A Sophos Whitepaper June 2018

Não caia no IscoPhishing é um grande negócio. Não seja apanhado.

No último ano, ataques de phishing tiveram uma ascensão meteórica com os hackers a continuar a refinar as suas táticas de ataque e partilhar diversos tipos de ataques bem-sucedidos. Em particular, eles aproveitaram as ofertas de malware-as-a-service na “dark web” para aumentar a eficiência e o volume de ataques. De fato, 41% das organizações reportam ataques de phishing.¹

Neste documento, vamos aprofundar a evolução do phishing nos últimos anos, como funciona, e o que parece. À medida que os cibercriminosos continuam a atacar os funcionários através da sua tecnologia, argumentamos a favor da importância de uma defesa por camadas de contra-ataques de phishing: combinação de tecnologias avançadas de segurança com funcionários instruídos e conscientes sobre phishing.

Não caia no Isco

2A Sophos Whitepaper June 2018

Mais do que spam irritanteTradicionalmente o phishing estava associado ao crime de online banking: o atacante envia

um email com objetivo de atrair o utilizador para um website malicioso, um clone do banco

online que utilizador que é alvo do ataque costuma usar, onde irá inserir credenciais num

formulário falso e assim colocando informações confidenciais nas mãos dos criminosos.

Mas o phishing abrange muito mais que falsos sites de Bancos e links para venda

de medicamentos milagrosos que melhoram a sua vida ou entrega de encomendas:

são apenas um isco pendurado à sua frente à espera que o morda, fornecendo-lhes

informações uteis e valiosas.

Phishing é um grande negócioNos últimos anos, o volume de ataques de phishing cresceu dramaticamente, alimentado

pelos serviços da “dark web” como os kits de phishing-as-a-service. Tornou-se

incrivelmente simples, mesmo para o criminoso com menos capacidades técnicas, usar

malware avançado que foram produzidos por alguém muito mais experiente que eles.

Como resultado, ataques de phishing são agora regulares e fazem parte do nosso

quotidiano. 41% dos profissionais de IT reportam que as suas experiências nas suas

organizações são de ataques diários de phishing, enquanto mais de três quartos (77%)

sofrem ataques todos os meses.3

Frequência de ataques de phishing

6%Mensal

15%Raramente

5%Nunca

3%Não sabe

Bisemanal 5%

Semanal 26%

Diária 32%

Horária 9%

A principal força por de trás de ataques de phishing é a recompensa financeira. O

relatório da investigação da violação de dados Verizon 2018 Data Breach Investigations

revela que:

Ì 59% dos ataques são motivados por ganhos financeiros. Isto inclui a coleta de

credenciais para revenda na ‘’dark web”, infetando sistemas com ransomware, ou a

impersonalização de gestores para convencer os funcionários a transferir fundos ou

dados valiosos.

Ì 41% dos ataques ambiciona obter dados de acessos não autorizados. Exemplos

incluem a obtenção do acesso à rede da empresa para roubar dados, ou ganhar controlo

sobre os sistemas.

93%of data breaches include phishing2

Não caia no Isco

3A Sophos Whitepaper June 2018

Dadas as motivações financeiras por de trás da maioria dos ataques, não é surpreendente

que os Cibercriminosos têm muitas vezes como alvo os funcionários que têm acesso às

finanças da empresa, aliciando-os a fazer transferências financeiras para contas bancárias

controladas pelos criminosos. No entanto, também têm como alvo aqueles que gerem

processos do negócio e controlos de IT, abrindo as organizações a uma variedade de

ataques incluindo ransomware e extorsão.4

Departamentos com maior alvo para ataques de phishing

18%

Operações 16%

Compras 15%

Marketing/Promoções 15%

Serviço de apoio ao cliente

Recursos Humanos

22%Vendas

23%IT

40%Administrativo e Gestão

58%Contabilidade e Finanças

Pesquisa e Desenvolvimento

Produção

Distribuição

Não sabe

Legal

6%

6%

3%

14%

8%

15%

Aumento da Eficiência e produtividadeAtualmente, 89% dos ataques de phishing são realizados por crime organizado. Como o

phishing é gerido como um negócio, estratégias de ataque evoluíram de forma a que todos

nós, nos identificamos: como tornar o meu trabalho mais fácil e trabalhar de forma mais

eficiente? Como posso crescer para aumentar o lucro?

Isto levou a um aumento de métodos de distribuição de ataques, com kits de phishing, e

novas formas de ataques como Business Email Compromise (BEC) que procuram como

alvo ativos de elevado valor via engenharia social.

Kits gratuitos de phishing Alguma vez quis que os seus produtos vendessem como o último iPhone? Para a maioria

de nós, se vemos uma ideia que funciona bem – de um amigo, colega ou concorrente –

ficamos tentados a ‘’emprestar’’ a ideia para nós próprios, certo? Bem, a comunidade de

phishing não é diferente. Atualmente, é extremamente organizada.

Uma faceta interessante do ecossistema de phishing é que existem um grande número

de atores a praticar ataques, mas apenas um pequeno número de phishers que são

sofisticados o suficiente para escrever o kit de phishing do zero. Por causa disto, kits de

phishing estão disponíveis para download em fóruns na “dark web” e mercados negros, e

dão aos atacantes todas as ferramentas para criar ataques lucrativos: emails, códigos de

paginas web, imagens, e muito mais.

89%Dos ataques de phishing são elaborados por profissionais de crime organizado

Não caia no Isco

4A Sophos Whitepaper June 2018

Os autores dos Kits procuram lucrar distribuindo os seus kits a utilizadores com menos

conhecimentos técnicos, e ganham dinheiro de duas maneiras: oferecem kits gratuitos que

contêm backdoors para o autor recolher qualquer dado recolhido pelo remetente, ou vender

kits para obter lucro. Os kits com preços mais elevados contêm agora atributos como

painéis de controle para verificar o sucesso da(s) campanha(s).

Ataques-as-a-service Na verdade, os atacantes nem precisam saber como criar malware ou enviar emails. As

soluções as-service e pay-as-you go permeiam a maioria das tecnologias de serviço online,

e o phishing não é diferente – com uma gama de serviços cada vez mais disponíveis para

os atacantes:

Ì Ransomware-as-a-service permite que um utilizador crie uma conta online e preencha

um formulário, incluindo um preço de resgate inicial e um valor para um pagamento

atrasado às vítimas. O provedor do serviço recebe uma parte por cada resgate pago,

com descontos oferecidos se o utilizador conseguir traduzir o código de malware para

novos idiomas ou se o volume do ataque exceder um certo nível.

Satan ransomware - um serviço online que permite os criminosos criar o seu próprio vírus em minutos e começar a infetar sistemas Windows.

Ì Phishing-as-a-service permite que os utilizadores paguem para ataques de phishing

serem enviados por eles, usando botnets para evitar assim dodgy IP ranges. As

garantias até são feitas para cobrar apenas utilizadores que receberam o email, da

mesma forma que qualquer serviço legitimo de marketing por email.

Exemplo de serviço de envio de spam – preço por email enviado para uma Caixa de correio ativa, com rastreamento disponível até para taxa de cliques.

Estes serviços levaram à explosão de ataques de phishing destacados anteriormente, já

que qualquer invasor pode iniciar um ataque independentemente da competência técnica.

Não caia no Isco

5A Sophos Whitepaper June 2018

Como o marketing, apenas seis vezes melhorO mais preocupante de tudo, estes serviços de “dark web” libertaram o tempo dos

atacantes para se concentrarem em refinar as suas campanhas e aperfeiçoar as suas

capacidades maliciosas.

E as suas táticas permitem que eles alcancem o tipo de resultados que a maioria das

equipas de vendas e marketing teria inveja, com os emails de phishing atualmente a serem

clicados 6 vezes mais que emails comuns de marketing tradicional.5

Taxa de cliques de Email de Phishing

Gestão3.51%

Phishing14%

Consumidor 2.4%

6x

Uma nova pesquisa demostra que phishing é classificado com uma das principais

ameaças. Os ataques de Business Email Compromise (BEC) estão em ascensão – um

perigoso subconjunto de ataques de phishing que permitem aos atacantes expandir as

áreas de lucro, visando agora alvos corporativos de valor elevado.

Como funciona o phishingComo mencionado, phishing abrange mais que apenas falsos emails bancários e alertas

de entregas de encomendas. Trata-se de convencer alguém a fornecer algo valioso aos

atacantes. E o que começou como um simples “phishing” desenvolveu-se agora para 3

tipos de ataques: os clássicos, phishing em massa e spear phishing, e Business Email

Compromise, subgrupo de spear phishing.

Phishing em massaEstes ataques são em grande parte oportunistas, aproveitando o nome da marca de uma

empresa para tentar atrair os clientes da marca para sites falsos onde são levados a usar

informações de cartão de crédito, credenciais de login, e outras informações pessoais que

serão revendidas posteriormente para obter ganhos financeiros.

Ì Ter como alvo os ativos de indivíduos

Ì Normalmente os consumidores de uma marca de produtos ou serviços

Ì Agrupar todos as leads e enviar o mesmo email para todos, independentemente de

seus interesses

Ì Focados em roubar dados pessoais, como credenciais de login

$3.1BDe perdas de ataques BEC em 2016

Não caia no Isco

6A Sophos Whitepaper June 2018

Um exemplo típico de phishing em massa 'verifique a sua conta'

Spear phishing O outro tipo de ameaça é a de spear phishing, onde são enviados emails personalizados

fazendo-se passar por um remetente específico ou uma fonte confiável, são enviados

para determinados colaboradores dentro das organizações para tentar fazer com que eles

realizem determinadas ações, como enviar dinheiro para contas falsas.

Ì Ter como alvo os ativos de uma organização específica

Ì Tipicamente um individuo ou um grupo especifico na organização

Ì Endereços de email falsificados (semelhantes)

Ì Usar uma falsa identidade, com por exemplo: CEOs, Executivos seniores.

Emails genuinos e de phishing são muitas vezes similares, como se pode ver neste exemplo de licença de TV inglesa.

Ataques de spear phishing são cada vez mais comuns e cibercriminosos continuam

a aperfeiçoar as suas técnicas de forma a aumentar a sua eficácia. Numa pesquisa

recente de 330 profissionais de IT, 55% confirmaram que os seus gestores seniores foram

representados em ataques de spear phishing.6

Subgrupos mais segmentados de spear phishing usam a engenharia social para recolher

informações de determinamos alvos e aumentar a dificuldade de reconhecimento de

ataque. São conhecidos como CEO Fraud, Whaling, e mais recentemente, Business Email

Compromise (BEC).

Não caia no Isco

7A Sophos Whitepaper June 2018

Business Email CompromiseOs ataques de Business Email Compromise são assim chamados porque estão associados

a contas de email de funcionários que serão comprometidas em vez de o endereço do

remetente ser falsificado. Isto torna os ataques muito mais difíceis de detetar pelos

utilizadores finais.

Ì Ter como alvo informação corporativa, acesso a credenciais, ou fundos de uma empresa

Ì Depois dos atacantes escolherem uma organização, eles localizam colaboradores

dessa empresa para serem alvo de ataque, reunindo dados de sites como Facebook e

LinkedIn de forma a criar emails de phishing altamente direcionados e confiáveis

Ì O atacante então isola esse individuo fazendo com que a mensagem de email pareça

ser de um executivo como um CEO e adicionará urgência na resposta, geralmente

enviando mensagens no final do dia ou semana

Ao contrário das campanhas em massa ou do spear phishing, estes ataques têm como

alvo os fundos de uma empresa. E ao contrário de ataques de anos anteriores que

forneceriam dados de contas bancárias de destino a possíveis vítimas em anexos PDF, os

ataques do BEC retêm essas informações até que tenham uma resposta positiva enviada

pela vítima. Afinal de contas, uma conta fraudulenta será a maior despesa do atacante, por

isso é um ativo importante a proteger já que pode ser fornecido às autoridades se a vítima

percebesse o truque desde o início.

Os ataques BEC são mais difíceis de detetar pois os atacantes comprometem as contas

de email corporativas para o envio. Na verdade, os números mais recentes do FBI mostram

que um número impressionante de empresas caíram neste tipo de ataques, com perdas

em 2016 que atingiram $3.1 biliões em 22.000 empresas.

Descubra os sinaisEntão, aquelas faturas falsas que dizem que alguém comprou um bilhete de avião com o

seu cartão de crédito, e pedem por favor para abrir o documento em anexo para detalhes se

quiser contestar o pagamento? Isto é phishing em massa.

Outro exemplo, são aqueles emails falsos que dizem para confirmar o endereço da sua

empresa para que lhe seja enviada uma encomenda que não chegou a ser entregue.

Spear phishing, na sua maioria, é basicamente a mesma coisa, exceto que o isco é mais

específico. Ou, no caso dos ataques BEC, a mensagem pode não conter links ou anexos

maliciosos, mas sim solicitar a transferência de fundos, fazendo com que o ataque pareça

mais convincente.

Simplificando, se um email fraudulento começar como “Prezado cliente,” é phishing. Mas se

a saudação for com o seu nome é spear phishing. E se é a partir do email do seu chefe é um

ataque Business Email Compromise (BEC).

Naturalmente, muitos dos ataques de spear phishing são muito mais objetivos que isso.

Vigaristas, bem preparados. podem saber o título da sua função, o número da sua extensão,

o restaurante onde costuma almoçar, os amigos com quem convive, o nome do seu chefe,

o nome do seu chefe anterior, e até mesmo o nome do fornecedor de café da sua empresa.

E, como pode imaginar, quando se trata de spear phishing, nada gera o sucesso como o

sucesso. Quanto mais criminosos, cybergangs, ou equipas de patrocinadores souberem da

sua empresa, mais credíveis serão as suas tentativas de phishing.

30%Dos emails de phishing são abertos

$140KPerda média por fraude

Não caia no Isco

8A Sophos Whitepaper June 2018

Esta informação pode ser adquirida de diversas formas, incluindo:

Ì Ataques anteriores bem-sucedidos, como o roubo de dados usando malware

Ì Documentos privados da empresa, como listas telefónicas ou organigramas que

aparecem em mecanismos de busca

Ì Páginas pessoais e de rede social da empresa

Ì Ex funcionários descontentes

Ì Dados comprados de outros criminosos na “dark web”

Pode provavelmente pensar em muitas outras maneiras pelas quais as informações

‘’secretas’’ podem tornar-se tudo menos secretas. O fundamental é que entender estas

táticas pode evitar a abertura de mais de 30% de emails de phishing que são abertos hoje

em dia.

A luta contra o phishingOs ataques de Phishing ocorrem em todos os formatos e tamanhos, e infelizmente não

há nenhuma solução para impedir o phishing. Deve ser usada um defesa com múltiplas

camadas contra-ataques de phishing, combinado com tecnologias de segurança

avançadas e funcionários treinados e conscientes de phishing. Na Sophos, recomendamos

que todas as organizações adotem uma abordagem tripla:

VISIBILIDADE E EDUCAÇÃO SIMULAÇÃO DE PHISHING E FORMAÇÃO

PRÉ ENTREGA SECURE EMAIL GATEWAY

PÓS ENTREGA PRODUÇÃO DE ENDPOINT

WHAT HOW

1. Visibilidade e Educação

Na luta contra o phishing, os utilizadores são o elo mais fraco. Na verdade, leva em média

apenas 16 minutos para alguém clicar num email de phishing [Fonte: Verizon 2018 Data

Breach Investigation Report].

Ì Com os utilizadores na linha da frente dos ataques de phishing, é fundamental

consciencializar e formar as pessoas de como identificar e evitar emails de phishing.

Existem 3 etapas para uma simulação efetiva de phishing e um programa de formação:

TESTSend simulated phishing emails

emulating real-life tactics to test user awareness

TRAINEducate users on how to spot

and stop the real thing

MEASURETrack progress and improvement

to demonstrate RoI and guide further training

Não caia no Isco

9A Sophos Whitepaper June 2018

2. Pré-Entrega

58% dos emails é spam e 77% de todos os spams contêm um ficheiro malicioso6. Como

resultado, um gateway de email seguro é um elemento essencial na luta contra o phishing,

parar emails de phishing antes que eles entrem na sua caixa de entrada. As principais

tecnologias a procurar incluem:

Ì Anti-spam: Poderosas armadilhas de spam por todo o mundo, impedem que os emails

cheguem aos utilizadores.

Ì Reputação do remetente: filtragem de reputação de IP para bloquear emails

indesejados no gateway.

Ì Autenticação do remetente: Deteta falsificação do remetente, anomalias no cabeçalho,

e suspeitas do conteúdo do corpo do email.

Ì Sandboxing: Deteta ficheiros suspeitos fora da rede.

Ì Bloqueio de URLs maliciosos: Filtro de links maliciosos.

3. Pós-Entrega

Ì Pós-entrega é a linha final de defesa, protege a sua organização se um utilizador clicar

num link malicioso ou abrir um anexo infetado. Procure uma solução de segurança de endpoint que ofereça técnicas fundamentais e modernas que incluem:

Ì Deep learning: Bloqueia ameaças desconhecidas de entrarem na organização.

Ì Anti-exploit: impede que os atacantes explorem vulnerabilidades em softwares

legítimos.

Ì Anti-ransomware: Para encriptação não autorizada dos ficheiros da sua empresa.

Como Sophos pode ajudarSophos é o único fabricante que oferece uma proteção completa de phishing – visibilidade

e educação, pré-entrega, e pós-entrega – tudo gerido numa única plataforma web.

VISIBILITY AND EDUCATION PHISHING SIMULATION AND TRAINING

PRE-DELIVERY SECURE EMAIL GATEWAY

POST-DELIVERY ENDPOINT PRODUCTION

WHAT HOW

SOPHOS PHISH THREAT

SOPHOS EMAIL

SOPHOS INTERCEPT X

SOPHOS SOLUTION

Não caia no Isco

10A Sophos Whitepaper June 2018

Sophos Phish Threat educa e testa os utilizadores finais por meio de simulações

automáticas, formação de conciliação de segurança e métricas de relatórios mensuráveis.

E funciona: em média, os clientes vêm uma redução de 31% na suscetibilidade dos

funcionários após apenas 4 emails de formação de Phish Threat . Saiba mais e teste você

mesmo em www.sophos.com/phish-threat.

Com Sophos Email, pode confiar na sua Inbox outra vez. Bloqueia os impostores de

phishing e protege os funcionários de ataques que usam endereços de email fraudulentos

que representam contatos confiáveis. Uma combinação de técnicas de autenticação de

SPF, DKIM, e DMARC e analise de cabeçalho de email permite identificar e permitir emails

legítimos enquanto bloqueia impostores. Saiba mais e faça o teste em www.sophos.com/

email.

Sophos Intercept X combina uma ampla gama de técnicas básicas e modernas (next-

gen) à mais ampla gama de ataques de ransomware e malware. A sua rede neural de

deep learning está preparado para em centenas de milhões de ficheiros maliciosos

proactivamente detetar ameaças desconhecidas. Veja você mesmo em www.sophos.com/

intercept-x

Único em Sophos, pode gerir todas as tecnologias de prevenção numa única plataforma

WEB, Sophos Central:

Ì Poupe tempo esforço, através da gestão de todos os produtos em única consola

Ì Baseada em web, portanto, não necessita de servidores para gerir

Ì Acesso a qualquer hora, em qualquer lugar

Ì Produtos são ativamente projetados para trabalhar em conjunto –sem necessitar de

esforço extra para que tudo funcione em harmonia.

Comece com um produto e depois adicione outros quando estiver pronto.

31%reduction in employee susceptibility with Sophos Phish Threat

Não caia no Isco

United Kingdom and Worldwide SalesTel: +44 (0)8447 671131Email: sales@sophos.com

North American SalesToll Free: 1-866-866-2802Email: nasales@sophos.com

Australia and New Zealand SalesTel: +61 2 9409 9100Email: sales@sophos.com.au

Asia SalesTel: +65 62244168Email: salesasia@sophos.com

© Copyright 2018. Sophos Ltd. All rights reserved.Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UKSophos is the registered trademark of Sophos Ltd. All other product and company names mentioned are trademarks or registered trademarks of their respective owners.

2018-05-31 WP-UK (3017-DD)

1, 3, 4, 6 Fonte: Phishing Temperature Check, Freeform Dynamics in association with The Register and Sophos, 2017

2 Fonte: Verizon 2018 Data Breach Investigations Report

5 Fonte: Verizon 2016 DBIR & Experian Email Benchmark Report Q4 2016

6 Fonte: SophosLabs, 2017

Dez sinais de PhishingOs “contos” que deve procurar para o ajudar a encontrar ameaças potenciais.

1. Simplesmente não parece certo. Há algo fora do comum com uma mensagem de

email particular? Parece bom demais para ser verdade? Confie nos seus instintos.

2. Saudações genéricas. Em vez de se dirigir diretamente a si, emails de phishing

geralmente usam nomes genéricos como “Caro cliente.” Estas saudações

impessoais poupam o tempo dos cibercriminosos.

3. Links para sites oficiais que pedem para inserir dados confidenciais. Estes sites

falsos são muito convincentes, portanto fique atento a qualquer informação pessoal

ou confidencial que lhe pedem para revelar.

4. Emails inesperados que usam informação especificas sobre si. Informações como

cargos, empregos anteriores, ou interesses pessoais podem ser obtidos em sites de

rede social como LinkedIn e são usados para tornar o email de phishing convincente.

5. Enfraquecer palavras. Ladrões usam normalmente palavras enervantes (como dizer

que a sua conta foi violada) para o induzir a movimentar-se rapidamente sem pensar

e ao fazê-lo, revelar informações que normalmente não o faria.

6. Má gramática ou ortografia. Isto é normalmente uma oferta inoperante. Sintaxe

incomum é um sinal que alguma coisa está errada.

7. Senso de urgência. “Se não responder dentro de 48 horas, a sua conta será

encerrada.” Ao criar um senso de urgência, os ladrões esperam que cometa um erro.

8. “Ganhou o grande premio!” Estes emails de phishing são comuns, mas fáceis

de detetar. Um similar, uma variação mais complicada pede que complete um

questionário (dando assim as suas informações pessoais) em troca de um prémio.

9. “Verifique a sua conta.” Estas mensagens falsificam emails reais e pedem que

verifique a sua conta. Procure sempre por sinais de phishing, e sempre se questione

porque está a ser pedido para verificar – existe uma boa hipótese de ser uma fraude.

10. Cybersquatting. Muitas vezes, cibercriminosos irão comprar e “squat” em nomes de

websites que são similares aos oficiais na esperança que os utilizadores aceda de

forma errado ex. www.google.com vs. www.g00gle.com. Tire sempre um momento

para verificar a URL antes de inserir as suas informações pessoais.

Para mais dicas e ferramentas para parar o phishing, visite www.sophos.com/prevent-

phishing