milhões de outubro de 2020 a março de 2021.
Como prevenir ataques de phishing
Para impedir que os golpistas obtenham nossas senhas, dinheiro e dados privados no trabalho, existem proteções que as empresas podem implementar para seus funcionários.
Secure Email Gateway : um dispositivo ou software usado para monitorar e-mails enviados e recebidos.
Cloud Email Security : soluções de segurança projetadas para evitar golpes de phishing.
Treinamento de conscientização de segurança : iniciativas da empresa que ensinam a equipe a identificar e-mails de phishing e evitar links ou anexos que pareçam suspeitos (incluindo exercícios de phishing e outros treinamentos em tempo real que simulam um ataque real manterão os usuários alertas a fraudes).
A instalação de tecnologias de segurança , como filtros de phishing em aplicativos de e-mail e navegadores da Web, reduzirá as tentativas de phishing, e os bloqueadores de pop-up podem ajudar a impedir outra ferramenta comum usada por fraudadores.
Atualize todas as estações de trabalho e dispositivos com o software mais recente e certifique-se de que todos os patches e atualizações de software sejam instalados assim que forem lançados. Certifique-se de que os sistemas operacionais em todos os dispositivos estejam atualizados com a versão mais recente.
Considere a automação . Novas ferramentas alimentadas por inteligência artificial e aprendizado de máquina podem rastrear e-mails procurando padrões reveladores que mostrem fraude.
Previsões futuras de phishing: o que esperar em 2022
Algumas estatísticas e tendências de phishing alarmantes mostram que essa ameaça não está diminuindo.
Apenas 16% das organizações passaram o ano passado sem sofrer pelo menos um incidente de phishing ou ransomware, de acordo com a Osterman Research .
Muitas organizações sofreram vários ataques no ano passado e 70% esperam que seus negócios sejam interrompidos este ano por uma ameaça de segurança cibernética transmitida por e-mail em 2022.
Por uma contagem, janeiro de 2021 quebrou recordes mensais de estatísticas de phishing em todo o mundo, com 245.771 ataques relatados ao Anti Phishing Working Group (APWG).
Os defensores ainda estão brincando com os bandidos. No relatório Osterman, apenas 45% dos entrevistados se sentiram confiantes de que todos os funcionários em sua organização poderiam reconhecer e-mails de phishing, mas sua confiança caiu para 34% quando perguntados sobre sua capacidade de detectar smishing, vishing, aplicativos não autorizados e anúncios pop-up maliciosos conectados.
Sites de compras falsificados
As férias são para passar tempo com os entes queridos e, claro, comprar presentes. No entanto, sites de compras falsos aparecem como cabelos grisalhos. Você pode cobrir os cinzas com tinta, mas eles ainda estão escondidos por baixo. E como um trabalho de tintura profissional, alguns dos sites falsificados parecem tão legítimos que é difícil dizer quais são fraudes e quais são reais. Um site falsificado pode aparecer em alta nos resultados do mecanismo de pesquisa do Google, por isso sugerimos verificar o URL e as avaliações de qualquer site em que você fizer compras antes de fazer uma compra.
Troca de SIM
A troca de SIM é uma nova maneira sorrateira de contornar sua autenticação em duas etapas para serviços bancários móveis. Pessoas más ligam para sua operadora de celular, fingem que são você para que seu número de telefone seja transferido para o telefone delas. Isso permite que eles roubem sua senha, mas tenham o número de telefone para anular a autenticação de fator duplo.
Quais indústrias estão em risco?
Assistência médica Os cibercriminosos adoram roubar registros médicos e mantê-los como reféns. Recuperar um único registro perdido/roubado pode custar até US$ 408.
Fabricação Malwares como ladrões de senhas são para os criminosos o que o ar é para nós – os mantém vivos. Quase 25% da atividade hostil na indústria manufatureira está relacionada ao reconhecimento (ou seja, roubo de dados confidenciais).
Finança Inclusão de arquivos locais (52%), ataques de injeção de SQL (33%) e ataques de script entre sites (9%) compõem as 3 principais ameaças que assolam o setor financeiro.
Educação Em 2020, o ransomware médio em instituições de ensino médio foi de US$ 447.000. Desde 2021, os hackers têm um novo objetivo: extorquir instituições científicas para ter acesso a dados de pesquisas de vacinas.
O custo do crime cibernético
De acordo com o editor-chefe da Cybercrime Magazine, Steve Morgan, o custo do phishing e outros comportamentos online perigosos nos custará globalmente. Em 2021, os danos desses crimes totalizaram aproximadamente US$ 6 trilhões. Espera-se que isso suba para US $ 10,5 trilhões anualmente até 2025. Esse é um grande salto em relação aos US $ 3 trilhões em danos relatados em 2015.
Quem está sendo phishing?
Golpistas não discriminam. Eles não veem raça, renda ou localização. Tudo o que eles veem são sinais de dólar em potencial. No entanto, o American Journal of Public Health estima que 5% da população idosa (cerca de 2 a 3 milhões de pessoas) são vítimas de golpes de phishing a cada ano.
Por que o 65+ é um alvo tão fácil? Você não precisa estar em seus anos dourados para entender o isolamento. Se a pandemia nos ensinou alguma coisa, além da eficácia das vacinas, ficar sozinho por longos períodos de tempo é uma merda. A solidão, a reclusão e a incapacidade de fazer o que você amou podem afetar nossa psique e, por sua vez, nos tornamos vulneráveis a golpes.
Para sua avó idosa, um e-mail que parece ser seu, será aberto. Ela sente sua falta! Quando a vovó percebe que você não enviou o e-mail pedindo dinheiro para comprar um carro novo, já é tarde: os golpistas já roubaram seus dados pessoais e podem usá-los para fraudar sua identidade. Eles vão abrir cartões de crédito no nome dela e estourá-los mais rápido do que você pode dizer: “Vovó, não abra esse e-mail!”
Outro fator usado pelos bandidos para conseguir o dinheiro dos avós é o ângulo do constrangimento. Os golpistas sabem que os idosos são menos propensos a tomar medidas legais depois de serem vítimas de phishing porque têm vergonha de terem sido enganados.
Phishing para sua identidade
Falando em identidade da vovó, de acordo com a Federal Trade Commission, os estados com maior roubo de identidade durante o primeiro ano da pandemia são:
Califórnia 147 382
Illinois 135 038
Texas 134 788
Flórida 101 367
Geórgia 69 487
Califórnia e Illinois têm governadores democráticos, enquanto Texas, Flórida e Geórgia são governados por republicanos. Como dissemos, os golpistas não discriminam. Eles não se importam em como você vota ou em quem você vota, eles encontrarão uma maneira de pegar você.
Tipos de golpes que seus avós podem encontrar
Além do roubo de identidade, diga aos membros mais velhos de sua família que tomem cuidado com:
Ganhar sorteios/loterias/férias gratuitas :
o vovô recebe um e-mail, uma mensagem de texto ou vê um pop-up em seu site de caça favorito para uma loteria ou um cruzeiro. Ele não consegue se lembrar se entrou ou não (ele não entrou), então clica e é tentado a inserir suas informações bancárias ou transferir dinheiro. Desculpe vovô, mas os únicos que estão viajando são os golpistas que usaram seu dinheiro para comprar um Porsche.
Medicamentos prescritos falsificados :
Todos nós queremos pagar menos por serviços médicos. Mas, para sua tia May de 78 anos, que tem diabetes, uma oferta para obter medicamentos prescritos mais baratos (ou até mesmo gratuitos) é o seu beco. Ela clica no link e bam, o golpista tem seus dados pessoais. Em casos graves, os golpistas podem enviar à sua tia um frasco de pílulas que parecem o verdadeiro negócio para manter a farsa.
Ganho anti-envelhecimento falso :
Tio Ronnie tem rugas e não é tão bonito quanto costumava ser. Ele vê um e-mail ou anúncio de creme antirrugas especificamente para homens. O que acontece quando ele clica nele e baixa o formulário de pedido? Ele fica ainda mais enrugado, desta vez pelo estresse de ter um malware instalado sem saber em seu laptop.
Sugar Babies :
Não julgamos quem usa esses serviços para manter um pagamento consensual por uma relação de prazer. Mas tenha cuidado, esses sites são excelentes para os phishers se passarem por pessoas reais que procuram dinheiro em troca de hangouts NSFW. Para seu desavisado e recém-viúvo tio Milton, receber uma mensagem do que ele supõe ser uma boa senhora procurando uma conexão é o estímulo que ele precisava. Aquela senhora simpática pode não ser uma dama e quando Milty lhe enviou $ 500 para comprar um vestido novo para o primeiro encontro, ele não tinha apenas dinheiro, mas suas informações privadas.
Golpes de emprego :
este é para todos os boomers que se aposentaram e perceberam que sentem falta de trabalhar. Golpes de emprego prometem empregos que não existem. A empresa parece respeitável – afinal, eles têm um site! – mas na verdade, eles não são reais. Alguns golpistas chegam a realizar “entrevistas de emprego” com aposentados nouveau para manter as aparências. Após a entrevista, eles o contratam e você preenche formulários de RH.
Desenvolvendo um perfil criminal para phishers
Compreender a vitimologia por trás do phishing é importante. Ainda assim, é apenas metade do trabalho. Para parar um phisher, você precisa pensar como um phisher. Quem são eles? Qual é o motivo para seus crimes de phishing?
Acontece que o phishing é a evolução do phreaking . Phreaking foi o nome dado aos hackers de telecomunicações. Phishers são apenas as represálias cyber punk de ladrões de identidade clássicos. Se nos concentrarmos nisso, podemos formar um perfil criminal que ajudará a entender melhor a motivação por trás dos phishers.
O Departamento de Justiça dos EUA passou décadas explorando e desenvolvendo perfis criminais para ladrões de identidade em geral.
Da mesma forma, o Center for Identity Management and Information Protection perfilou dados de casos federais de 2008-2013 estudando roubo de identidade , publicados em 2015.
Phishers pelos números (o que o estudo nos diz):
7% dos infratores de roubo de identidade em 2007 tinham entre 25 e 34 anos
7% dos infratores observados neste estudo eram residentes legais nativos dos Estados Unidos
Apenas 6,1% dos criminosos de roubo de identidade naquela época eram estrangeiros ilegais
Um terço dos ladrões de identidade eram do sexo feminino, o que significa que os homens predominaram nas estatísticas de ladrões de identidade em 2007
Mais ladrões de identidade operaram como parte de uma rede de golpistas do que como uma única pessoa
Golpes de phishing têm uma taxa mais alta de alvos individuais devido ao melhor acesso à Internet ao longo dos anos, permitindo que os golpistas procurem uma pessoa dentro de uma empresa cujo comprometimento levaria toda a entidade para o golpe
Muitas vezes, as fraudes de identidade eram uma equipe de marido/esposa
Os grupos que se envolveram em ataques de identidade com estilo de phishing neste estudo executaram anéis de fraude de compradores
Muitas vezes, as vítimas de roubo de identidade eram estranhas ao ladrão, mas a atualização da era de 2015 para este estudo mostrou que muitas vezes a relação entre agressor e vítima era cliente e cliente
Sabemos por este relatório que essas pessoas muitas vezes estão agindo como algum grupo de célula de dentro. Eles se beneficiam de contornar o governo e de explorar alvos fáceis.
Lições de phishing dos próprios hackers
Então, agora temos um ataque de vitimologia bastante sólido. Conhecemos as pessoas exatas de que precisamos para treinar pesos pesados para esses incidentes. Também sabemos quais grupos focais precisam ser mais observados e rastreados contra ameaças internas.
Agora, pode ajudar a criar uma metodologia criminal para os próprios ataques. Qual é o detalhamento exato de um golpe de phishing? Estudamos os métodos ensinados pelo Pentest Geek , um grupo de hackers éticos que usa cenários e hackers simulados para atuar como um simulacro de incêndio para equipes de negócios. Eles têm um guia completo para o processo de ataque de phishing que foi publicado em 18 de setembro de 2019.
O processo passo a passo para um ataque de phishing comum é assim:
Enumere os endereços de email
Os hackers determinam para quem eles querem que seus emails incompletos sejam enviados usando um serviço como o Jigsaw.com. Este serviço involuntariamente dá aos phishers acesso a dados automaticamente que eles podem exportar para arquivos CSV.
Fuja dos sistemas antivírus
O phisher vai estudar seu sistema antivírus como um aspirante a advogado se preparando para os LSATs. Eles aprenderão com que sistema estão lidando e encontrarão um ponto fraco.
Uso de filtragem de saída
Tempo para o phisher escolher uma carga útil! Alguns dos favoritos são reverse_https ou reverse_tcp_all_ports e reverse_tcp_all_port. Eles agem como escutas telefônicas escutando em uma única porta TCP. Em seguida, o sistema operacional redireciona todas as conexões de entrada em todas as portas para a porta de “escuta”. Os sistemas de prevenção de intrusão têm dificuldade em detectar a presença maliciosa porque se parece com o tráfego HTTPS normal.
Escolha um cenário de phishing por e-mail
O hacker encontrará um modelo e um cenário que funcionará como a isca de e-mail perfeita, visando funções de gerenciamento de credenciais, como RH ou finanças. Eles postarão e-mails que parecem ter vindo da rede bancária das empresas. Esses e-mails serão rotulados como relatórios “urgentes” que precisam da atenção imediata da vítima.
Servidores proxy da Web Sidestep
Os hackers identificarão quais servidores proxy da Web sua vítima alvo está usando. O servidor proxy da Web impedirá que a rede comercial visite determinados sites. Alguns desses sistemas estão até equipados com proteção antivírus. Isso significa que o servidor proxy da Web pode impedir que a vítima baixe o executável que o phisher enviou. O phisher terá que encontrar uma maneira de contornar isso para obter o que deseja comprando um certificado SSL válido para o site malicioso.
Envie as mensagens de phishing
Spoofs em você! Os hackers podem falsificar um e-mail ou podem comprar um domínio real para tornar o ardil ainda mais convincente. O hacker então entrará no código de sua conta de e-mail recém-criada e alterará todas as informações de identificação “Quem é”. Eles usarão esse código para executar uma rotina de impostor convincente na Web para seu golpe de phishing. Eles terão que executar uma verificação de correspondência no site que desejam impostor para garantir que tudo reflita legitimamente. Isso tem que parecer o mais real possível.
O futuro do phishing
A fraude de anúncios digitais está nascendo como o sol da manhã. Atualmente, a indústria de publicidade perde aproximadamente US$ 51 milhões por dia com fraudes de anúncios. A previsão é de que esse número aumente em US$ 100 bilhões anualmente , de acordo com a Bloomberg .
Além das estatísticas acima, as previsões de phishing parecem sombrias:
Até 2031, o ransomware custará às vítimas cerca de US$ 265 bilhões por ano.
Em 2021, estima-se que uma organização sofra ransomware a cada 11 segundos. Em 2031, espera-se que esses ataques ocorram a cada dois segundos.
Considerações finais: Phish não é o que há para o jantar
O phishing não vai a lugar nenhum tão cedo porque a fraude de informações veio para ficar. É um pouco lamentável, mas, no entanto, uma equipe bem treinada tem pouco a temer.
Você pode proteger seus dados pessoais com uma rede privada virtual (VPN) ao navegar online. Embora você não possa fazer isso no local de trabalho, pode usar uma VPN em seus dispositivos pessoais para garantir que seus dados sejam protegidos. Além disso, a autenticação de dois fatores (2FA) é fundamental. Você deve ativar o 2FA em qualquer dispositivo ou serviço que exija login.
Também sugerimos entrar em contato com seu departamento de TI se você estiver preocupado com violações de dados relacionadas ao trabalho. Quanto aos seus dados pessoais, NÃO CLIQUE EM LINKS SUSPEITOS. Se algo parece bom demais para ser verdade, é.
0 Comentários